Google Security Operations 数据提取
Google Security Operations 会提取来自客户的日志、对数据进行标准化处理,并检测安全提醒。Google Security Operations SIEM 提供围绕数据提取、威胁检测、提醒和支持请求管理的自助服务功能。Google Security Operations 还可以提取来自其他 SIEM 系统的提醒。这些提醒将被提取到您的 Google Security Operations SIEM 账号中,其中 您可以分析这些数据。
Google Security Operations SIEM 日志注入
Google Security Operations SIEM 注入服务充当所有数据的网关。Google 安全运营 SIEM 使用以下系统注入数据:
转发器:Google Security Operations SIEM 转发器是安装在客户端点上的远程代理。转发器会将数据发送到 Google Security Operations SIEM 提取服务。如需了解详情,请参阅安装 Linux 或 Windows 转发器。
提取 API:Google Security Operations SIEM 拥有公开提取 API,客户可以发送 将数据直接传输到这些 API。如需了解详情,请参阅 Ingestion API。
Google Cloud:Google Security Operations SIEM 可以直接从您的 Google Cloud 账号中提取数据。如需了解详情,请参阅将 Google Cloud 数据注入 Google SecOps。
数据 Feed:Google Security Operations SIEM 支持一组数据 Feed, 来自静态外部位置(例如 Amazon S3)和第三方 API(例如 Okta)的数据。这些数据 Feed 会将日志直接发送到 Google Security Operations SIEM 注入服务。如需了解详情,请参阅 Feed 管理文档。
Google Security Operations SIEM 解析器会对注入的数据做进一步处理,将 原始日志从客户系统导入至下游的统一数据模型 (UDM), Google Security Operations SIEM 中的系统可用于提供额外功能,包括 规则和 UDM 搜索。 Google Security Operations SIEM 可以提取日志和提醒。对于提醒,Google Security Operations SIEM 只能注入 单一事件提醒Google Security Operations SIEM 不支持多事件的提取 提醒。UDM 搜索可用于搜索注入的提醒和 Google Security Operations SOAR 提醒。
Google Security Operations 提取流程
Google Security Operations 注入模式包含以下类型的数据 提取:
将原始日志提取到 Google Security Operations 中:使用 Google Security Operations SIEM 转发器、注入 API、直接从 Google Cloud 或使用数据 Feed 提取原始日志。
提取其他 SIEM 生成的提醒:其他 SIEM 中生成的提醒按如下方式提取:
- Google Security Operations 从其他 SIEM 系统、EDR 或工单系统注入警报 使用 Google Security Operations SOAR 连接器或 Google Security Operations SOAR 网络钩子。
- Google Security Operations SOAR 会提取与提醒关联的事件,并创建相应的检测。
- Google Security Operations SOAR 会处理提醒和提取的事件。
客户可以创建检测引擎规则,以识别提取事件中的模式并生成其他检测结果。