Ingestão de dados das Operações de Segurança do Google
O Operações de Segurança do Google ingere registros de clientes, normaliza os dados e detecta alertas de segurança. O SIEM das Operações de Segurança do Google oferece recursos de autoatendimento relacionados à ingestão de dados, detecção de ameaças, alertas e gerenciamento de casos. As operações de segurança do Google também podem ingerir alertas de outros sistemas SIEM. Esses alertas são ingeridos na sua conta do SIEM do Google Security Operations, onde podem ser analisados.
Ingestão de registros SIEM das Operações de Segurança do Google
O serviço de ingestão de SIEM das Operações de Segurança do Google atua como gateway para todos os dados. O SIEM das Operações de Segurança do Google ingere dados usando os seguintes sistemas:
Encaminhadores: os encaminhadores de SIEM das Operações de Segurança do Google são agentes remotos instalados nos endpoints do cliente. Os encaminhadores enviam dados ao serviço de ingestão de SIEM das Operações de segurança do Google. Para mais informações, consulte como instalar os encaminhadores do Linux ou do Windows.
APIs de ingestão: o SIEM das Operações de Segurança do Google tem APIs de ingestão públicas, e os clientes podem enviar dados diretamente para essas APIs. Para mais informações, consulte a API Ingestion.
Google Cloud: o SIEM das Operações de Segurança do Google pode extrair dados diretamente da sua conta do Google Cloud. Para mais informações, consulte Ingerir dados do Google Cloud no Google SecOps.
Feeds de dados: o SIEM do Google Security Operations oferece suporte a um conjunto de feeds de dados que podem extrair dados de locais externos estáticos (por exemplo, Amazon S3) e APIs de terceiros (por exemplo, Okta). Esses feeds de dados enviam registros diretamente para o serviço de ingestão de SIEM das Operações de Segurança do Google. Para mais informações, consulte a documentação sobre o gerenciamento de feeds.
Os dados ingeridos são processados pelos analisadores SIEM das Operações de Segurança do Google, que convertem os registros brutos dos sistemas do cliente em um modelo de dados unificado (UDM) que os sistemas downstream no SIEM das Operações de Segurança do Google podem usar para fornecer recursos adicionais, incluindo Regras e Pesquisa UDM. O SIEM das Operações de Segurança do Google pode ingerir registros e alertas. Para alertas, o SIEM das Operações de Segurança do Google só pode ingerir alertas de evento único. O SIEM das operações de segurança do Google não oferece suporte à ingestão de alertas de vários eventos. A pesquisa do UDM pode ser usada para pesquisar alertas processados e alertas SOAR do Google Security Operations.
Processo de ingestão das Operações de Segurança do Google
O modo de ingestão das Operações de segurança do Google inclui os seguintes tipos de ingestão de dados:
Ingestão de registros brutos nas Operações de segurança do Google: esses registros são ingeridos usando os encaminhadores de SIEM das Operações de Segurança do Google, a API de ingestão, diretamente do Google Cloud ou usando um feed de dados.
Ingestão de alertas gerados por outros SIEMs: os alertas gerados em outros SIEMs são ingeridos da seguinte maneira:
- O departamento de Operações de Segurança do Google processa alertas de outros sistemas SIEM, EDRs ou sistemas de tiquetagem usando os connectors de SOAR das Operações de Segurança do Google ou webhooks desse SOAR.
- O SOAR do Google Security Operations ingere os eventos associados aos alertas e cria uma detecção correspondente.
- O SOAR de Operações de Segurança do Google processa os alertas e os eventos ingeridos.
Os clientes podem criar regras de mecanismo de detecção para identificar padrões em eventos ingeridos e gerar detecções adicionais.