Ingestão de dados do Google Security Operations
O Google Security Operations processa registros de clientes, normaliza os dados e detecta alertas de segurança. O SIEM do Google Security Operations oferece recursos de autoatendimento para ingestão de dados, detecção de ameaças, alertas e gerenciamento de casos. O Google Security Operations também pode ingerir alertas de outros sistemas SIEM. Esses alertas são processados na sua conta do SIEM do Google Security Operations, onde podem ser analisados.
Ingestão de registros do SIEM do Google Security Operations
O serviço de transferência do SIEM do Google Security Operations funciona como um gateway para todos os dados. O SIEM do Google Security Operations ingere dados usando os seguintes sistemas:
Encaminhadores: os encaminhadores do SIEM do Google Security Operations são agentes remotos instalados nos endpoints do cliente. Os encaminhadores enviam dados para o serviço de transferência de SIEM do Google Security Operations. Para mais informações, consulte como instalar os encaminhadores do Linux ou do Windows.
Agente do BindPlane: o agente do BindPlane coleta registros de várias fontes e os envia para as operações de segurança do Google. Esse agente pode ser gerenciado usando o console de gerenciamento de OP do Bindplane. Para mais informações, consulte Usar o agente do Bindplane.
APIs de ingestão: o SIEM do Google Security Operations tem APIs de ingestão públicas, e os clientes podem enviar dados diretamente para essas APIs. Para mais informações, consulte a API Ingestão.
Google Cloud: o Google Security Operations SIEM pode extrair dados diretamente da sua Google Cloud conta. Para mais informações, consulte Como ingerir dados Google Cloud no Google SecOps.
Feeds de dados: o SIEM de operações de segurança do Google oferece suporte a um conjunto de feeds de dados que podem extrair dados de locais externos estáticos (por exemplo, Amazon S3) e APIs de terceiros (por exemplo, Okta). Esses feeds de dados enviam registros diretamente para o serviço de transferência de SIEM do Google Security Operations. Para mais informações, consulte a documentação sobre gerenciamento de feeds.
Os dados ingeridos são processados pelos analisadores do SIEM do Google Security Operations, que convertem os logs brutos dos sistemas do cliente em um modelo de dados unificado (UDM, na sigla em inglês) que os sistemas a jusante do SIEM do Google Security Operations podem usar para fornecer recursos adicionais, incluindo regras e pesquisa de UDM. O SIEM do Google Security Operations pode processar registros e alertas. Para alertas, o Google Security Operations SIEM só pode processar alertas de evento único. O Google Security Operations SIEM não aceita a ingestão de alertas de vários eventos. A pesquisa UDM pode ser usada para procurar alertas ingeridos e alertas SOAR das operações de segurança do Google.
Processo de transferência do Google Security Operations
O modo de transferência do Google Security Operations inclui os seguintes tipos de transferência de dados:
Ingestão de registros brutos no Google Security Operations: os registros brutos são ingeridos usando os encaminhadores do SIEM do Google Security Operations, a API de ingestão, diretamente de Google Cloudou usando um feed de dados.
Ingestão de alertas gerados por outros SIEMs: os alertas gerados em outros SIEMs são ingeridos da seguinte maneira:
- O Google Security Operations ingere alertas de outros sistemas SIEM, EDRs ou de tíquetes usando conectores ou webhooks do SOAR do Google Security Operations.
- O SOAR do Google Security Operations captura os eventos associados aos alertas e cria uma detecção correspondente.
- O SOAR do Google Security Operations processa os alertas e os eventos ingeridos.
Os clientes podem criar regras do mecanismo de detecção para identificar padrões nos eventos ingeridos e gerar outras detecções.
Limitações
Os feeds de dados têm um tamanho máximo de linha de registro de 4 MB.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.