Google Security Operations 数据提取

支持的平台:

Google Security Operations 会提取来自客户的日志、对数据进行标准化处理,并检测安全提醒。Google Security Operations SIEM 提供围绕数据提取、威胁检测、提醒和支持请求管理的自助服务功能。Google Security Operations 还可以提取来自其他 SIEM 系统的提醒。这些提醒会被提取到您的 Google Security Operations SIEM 账号中,以便进行分析。

Google Security Operations SIEM 日志注入

Google Security Operations SIEM 提取服务充当所有数据的网关。Google 安全运营 SIEM 使用以下系统提取数据:

  • 转发器:Google Security Operations SIEM 转发器是安装在客户端点上的远程代理。转发器会将数据发送到 Google Security Operations SIEM 提取服务。如需了解详情,请参阅安装 LinuxWindows 转发器。

  • BindPlane 代理:BindPlane 代理会从各种来源收集日志,并将其发送到 Google 安全运维团队。您可以使用可选的 Bindplane OP 管理控制台来管理此代理。如需了解详情,请参阅使用 Bindplane 代理

  • 提取 API:Google Security Operations SIEM 提供公开的提取 API,客户可以直接将数据发送到这些 API。如需了解详情,请参阅 Ingestion API

  • Google Cloud:Google Security Operations SIEM 可以直接从您的 Google Cloud 账号中提取数据。如需了解详情,请参阅将 Google Cloud 数据注入到 Google SecOps

  • 数据 Feed:Google Security Operations SIEM 支持一组数据 Feed,可从静态外部位置(例如 Amazon S3)和第三方 API(例如 Okta)提取数据。这些数据 Feed 会将日志直接发送到 Google Security Operations SIEM 提取服务。如需了解详情,请参阅Feed 管理文档

提取的数据会由 Google Security Operations SIEM 解析器进一步处理,这些解析器会将来自客户系统的原始日志转换为统一数据模型 (UDM),以便 Google Security Operations SIEM 中的下游系统使用这些模型提供其他功能,包括规则和 UDM 搜索。Google Security Operations SIEM 可以提取日志和提醒。对于提醒,Google Security Operations SIEM 只能提取单个事件提醒。Google Security Operations SIEM 不支持提取多事件提醒。UDM 搜索可用于搜索提取的提醒和 Google Security Operations SOAR 提醒。

Google Security Operations 提取流程

Google 安全运营数据提取模式包括以下类型的数据提取:

  • 将原始日志提取到 Google Security Operations:使用 Google Security Operations SIEM 转发器、提取 API、直接从 Google Cloud提取或使用数据 Feed 提取原始日志。

  • 提取其他 SIEM 生成的提醒:系统会按如下方式提取在其他 SIEM 中生成的提醒:

    1. Google Security Operations 使用 Google Security Operations SOAR 连接器或 Google Security Operations SOAR Webhook 从其他 SIEM 系统、EDR 或工单系统提取提醒。
    2. Google Security Operations SOAR 会提取与提醒关联的事件,并创建相应的检测。
    3. Google Security Operations SOAR 会处理警报和提取的事件。

    客户可以创建检测引擎规则,以识别提取的事件中的模式并生成其他检测结果。

限制

数据 Feed 的日志行大小上限为 4 MB。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。