Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על הטמעת נתונים

נתמך ב:

Google secops SIEM

‫Google Security Operations קולטת יומנים של לקוחות, מבצעת נורמליזציה של הנתונים ומזהה התראות אבטחה. הוא מספק תכונות בשירות עצמי להוספת נתונים, לזיהוי איומים, להתראות ולניהול בקשות תמיכה. בנוסף, Google SecOps יכול לקבל התראות ממערכות SIEM אחרות ולנתח אותן.

סקירה כללית של ארכיטקטורת הטמעת נתונים

בתרשים הבא מוצג תהליך הזרימה של נתוני האבטחה אל Google SecOps, ואיך המערכת מעבדת את הנתונים האלה לצורך ניתוח בממשק.

הזרימה והעיבוד של נתונים ב-Google SecOps

השלבים העיקריים שקשורים להטמעת נתונים

‫Google SecOps מעבדת את נתוני האבטחה שלכם באופן הבא:

שליפת נתוני אבטחה משירותי ענן כמו Amazon S3 אוGoogle Cloud. ‫Google SecOps מצפין את הנתונים האלה בזמן ההעברה.
מפריד את נתוני האבטחה המוצפנים ומאחסן אותם בחשבון. הגישה מוגבלת לכם ולמספר מצומצם של עובדי Google לצורך תמיכה, פיתוח ותחזוקה של המוצר.
המערכת מנתחת ומאמתת נתוני אבטחה גולמיים, וכך מקלה על העיבוד והצפייה בהם.
מבצע אינדוקס של הנתונים כדי לאפשר חיפושים מהירים.
מאחסן את הנתונים שנותחו ועברו אינדוקס בחשבון שלכם.
מאפשר למשתמשים גישה מאובטחת לחיפוש ולבדיקה של נתוני האבטחה שלהם.
השוואה בין נתוני האבטחה לבין מסד הנתונים של תוכנות זדוניות ב-VirusTotal כדי לזהות התאמות. בתצוגת אירועים ב-Google SecOps, כמו תצוגת הנכסים, לוחצים על VT Context כדי לראות מידע מ-VirusTotal. ‫Google SecOps לא משתף את נתוני האבטחה שלכם עם VirusTotal.

סקירה כללית של שיטות להטמעת נתונים

שירות ההטמעה של Google SecOps פועל כשער לכל הנתונים.

‫Google SecOps קולטת נתונים באמצעות המערכות הבאות:

‫Google Cloud: Google SecOps מאחזר נתונים ישירות מהארגון שלכם Google Cloud , וזו השיטה העיקרית לכל היומנים הרגילים Google Cloud (לדוגמה, יומני ביקורת, יומני זרימת VPC, יומני DNS ויומני חומת אש). זו הדרך הכי חסכונית ויעילה להעברת טלמטריה אל Google SecOps. Google Cloud מידע נוסף זמין במאמר בנושא הוספת נתונים ל-Google SecOps Google Cloud .
סוכן Bindplane: זהו סוכן מנוהל לאיסוף יומנים מסביבות ומשרתים מקומיים (Windows או Linux). ‫Bindplane הוא צינור טלמטריה שיכול לאסוף, לחדד ולייצא יומנים מכל מקור ל-Google SecOps, ולכן הוא מספק גמישות באיסוף סוגים שונים של יומנים שלא פועלים עם שיטות אחרות. אפשר להשתמש בו לנתונים מקומיים, כמו יומני חומת אש, יומני Windows ו-Linux, או לנתוני ענן שרוצים לעבד מראש (לדוגמה, לחדד או לסנן) לפני שמטמיעים אותם ב-Google SecOps. אפשר גם לנהל את הסוכן הזה באמצעות מסוף הניהול של Bindplane OP. מידע נוסף זמין במאמר בנושא שימוש בסוכן Bindplane.
פידים של נתונים: פידים של נתונים משמשים בעיקר ליומנים מבוססי-ענן שבהם היומנים של הצד השלישי כבר מצורפים למאגר אובייקטים, כמו Cloud Storage או Amazon S3, או כשהצד השלישי תומך בשיטות מבוססות-push, כמו webhook. פידים של נתונים מספקים גם תמיכה מוכנה לשימוש בקבוצה מוגדרת מראש של שילובים מבוססי-API. אפשר להשתמש בפידים של נתונים ליומנים מבוססי-ענן כמו EDR או כל אפליקציית SaaS, ולשילובים ספציפיים שהוגדרו מראש כAPI ישיר. פידים של נתונים שולחים יומנים ישירות לשירות ההטמעה של Google SecOps. מידע נוסף מופיע במאמרי העזרה בנושא ניהול פידים. פידים של נתונים תומכים בשורות יומן בגודל של עד 4MB.
‫APIs להטמעת נתונים: משתמשים ב-Ingestion API לאפליקציות מותאמות אישית, לאפליקציות עם נפח נתונים גדול או לאפליקציות שפותחו באופן עצמאי ולא מתאימות לשיטות אחרות. השיטה הזו קצת יותר מורכבת לשימוש משיטות אחרות להוספת נתונים. מידע נוסף מופיע במאמר בנושא Ingestion API.
העברת הודעות: התכונה 'העברת הודעות' הגיעה לסוף החיים שלה. ‫Google ממליצה להשתמש במקום זאת בסוכן Bindplane.

מנתחי נתונים ממירים יומנים ממערכות של לקוחות למודל נתונים מאוחד (UDM). מערכות במורד הזרם ב-Google SecOps משתמשות ב-UDM כדי לספק יכולות נוספות, כולל כללים וחיפוש ב-UDM.

במאמר הסבר על זמינות הנתונים לחיפוש מפורט מחזור החיים של הטמעת הנתונים, כולל זרימת הנתונים מקצה לקצה והשהיה, ואיך הגורמים האלה משפיעים על הזמינות של נתונים שהוטמעו לאחרונה לצורך שאילתות וניתוח.

מפרטים:

כשמבצעים המרה של קבצים, פורמט התוכן של הקובץ חייב להתאים לפורמט הצפוי מהסיומת של הקובץ כדי שההמרה של היומנים תתבצע בהצלחה.
קבצים גדולים (בגודל 5-10GB או יותר) עלולים לגרום לעיכוב משמעותי בהעברת הנתונים.
הטמעה תומכת רק בקידוד UTF-8.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.