Google Security Operations 数据注入
Google Security Operations 会从客户处提取日志、对数据进行标准化,并检测安全提醒。Google Security Operations SIEM 提供有关数据注入、威胁检测、警报和案例管理等自助服务功能。Google Security Operations 还可以从其他 SIEM 系统注入提醒。这些提醒会提取到您的 Google Security Operations SIEM 帐号中,以供分析。
Google Security Operations SIEM 日志注入
Google Security Operations SIEM 注入服务充当所有数据的网关。Google Security Operations SIEM 使用以下系统注入数据:
转发器:Google Security Operations SIEM 转发器是安装在客户端点上的远程代理。转发器将数据发送到 Google Security Operations SIEM 提取服务。如需了解详情,请参阅安装 Linux 或 Windows 转发器。
提取 API:Google Security Operations SIEM 拥有公开提取 API,客户可以直接向这些 API 发送数据。如需了解详情,请参阅 Ingestion API。
Google Cloud:Google Security Operations SIEM 可以直接从您的 Google Cloud 帐号拉取数据。如需了解详情,请参阅将 Google Cloud 数据注入 Google SecOps。
数据 Feed:Google Security Operations SIEM 支持一组数据 Feed,这些 Feed 可以从静态外部位置(例如 Amazon S3)和第三方 API(例如 Okta)拉取数据。这些数据 Feed 会将日志直接发送到 Google Security Operations SIEM 提取服务。如需了解详情,请参阅 Feed 管理文档。
提取的数据将由 Google Security Operations SIEM 解析器进一步处理,这些解析器将来自客户系统的原始日志转换为统一数据模型 (UDM),Google Security Operations SIEM 中的下游系统可以使用该模型提供附加功能,包括规则和 UDM 搜索。Google Security Operations SIEM 可以注入日志和提醒。对于提醒,Google Security Operations SIEM 只能注入单个事件提醒。Google Security Operations SIEM 不支持多事件警报的提取。UDM 搜索可用于搜索注入的提醒和 Google Security Operations SOAR 提醒。
Google Security Operations 注入流程
Google Security Operations 注入模式包括以下类型的数据注入:
将原始日志提取到 Google Security Operations 中:使用 Google Security Operations SIEM 转发器、注入 API、直接从 Google Cloud 或使用数据 Feed 提取原始日志。
提取其他 SIEM 生成的提醒:其他 SIEM 中生成的提醒按如下方式提取:
- Google Security Operations 可使用 Google Security Operations SOAR connectors或 Google Security Operations SOAR 网络钩子从其他 SIEM 系统、EDR 或工单系统中提取提醒。
- Google Security Operations SOAR 会提取与提醒关联的事件并创建相应的检测。
- Google Security Operations SOAR 会处理提醒和提取的事件。
客户可以创建检测引擎规则,以识别提取的事件中的模式并生成其他检测。