Google Security Operations のデータの取り込み

以下でサポートされています。

Google SecOpsSIEM

Google Security Operations は、お客様のログを取り込み、データを正規化して、セキュリティアラートを検出します。Google Security Operations SIEM は、データの取り込み、脅威の検出、アラート、ケース管理に関するセルフサービス機能を提供します。Google Security Operations は、他の SIEM システムからアラートを取り込むこともできます。これらのアラートを Google Security Operations SIEM アカウントに取り込み、そこで分析できます。

Google Security Operations SIEM ログの取り込み

Google Security Operations SIEM 取り込みサービスは、すべてのデータのゲートウェイとして機能します。Google Security Operations SIEM は、次のシステムを使用してデータを取り込みます。

フォワーダー: Google Security Operations SIEM フォワーダーは、お客様のエンドポイントにインストールされるリモートエージェントです。フォワーダーは、Google Security Operations SIEM の取り込みサービスにデータを送信します。詳細については、Linux または Windows フォワーダーのインストールをご覧ください。
BindPlane エージェント: BindPlane エージェントは、さまざまなソースからログを収集し、Google Security Operations に送信します。このエージェントは、BindPlane OP 管理コンソール（オプション）を使用して管理できます。詳細については、BindPlane エージェントを使用するをご覧ください。
Ingestion API: Google Security Operations SIEM には公開取り込み API があり、お客様はこれらの API にデータを直接送信できます。詳細については、Ingestion API をご覧ください。
Google Cloud: Google Security Operations SIEM は、 Google Cloud アカウントからデータを直接取得できます。詳細については、Google SecOps にデータを取り込む Google Cloud をご覧ください。
データフィード: Google Security Operations SIEM は、静的な外部ロケーション（Amazon S3 など）とサードパーティ API（Okta など）からデータを取得できる一連のデータフィードをサポートしています。これらのデータフィードは、ログを Google Security Operations SIEM 取り込みサービスに直接送信します。詳細については、フィード管理のドキュメントをご覧ください。

取り込まれたデータはさらに Google Security Operations SIEM パーサーによって処理されます。このパーサーは、お客様のシステムからの未加工ログを、Google Security Operations SIEM 内のダウンストリームシステムがルールと UDM 検索のような追加機能を提供するために使用できる統合データモデル（UDM）に変換します。 Google Security Operations SIEM は、ログとアラートの両方を取り込めます。アラートの場合、Google Security Operations SIEM は単一イベントのアラートのみを取り込めます。Google Security Operations SIEM は、マルチイベントアラートの取り込みをサポートしていません。UDM 検索を使用すると、取り込まれたアラートと Google Security Operations SOAR アラートの両方を検索できます。

Google Security Operations の取り込みプロセス

Google Security Operations の取り込みモードでは、次の種類のデータ取り込みが可能です。

Google Security Operations への未加工ログの取り込み: 未加工ログは、Google Security Operations SIEM フォワーダー、取り込み API、 Google Cloudから直接、またはデータフィードを使用して取り込まれます。
他の SIEM で生成されたアラートの取り込み: 他の SIEM で生成されたアラートは、次のように取り込まれます。
1. Google Security Operations は、Google Security Operations SOAR のコネクタまたは Google Security Operations SOAR の webhooks を使用して、他の SIEM システム、EDR、チケット発行システムからアラートを取り込みます。
2. Google Security Operations SOAR は、アラートに関連付けられたイベントを取り込み、対応する検出を作成します。
3. Google Security Operations SOAR は、アラートと取り込まれたイベントを処理します。
検出エンジンルールを作成して取り込まれたイベント内のパターンを特定し、追加の検出を生成できます。

注: Detection Engine ルールは、Google Security Operations SOAR から取り込まれたアラートのパターンを特定しません。

制限事項

データフィードでは、ログ行の最大サイズは 4 MB です。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps の専門家から回答を得る。