Importazione dei dati di Google Security Operations
Google Security Operations importa i log dai clienti, normalizza i dati e rileva gli avvisi di sicurezza. La piattaforma SIEM per le operazioni di sicurezza di Google funzionalità self-service per importazione dati, il rilevamento delle minacce, gli avvisi e le richieste gestione dei dispositivi. Google Security Operations può anche importare avvisi da altri sistemi SIEM. Questi avvisi vengono importati nel tuo account SIEM di Google Security Operations, dove possono essere analizzati.
Importazione log SIEM per Google Security Operations
Il servizio di importazione SIEM di Google Security Operations funge da gateway per tutti i dati. SIEM per Google Security Operations importa i dati utilizzando i seguenti sistemi:
Inoltratori: gli inoltratori SIEM di Google Security Operations sono agenti remoti installati negli endpoint dei clienti. I server di inoltro inviano i dati all'importazione SIEM di Google Security Operations completamente gestito di Google Cloud. Per ulteriori informazioni, vedi l'installazione dei forwarder per Linux o Windows.
API di importazione: Google Security Operations SIEM dispone di API di importazione pubbliche e i clienti possono inviare i dati direttamente a queste API. Per maggiori informazioni, consulta la pagina relativa all'API Importion.
Google Cloud: la piattaforma Google Security Operations SIEM può eseguire il pull dei dati direttamente dal tuo account Google Cloud. Per ulteriori informazioni, consulta Importare i dati di Google Cloud in Google SecOps.
Feed di dati: Google Security Operations SIEM supporta un set di feed di dati che possono estrarre Dati provenienti da posizioni esterne statiche (ad esempio Amazon S3) e API di terze parti (ad esempio Okta). Questi feed di dati inviano i log direttamente al servizio di importazione SIEM di Google Security Operations. Per saperne di più, consulta la documentazione sulla gestione dei feed.
I dati importati vengono ulteriormente elaborati dai parser SIEM di Google Security Operations, che convertono i di log non elaborati provenienti dai sistemi del cliente in un modello di dati unificato (UDM) che downstream sistemi all'interno di Google Security Operations che SIEM può utilizzare per fornire funzionalità aggiuntive, tra cui: Regole e ricerca UDM. La piattaforma SIEM per le operazioni di sicurezza di Google può importare sia i log che gli avvisi. Per gli avvisi, la piattaforma SIEM di Google Security Operations può importare solo avvisi con un singolo evento. Google Security Operations SIEM non supporta l'importazione di eventi multi-evento avvisi. La ricerca UDM può essere utilizzata per cercare sia gli avvisi importati sia gli avvisi SOAR di Google Security Operations.
Processo di importazione di Google Security Operations
La modalità di importazione di Google Security Operations include i seguenti tipi di importazione di dati:
Importazione di log non elaborati in Google Security Operations: i log non elaborati vengono importati utilizzando i forwarder SIEM di Google Security Operations, l'API di importazione, direttamente da Google Cloud o utilizzando un feed di dati.
Importazione degli avvisi generati da altri SIEM: gli avvisi generati in altri SIEM vengono importati come segue:
- Google Security Operations importa gli avvisi da altri sistemi SIEM, EDR o sistemi di ticketing utilizzando i connettori o i webhook di Google Security Operations SOAR.
- Google Security Operations SOAR importa gli eventi associati agli avvisi e crea un rilevamento corrispondente.
- Google Security Operations SOAR elabora gli avvisi e gli eventi importati.
I clienti possono creare regole del motore di rilevamento per identificare i pattern negli eventi importati e generare ulteriori rilevamenti.
Limitazioni
I feed di dati hanno una dimensione massima della riga di log di 4 MB.