Chronicle Security Operations 数据注入
Chronicle Security Operations 会从客户中提取日志,对数据进行标准化,并检测安全提醒。Chronicle SIEM 提供数据注入、威胁检测、提醒和案例管理方面的自助服务功能。Chronicle Security Operations 还可以从其他 SIEM 系统中注入提醒。这些提醒会被提取到您的 Chronicle SIEM 账号中以供分析。
Chronicle SIEM 日志提取
Chronicle SIEM 注入服务充当所有数据的网关。Chronicle SIEM 使用以下系统注入数据:
转发器:Chronicle SIEM 转发器是在客户端点上安装的远程代理。转发器将数据发送到 Chronicle SIEM 提取服务。如需了解详情,请参阅安装 Linux 或 Windows 转发器。
提取 API:Chronicle SIEM 具有公共提取 API,客户可以将数据直接发送到这些 API。如需了解详情,请参阅 Ingestion API。
Google Cloud:Chronicle SIEM 可直接从您的 Google Cloud 帐号拉取数据。如需了解详情,请参阅将 Google Cloud 数据注入 Chronicle。
数据 Feed:Chronicle SIEM 支持一组数据 Feed,这些 Feed 可以从静态外部位置(例如 Amazon S3)和第三方 API(例如 Okta)拉取数据。这些数据 Feed 会将日志直接发送到 Chonicle SIEM 提取服务。有关详情,请参阅 Feed 管理文档。
Chronicle SIEM 解析器会进一步处理提取的数据,该解析器将客户系统中的原始日志转换为统一数据模型 (UDM),Chronicle SIEM 内的下游系统可使用该模型来提供其他功能,包括规则和 UDM 搜索。Chronicle SIEM 可以注入日志和提醒。对于提醒,Chronicle SIEM 只能注入单个事件提醒。Chronicle SIEM 不支持提取多事件提醒。UDM Search 可用于搜索注入的提醒和 Chronicle SOAR 提醒。
Chronicle Security Operations 注入流程
Chronicle Security Operations 提取模式包含以下类型的数据提取:
将原始日志提取到 Chronicle Security Operations:使用 Chronicle SIEM 转发器、提取 API、直接从 Google Cloud 或使用数据 Feed 提取原始日志。
提取由其他 SIEM 生成的提醒:系统会按如下方式提取在其他 SIEM 中生成的提醒:
- Chronicle Security Operations 使用 Chronicle SOAR connectors或 Chronicle SOAR 网络钩子从其他 SIEM 系统、EDR 或工单系统中提取提醒。
- Chronicle SOAR 会提取与提醒关联的事件,并创建相应的检测。
- Chronicle SOAR 会处理提醒和注入的事件。
客户可以创建检测引擎规则,以识别提取的事件中的模式并生成其他检测。