Ingestão de dados do Google Security Operations
O Google Security Operations processa registros de clientes, normaliza os dados e detecta alertas de segurança. O SIEM do Google Security Operations oferece recursos de autoatendimento sobre ingestão de dados, detecção de ameaças, alertas e casos de projetos. O Google Security Operations também pode ingerir alertas de outros sistemas de SIEM. Esses alertas são processados na sua conta do SIEM do Google Security Operations, onde podem ser analisados.
Ingestão de registros SIEM do Google Security Operations
O serviço de transferência do SIEM do Google Security Operations funciona como um gateway para todos os dados. O SIEM do Google Security Operations ingere dados usando os seguintes sistemas:
Encaminhadores: os encaminhadores de SIEM das Operações de segurança do Google são agentes remotos instalados em de endpoints do cliente. Os encaminhadores enviam dados para a ingestão de SIEM do Google Security Operations serviço. Para mais informações, consulte como instalar os encaminhadores do Linux ou do Windows.
APIs de ingestão: o SIEM do Google Security Operations tem APIs de ingestão públicas, e os clientes podem enviar os dados diretamente para essas APIs. Para mais informações, consulte a API Ingestion.
Google Cloud: o SIEM do Google Security Operations pode extrair dados diretamente da sua conta do Google Cloud. Para mais informações, consulte Ingerir dados do Google Cloud no Google SecOps.
Feeds de dados: o SIEM de operações de segurança do Google oferece suporte a um conjunto de feeds de dados que podem extrair dados de locais externos estáticos (por exemplo, Amazon S3) e APIs de terceiros (por exemplo, Okta). Esses feeds de dados enviam registros diretamente para o Serviço de ingestão de SIEM do Google Security Operations. Para mais informações, consulte a documentação de gerenciamento de feeds.
Os dados ingeridos são processados pelos analisadores do SIEM do Google Security Operations, que convertem os logs brutos dos sistemas do cliente em um modelo de dados unificado (UDM, na sigla em inglês) que os sistemas a jusante do SIEM do Google Security Operations podem usar para fornecer recursos adicionais, incluindo regras e pesquisa de UDM. O Google Security Operations SIEM pode processar registros e alertas. Quanto aos alertas, o SIEM das Operações de Segurança do Google só pode ingerir alertas de evento único. O Google Security Operations SIEM não aceita a ingestão de alertas de vários eventos. A pesquisa UDM pode ser usada para pesquisar alertas ingeridos e alertas SOAR do Google Security Operations.
Processo de transferência do Google Security Operations
O modo de transferência do Google Security Operations inclui os seguintes tipos de transferência de dados:
Ingestão de registros brutos nas Operações de segurança do Google: os registros brutos são ingeridos usando os encaminhadores de SIEM do Google Security Operations, a API de ingestão, diretamente do Google Cloud ou usando um feed de dados.
Ingestão de alertas gerados por outros SIEMs: os alertas gerados em outros SIEMs são ingeridos da seguinte maneira:
- O Google Security Operations ingere alertas de outros sistemas SIEM, EDRs ou sistemas de tíquetes usando conectores do SOAR do Google Security Operations ou webhooks do SOAR do Google Security Operations.
- O SOAR do Google Security Operations processa os eventos associados aos alertas e cria uma detecção correspondente.
- O SOAR do Google Security Operations processa os alertas e os eventos ingeridos.
Os clientes podem criar regras de mecanismo de detecção para identificar padrões em eventos ingeridos e gerar detecções adicionais.
Limitações
Os feeds de dados têm um tamanho máximo de linha de registro de 4 MB.