Descripción general de la transferencia de datos
Google Security Operations transfiere registros de clientes, normaliza los datos y detecta alertas de seguridad. Proporciona funciones de autoservicio para la transferencia de datos, la detección de amenazas, las alertas y la administración de casos. Google SecOps también puede recibir alertas de otros sistemas SIEM y analizarlas.
Descripción general de la arquitectura de transferencia de datos
En el siguiente diagrama, se ilustra cómo fluyen tus datos de seguridad a Google SecOps y cómo el sistema procesa esos datos para su análisis en la interfaz.

Pasos clave involucrados en la transferencia de datos
Google SecOps procesa tus datos de seguridad de la siguiente manera:
- Recupera datos de seguridad de servicios en la nube, como Amazon S3 o el Google Cloud. Google SecOps encripta estos datos en tránsito.
- Separa y almacena tus datos de seguridad encriptados en tu cuenta. El acceso se limita a ti y a una pequeña cantidad de personal de Google para la asistencia, el desarrollo y el mantenimiento de productos.
- Analiza y valida los datos de seguridad sin procesar, lo que facilita su procesamiento y visualización.
- Indexa los datos para realizar búsquedas rápidas.
- Almacena los datos analizados e indexados en tu cuenta.
- Ofrece acceso seguro para que los usuarios busquen y revisen sus datos de seguridad.
- Compara tus datos de seguridad con la base de datos de software malicioso de VirusTotal para identificar coincidencias. En una vista de eventos de Google SecOps, como la vista de activos, haz clic en Contexto de VT para ver la información de VirusTotal. Google SecOps no comparte tus datos de seguridad con VirusTotal.
Descripción general de los métodos de transferencia de datos
El servicio de transferencia de Google SecOps actúa como una puerta de enlace para todos los datos.
Google SecOps transfiere datos con los siguientes sistemas:
Google Cloud: Google SecOps recupera datos directamente de tu Google Cloud organización, que es el método principal para todos los registros estándar Google Cloud (por ejemplo, auditoría, flujo de VPC, DNS y firewall). Es la forma más rentable y eficaz de llevar la telemetría a Google SecOps. Google Cloud Para obtener más información, consulta Cómo transferir Google Cloud datos a Google SecOps.
Agente de Bindplane: Es un agente administrado para recopilar registros de entornos y servidores locales (Windows o Linux). Bindplane es una canalización de telemetría que puede recopilar, refinar y exportar registros de cualquier fuente a Google SecOps y, por lo tanto, proporciona flexibilidad para recopilar diferentes tipos de registros que no funcionan con otros métodos. Puedes usarlo para datos locales, como registros de firewall, registros de Windows y Linux, o para datos de la nube que deseas procesar previamente (por ejemplo, refinar o filtrar) antes de transferirlos a Google SecOps. También puedes administrar este agente con la consola de administración de Bindplane OP. Para obtener más información, consulta Usa el agente de Bindplane.
Feeds de datos: Los feeds de datos se usan principalmente para registros basados en la nube en los que los registros de terceros ya están agregados en un almacén de objetos, como Cloud Storage o Amazon S3, o cuando el tercero admite métodos basados en "inserción", como webhook. Los feeds de datos también proporcionan compatibilidad lista para usar para un conjunto predefinido de integraciones basadas en la API. Usa feeds de datos para registros basados en la nube, como EDR o cualquier aplicación SaaS, y para las integraciones específicas predefinidas como API directa. Los feeds de datos envían registros directamente al servicio de transferencia de Google SecOps. Para obtener más información, consulta la documentación de administración de feeds. Los feeds de datos admiten líneas de registro de hasta 4 MB de tamaño. Puedes supervisar la actividad y los errores de los feeds con Cloud Logging. Para obtener más información, consulta Analiza la actividad de los feeds con Cloud Logging.
APIs de transferencia: Usa la API de transferencia para aplicaciones personalizadas, de gran volumen o desarrolladas internamente que no se ajustan a otros métodos. Este método es un poco más complejo de usar que otros métodos de transferencia. Para obtener más información, consulta la API de transferencia.
Reenviadores: El reenviador ya no está disponible. Google recomienda que uses el agente de Bindplane en su lugar.
Los analizadores convierten los registros de los sistemas de los clientes en un modelo de datos unificado (UDM). Los sistemas descendentes dentro de Google SecOps usan el UDM para proporcionar capacidades adicionales, incluidas las reglas y la búsqueda de UDM.
Consulta Comprende la disponibilidad de los datos para la búsqueda para obtener detalles completos del ciclo de vida de la transferencia de datos, incluido el flujo de datos y la latencia de extremo a extremo, y cómo estos factores afectan la disponibilidad de los datos transferidos recientemente para la consulta y el análisis.
Especificaciones:
Cuando se transfieren archivos, el formato de contenido del archivo debe coincidir con el formato esperado de la extensión del archivo para transferir los registros correctamente.
Los archivos grandes (5 a 10 GB o más) pueden retrasar significativamente la transferencia de datos.
La transferencia solo admite la codificación UTF-8.
Información sobre los tiempos de transferencia y disponibilidad de datos
La disponibilidad de los datos para el análisis en Google SecOps depende de varias etapas. Para solucionar los retrasos, distingue entre los retrasos del sistema de origen y el tiempo de procesamiento de Google SecOps.
Retrasos del sistema de origen (antes de la transferencia): Muchas fuentes de datos tienen latencias inherentes. Es posible que los datos no estén disponibles para la recopilación inmediatamente después de que se produzca un evento. Entre las causas comunes, se incluyen las siguientes:
- Programaciones de procesamiento y procesamiento por lotes de origen
- Tiempo necesario para escribir eventos en archivos de registro o extremos de API
- Límites de frecuencia de la API
- La diferencia entre la marca de tiempo del evento y la hora en que el registro está disponible para la transferencia (por ejemplo,
createTime)
Retrasos en la transferencia y el procesamiento de Google SecOps: Después de que los datos llegan a un punto de transferencia, los siguientes pasos pueden introducir retrasos:
- Intervalo de recopilación: Para las fuentes agrupadas (como las APIs o los buckets de almacenamiento), la frecuencia de feed configurada (por ejemplo, cada 5 minutos o cada hora) dicta el retraso máximo.
- Canalización interna: Análisis, normalización, indexación y enriquecimiento. Para obtener más información, consulta Comprende la disponibilidad de los datos para la búsqueda.
Si experimentas retrasos, determina si la causa es la fuente o Google SecOps. Por ejemplo, los registros de los servicios de almacenamiento de objetos no son en tiempo real y dependen de la frecuencia de sondeo.
Para obtener una lista de los tipos de registros con retrasos conocidos del lado de la fuente, consulta la referencia de la API de administración de feeds.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.