Transferencia de datos de Google SecOps

Compatible con:

Google Security Operations transfiere registros de clientes, normaliza los datos y detecta alertas de seguridad. Proporciona funciones de autoservicio para la transferencia de datos, la detección de amenazas, las alertas y la administración de casos. Google SecOps también puede recibir alertas de otros sistemas SIEM y analizarlas.

Descripción general de la arquitectura de transferencia de datos

En el siguiente diagrama, se ilustra cómo fluyen tus datos de seguridad a Google SecOps y cómo el sistema procesa esos datos para su análisis en la interfaz.

Flujo y procesamiento de datos en Google SecOps

Pasos clave involucrados en la transferencia de datos

Google SecOps procesa tus datos de seguridad de la siguiente manera:

  1. Recupera datos de seguridad de servicios en la nube, como Amazon S3 o el Google Cloud. Google SecOps encripta estos datos en tránsito.
  2. Separa y almacena tus datos de seguridad encriptados en tu cuenta. El acceso se limita a ti y a una pequeña cantidad de personal de Google para la asistencia, el desarrollo y el mantenimiento del producto.
  3. Analiza y valida los datos de seguridad sin procesar, lo que facilita su procesamiento y visualización.
  4. Indexa los datos para realizar búsquedas rápidas.
  5. Almacena los datos analizados e indexados en tu cuenta.
  6. Ofrece acceso seguro para que los usuarios busquen y revisen sus datos de seguridad.
  7. Compara tus datos de seguridad con la base de datos de software malicioso de VirusTotal para identificar coincidencias. En una vista de eventos de Google SecOps, como la vista de activos, haz clic en Contexto de VT para ver la información de VirusTotal. Google SecOps no comparte tus datos de seguridad con VirusTotal.

Descripción general de los métodos de transferencia de datos

El servicio de transferencia de Google SecOps actúa como una puerta de enlace para todos los datos.

Google SecOps transfiere datos con los siguientes sistemas:

  • Google Cloud: Google SecOps recupera datos directamente de tu Google Cloud organización, que es el método principal para todos los registros estándar Google Cloud (por ejemplo, auditoría, flujo de VPC, DNS y firewall). Es la forma más rentable y eficaz de llevar la telemetría a Google SecOps. Google Cloud Para obtener más información, consulta Cómo transferir Google Cloud datos a Google SecOps.

  • Agente de Bindplane: Es un agente administrado para recopilar registros de entornos y servidores locales (Windows o Linux). Bindplane es una canalización de telemetría que puede recopilar, refinar y exportar registros de cualquier fuente a Google SecOps y, por lo tanto, proporciona flexibilidad para recopilar diferentes tipos de registros que no funcionan con otros métodos. Puedes usarlo para datos locales, como registros de firewall, registros de Windows y Linux, o para datos de la nube que deseas procesar previamente (por ejemplo, refinar o filtrar) antes de transferirlos a Google SecOps. También puedes administrar este agente con la consola de administración de Bindplane OP. Para obtener más información, consulta Usa el agente de Bindplane.

  • Feeds de datos: Los feeds de datos se usan principalmente para registros basados en la nube en los que los registros de terceros ya están agregados en un almacén de objetos, como Cloud Storage o Amazon S3, o cuando el tercero admite métodos basados en "inserción", como webhook. Los feeds de datos también proporcionan compatibilidad lista para usar para un conjunto predefinido de integraciones basadas en la API. Usa feeds de datos para registros basados en la nube, como EDR o cualquier aplicación SaaS, y para las integraciones específicas predefinidas como API directa. Los feeds de datos envían registros directamente al servicio de transferencia de Google SecOps. Para obtener más información, consulta la documentación de administración de feeds. Los feeds de datos admiten líneas de registro de hasta 4 MB de tamaño.

  • APIs de transferencia: Usa la API de Ingestion para aplicaciones personalizadas, de gran volumen o desarrolladas internamente que no se ajustan a otros métodos. Este método es un poco más complejo de usar que otros métodos de transferencia. Para obtener más información, consulta la API de Ingestion.

  • Reenviadores: El reenviador ya no está disponible. Google recomienda que uses el agente de Bindplane en su lugar.

Los analizadores convierten los registros de los sistemas de los clientes en un modelo de datos unificado (UDM). Los sistemas descendentes dentro de Google SecOps usan el UDM para proporcionar capacidades adicionales, incluidas las reglas y la búsqueda de UDM.

Consulta Comprende la disponibilidad de datos para la búsqueda para obtener detalles completos del ciclo de vida de la transferencia de datos, incluido el flujo de datos y la latencia de extremo a extremo, y cómo estos factores afectan la disponibilidad de los datos transferidos recientemente para la consulta y el análisis.

Especificaciones:

  • Cuando transfieras archivos, el formato de contenido del archivo debe coincidir con el formato esperado de la extensión del archivo para transferir los registros correctamente.

  • Los archivos grandes (5 a 10 GB o más) pueden retrasar significativamente la transferencia de datos.

  • La transferencia solo admite la codificación UTF-8.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.