Feed 管理概览
本页面概述了 Google SecOps Feed 管理。 您可以使用 Feed 管理界面或 Feed 管理 API 创建和管理 Feed。
Feed 管理界面基于 Feed 管理 API 构建。您可以使用 Google SecOps 数据 Feed 将日志数据从以下来源注入到您的 Google SecOps 实例中:
- Google SecOps 支持的 Cloud Storage 服务,例如 Google Cloud Storage 和 Amazon S3
- Google SecOps 支持且通过 API 访问的第三方数据源,例如 Microsoft 365
- 可使用 HTTP(S) 请求直接访问的文件
- 支持 HTTPS 推送注入的来源,例如网络钩子、Pub/Sub 和 Amazon Data Firehose。您可以使用 HTTPS 端点从这些来源推送日志。
您创建的每个 Feed 都由数据 来源类型和 日志类型组成。 Google Cloud Storage、第三方 API 和 HTTP 可访问的文件都是来源类型的示例。对于 Google SecOps 支持的每种数据源类型,Google SecOps 还支持特定的日志类型。例如,对于 Google Cloud Storage 来源类型,Google SecOps 支持 Carbon Black 日志类型以及许多其他日志类型。支持的日志类型列表因来源类型而异。
创建 Feed 时,您需要指定来源类型、日志类型、所需权限、身份验证详细信息以及基于日志类型的其他信息。作为安全设计的一部分 ,Google SecOps 会将用户凭据(例如 ,您提供的凭据,以便 Google SecOps Feed 可以从第三方 API 注入日志数据)存储在 Secret Manager 中。
如果 Google SecOps 为日志类型提供了默认解析器 ,则注入的日志数据将以 Google SecOps 统一数据模型 (UDM) 格式和原始日志格式存储。
支持的来源类型和日志类型
Google SecOps 支持以下来源类型:
| Feed 来源类型 | 说明 |
|---|---|
| 第三方 API | 从第三方 API 注入数据。 |
| Pub/Sub | 使用 Pub/Sub 推送订阅注入数据。 |
| Google Cloud Storage(已弃用) | 从 Google Cloud Storage 存储桶注入数据。 注意:此连接器已弃用,将于 2027 年 3 月 15 日停用。我们建议使用 Google Cloud Storage v2 ,以提高可靠性、可伸缩性和性能。 |
| Amazon Data Firehose | 使用 Amazon Data Firehose 注入数据。 |
| Amazon S3(已弃用) | 从 Amazon Simple Storage Service 存储桶注入数据。 注意:此连接器已弃用,将于 2027 年 3 月 15 日停用。我们建议使用 Amazon S3 v2 ,以提高可靠性、可伸缩性和性能。 |
| Amazon SQS(已弃用) | 从 Amazon Simple Queue Service 队列注入数据,该队列的条目指向存储在 S3 中的文件。 注意:此连接器已弃用,将于 2027 年 3 月 15 日停用。我们建议使用 Amazon SQS v2 ,以提高可靠性、可伸缩性和性能。 |
| Azure Blobstore(已弃用) | 从 Azure Blob Storage 注入数据。 注意: 此连接器已弃用,将于 2027 年 3 月 15 日停用。我们建议使用 Azure Blobstore v2 ,以提高可靠性、可伸缩性和性能。 |
| HTTP(S) | 从可通过 HTTP(S) 请求访问的文件注入数据。**请勿** 使用此来源类型与第三方 API 交互。对于 Google SecOps 支持的第三方 API,请使用 API
Feed 来源类型。 |
| 网络钩子 | 使用 HTTPS 网络钩子注入数据。 |
您可以通过多种方式查看支持的日志类型列表:
Google SecOps 界面:如需了解如何查看每种来源类型支持的 日志类型列表,请参阅添加 Feed。
API 参考文档:如需查看第三方 API Feed 支持的日志类型列表,请参阅按日志类型配置。
Feed 架构 API:如需查看任何来源类型的日志类型,您还可以使用 Feed 架构 API。
后续步骤
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。