Google Security Operations のデータ取り込み

Google Security Operations は、お客様からログを取り込み、データを正規化してセキュリティ アラートを検出します。Google Security Operations SIEM は、データの取り込み、脅威の検出、アラート、ケース管理に関するセルフサービス機能を提供します。Google Security Operations では、他の SIEM システムからアラートを取り込むこともできます。これらのアラートは Google Security Operations SIEM アカウントに取り込まれ、分析できます。

Google Security Operations SIEM ログの取り込み

Google Security Operations SIEM 取り込みサービスは、すべてのデータのゲートウェイとして機能します。Google Security Operations SIEM は、次のシステムを使用してデータを取り込みます。

  • フォワーダー: Google Security Operations SIEM フォワーダーは、お客様のエンドポイントにインストールされるリモート エージェントです。フォワーダーは、Google Security Operations SIEM 取り込みサービスにデータを送信します。詳細については、Linux または Windows フォワーダーのインストールをご覧ください。

  • 取り込み API: Google Security Operations SIEM には公開取り込み API があり、お客様はこれらの API にデータを直接送信できます。詳しくは、Ingestion API をご覧ください。

  • Google Cloud: Google Security Operations SIEM では、Google Cloud アカウントから直接データを pull できます。詳細については、Google Cloud データを Google SecOps に取り込むをご覧ください。

  • データフィード: Google Security Operations SIEM は、静的な外部ロケーション(Amazon S3 など)とサードパーティ API(Okta など)からデータを pull できる一連のデータフィードをサポートしています。これらのデータフィードは、Google Security Operations SIEM 取り込みサービスに直接ログを送信します。詳細については、フィード管理のドキュメントをご覧ください。

取り込まれたデータはさらに Google Security Operations SIEM パーサーによって処理されます。このパーサーは、お客様のシステムからの未加工ログを、Google Security Operations SIEM 内のダウンストリーム システムがルールと UDM 検索のような追加機能を提供するために使用できる統合データモデル(UDM)に変換します。 Google Security Operations SIEM は、ログとアラートの両方を取り込むことができます。アラートの場合、Google Security Operations SIEM で取り込めるのは単一イベント アラートだけです。Google Security Operations SIEM は、複数イベント アラートの取り込みをサポートしていません。UDM 検索を使用して、取り込まれたアラートと Google Security Operations SOAR アラートの両方を検索できます。

Google Security Operations の取り込みプロセス

Google Security Operations の取り込みモードには、次のタイプのデータ取り込みが含まれます。

  • 未加工ログの Google Security Operations への取り込み: 未加工ログは、Google Security Operations SIEM フォワーダーまたは取り込み API を使用して取り込まれます。または、Google Cloud から直接取り込まれるか、データフィードを使用して取り込みます。

  • 他の SIEM によって生成されたアラートの取り込み: 他の SIEM で生成されたアラートは次のように取り込まれます。

    1. Google Security Operations は、Google Security Operations SOAR のconnectorsまたは Google Security Operations SOAR の Webhook を使用して、他の SIEM システム、EDR、チケット発行システムからアラートを取り込みます。
    2. Google Security Operations SOAR は、アラートに関連付けられたイベントを取り込み、対応する検出を作成します。
    3. Google Security Operations SOAR が、アラートと取り込まれたイベントを処理します。

    検出エンジンルールを作成して、取り込まれたイベントのパターンを識別し、追加の検出を生成できます。