Google SecOps-Datenaufnahme

Unterstützt in:

Google Security Operations nimmt Kundenlogs auf, normalisiert die Daten und erkennt Sicherheitswarnungen. Es bietet Self-Service-Funktionen für die Datenaufnahme, die Erkennung von Bedrohungen, Benachrichtigungen und die Fallverwaltung. Google SecOps kann auch Warnungen von anderen SIEM-Systemen empfangen und analysieren.

Technische Daten:

  • Beim Erfassen von Dateien muss das Inhaltsformat der Datei mit dem erwarteten Format der Dateiendung übereinstimmen, damit die Logs erfolgreich erfasst werden können.

  • Bei großen Dateien (5–10 GB oder größer) kann es zu erheblichen Verzögerungen bei der Datenerfassung kommen.

  • Für die Aufnahme wird nur die UTF-8-Codierung unterstützt.

Google SecOps-Logaufnahme

Der Google SecOps-Aufnahmedienst fungiert als Gateway für alle Daten.

Google SecOps nimmt Daten über die folgenden Systeme auf:

  • Google Cloud: Google SecOps ruft Daten direkt aus Ihrer Google Cloud Organisation ab. Dies ist die primäre Methode für alle Standard- Google Cloud Logs (z. B. Audit-, VPC-Fluss-, DNS- und Firewall-Logs). Dies ist die kostengünstigste und leistungsstärkste Methode, um Google Cloud Telemetriedaten in Google SecOps zu übertragen. Weitere Informationen finden Sie unter Daten in Google SecOps aufnehmen. Google Cloud

  • BindPlane-Agent: Dies ist ein verwalteter Agent zum Erfassen von Logs aus lokalen Umgebungen und von Servern (Windows oder Linux). Bindplane ist eine Telemetrie-Pipeline, mit der Logs aus beliebigen Quellen in Google SecOps erfasst, verfeinert und exportiert werden können. So können Sie flexibel verschiedene Arten von Logs erfassen, die mit anderen Methoden nicht funktionieren. Sie können es für lokale Daten wie Firewall-Logs, Windows- und Linux-Logs oder für Cloud-Daten verwenden, die Sie vor der Aufnahme in Google SecOps vorverarbeiten möchten (z. B. verfeinern oder filtern). Sie können diesen Agent auch über die Bindplane OP Management Console verwalten. Weitere Informationen finden Sie unter BindPlane-Agent verwenden.

  • Datenfeeds: Datenfeeds werden hauptsächlich für cloudbasierte Protokolle verwendet, bei denen die Drittanbieterprotokolle bereits in einem Objektspeicher wie Cloud Storage oder Amazon S3 zusammengefasst sind oder wenn der Drittanbieter Push-basierte Methoden wie Webhook unterstützt. Datenfeeds bieten auch sofort einsatzbereite Unterstützung für eine vordefinierte Reihe von API-basierten Integrationen. Verwenden Sie Datenfeeds für cloudbasierte Logs wie EDRs oder SaaS-Anwendungen und für die spezifischen Integrationen, die als Direct API vordefiniert sind. Über die Datenfeeds werden Protokolle direkt an den Google SecOps-Aufnahmedienst gesendet. Weitere Informationen finden Sie in der Dokumentation zur Feedverwaltung. Datenfeeds unterstützen Logzeilen mit einer Größe von bis zu 4 MB.

  • Aufnahme-APIs: Verwenden Sie die Ingestion API für benutzerdefinierte Anwendungen mit hohem Volumen oder selbst entwickelte Anwendungen, die nicht in andere Methoden passen. Diese Methode ist etwas komplexer als andere Aufnahmemethoden. Weitere Informationen finden Sie unter Ingestion API.

  • Forwarder: Der Forwarder wird nicht mehr unterstützt. Google empfiehlt stattdessen die Verwendung des Bindplane-Agents.

Mit Parsern werden Logs aus Kundensystemen in ein einheitliches Datenmodell (Unified Data Model, UDM) umgewandelt. Downstream-Systeme in Google SecOps verwenden das UDM, um zusätzliche Funktionen bereitzustellen, darunter Regeln und UDM-Suche.

Hier finden Sie ausführliche Informationen zum Datenaufnahmezyklus für die Suche, einschließlich des End-to-End-Datenflusses und der Latenz sowie der Auswirkungen dieser Faktoren auf die Verfügbarkeit von kürzlich aufgenommenen Daten für Abfragen und Analysen.

Arten der Google SecOps-Aufnahme

Google SecOps kann sowohl Logs als auch Warnungen aufnehmen, unterstützt aber nur Warnungen für einzelne Ereignisse. Mit der UDM-Suche können Sie sowohl nach aufgenommenen als auch nach integrierten Google SecOps-Benachrichtigungen suchen.

Google SecOps unterstützt die folgenden Arten der Datenerfassung:

Rohlogs

Google SecOps erfasst Rohlogs über Forwarder, die Ingestion API, Datenfeeds oder direkt von Google Cloud.

Verwenden Sie eine einzeilige JSON-Nutzlast für die Aufnahme von Rohlogs. Beispiel: { "firstName": "Alex", "lastName": "N", "age": 30, "isStudent": false, "address": { "streetAddress": "1800 Amphibious Blvd", "city": "Anytown", "state": "CA", "postalCode": "94045" }, "phoneNumbers": [ { "type": "home", "number": "800-555-0199" }, { "type": "mobile", "number": "800-554-0199" } ], "hobbies": ["reading", "hiking", "cooking"]}

Wenn Sie eine mehrzeilige Nutzlast einreichen, interpretiert das System jede Zeile als separaten Logeintrag.

Benachrichtigungen von anderen SIEM-Systemen

Google SecOps kann Benachrichtigungen aus anderen SIEM-Systemen, EDRs oder Ticketsystemen aufnehmen:

  1. Benachrichtigungen über Google SecOps-Connectors oder Google SecOps-Webhooks erhalten.
  2. Die mit jeder Benachrichtigung verknüpften Ereignisse werden aufgenommen und eine entsprechende Erkennung wird erstellt.
  3. Sowohl die aufgenommenen Ereignisse als auch die erkannten Ereignisse verarbeiten.

Sie können Regeln für die Erkennungs-Engine erstellen, um Muster in den aufgenommenen Ereignissen zu erkennen und zusätzliche Erkennungen zu generieren.

Datenaufnahmefluss

Das folgende Diagramm veranschaulicht, wie Ihre Sicherheitsdaten in Google SecOps einfließen und wie das System diese Daten für die Analyse in der Benutzeroberfläche verarbeitet.

Datenfluss und ‑verarbeitung für Google SecOps

Sicherheitsdaten von Kunden in Google SecOps verarbeiten

Google SecOps verarbeitet Ihre Sicherheitsdaten so:

  1. Ruft Sicherheitsdaten von Cloud-Diensten wie Amazon S3 oderGoogle Cloudab. Google SecOps verschlüsselt diese Daten bei der Übertragung.
  2. Ihre verschlüsselten Sicherheitsdaten werden in Ihrem Konto getrennt gespeichert. Der Zugriff ist auf Sie und eine kleine Anzahl von Google-Mitarbeitern für Produktsupport, Entwicklung und Wartung beschränkt.
  3. Rohe Sicherheitsdaten werden geparst und validiert, was die Verarbeitung und Anzeige erleichtert.
  4. Die Daten werden für schnelle Suchvorgänge indexiert.
  5. Speichert die geparsten und indexierten Daten in Ihrem Konto.
  6. Bietet Nutzern sicheren Zugriff, um ihre Sicherheitsdaten zu durchsuchen und zu überprüfen.
  7. Vergleicht Ihre Sicherheitsdaten mit der VirusTotal-Malware-Datenbank, um Übereinstimmungen zu finden. Klicken Sie in einer Google SecOps-Ereignisansicht, z. B. der Asset-Ansicht, auf VT-Kontext, um VirusTotal-Informationen aufzurufen. Google SecOps gibt Ihre Sicherheitsdaten nicht an VirusTotal weiter.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten