Ingestão de dados das Operações de segurança do Google
O Google Security Operations ingere registros de clientes, normaliza os dados e detecta alertas de segurança. O SIEM do Google Security Operations oferece recursos de autoatendimento sobre ingestão de dados, detecção de ameaças, alertas e gerenciamento de casos. As Operações de segurança do Google também podem ingerir alertas de outros sistemas SIEM. Esses alertas são ingeridos na sua conta do SIEM das Operações de segurança do Google, onde podem ser analisados.
Ingestão de registros SIEM do Google Security Operations
O serviço de ingestão de SIEM do Google Security Operations atua como um gateway para todos os dados. O SIEM do Google Security Operations processa dados usando os seguintes sistemas:
Encaminhadores: os encaminhadores de SIEM do Google Security Operations são agentes remotos instalados nos endpoints do cliente. Os encaminhadores enviam dados ao serviço de ingestão de SIEM do Google Security Operations. Para mais informações, consulte como instalar os encaminhadores do Linux ou do Windows.
APIs de ingestão: o SIEM do Google Security Operations tem APIs de ingestão públicas, e os clientes podem enviar dados diretamente para essas APIs. Para mais informações, consulte a API Ingestion.
Google Cloud: o SIEM do Google Security Operations pode extrair dados diretamente da sua conta do Google Cloud. Para mais informações, consulte Ingerir dados do Google Cloud no Google SecOps.
Feeds de dados: o Google Security Operations SIEM oferece suporte a um conjunto de feeds que podem extrair dados de locais externos estáticos (por exemplo, Amazon S3) e de APIs de terceiros (como o Okta). Esses feeds de dados enviam registros diretamente ao serviço de ingestão de SIEM do Google Security Operations. Para mais informações, consulte a documentação de gerenciamento de feeds.
Os dados ingeridos são processados pelos analisadores de SIEM do Google Security Operations, que convertem os registros brutos dos sistemas dos clientes em um modelo de dados unificado (UDM, na sigla em inglês) que os sistemas downstream do SIEM das Operações de segurança do Google podem usar para fornecer recursos adicionais, incluindo Regras e pesquisa UDM. O SIEM do Google Security Operations pode processar registros e alertas. Para alertas, o SIEM do Google Security Operations só pode ingerir alertas de evento único. O SIEM do Google Security Operations não aceita a ingestão de alertas de vários eventos. A pesquisa UDM pode ser usada para pesquisar alertas ingeridos e alertas SOAR do Google Security Operations.
Processo de ingestão do Google Security Operations
O modo de ingestão do Google Security Operations inclui os seguintes tipos de ingestão de dados:
Ingestão de registros brutos nas Operações de segurança do Google: os registros brutos são ingeridos usando os encaminhadores de SIEM do Google Security Operations, a API de ingestão, diretamente do Google Cloud ou um feed de dados.
Ingestão de alertas gerados por outros SIEMs: os alertas gerados em outros SIEMs são ingeridos da seguinte maneira:
- As Operações de segurança do Google ingerem alertas de outros sistemas SIEM, EDRs ou sistemas de tíquetes usando os connectors do SOAR do Google Security Operations ou os webhooks do SOAR do Google Security Operations.
- O SOAR do Google Security Operations ingere os eventos associados aos alertas e cria uma detecção correspondente.
- O SOAR do Google Security Operations processa os alertas e os eventos ingeridos.
Os clientes podem criar regras de mecanismo de detecção para identificar padrões em eventos ingeridos e gerar detecções adicionais.