Importazione dati di Google SecOps

Supportato in:

Google Security Operations importa i log dei clienti, normalizza i dati e rileva gli avvisi di sicurezza. Fornisce funzionalità self-service per l'importazione dati, il rilevamento delle minacce, gli avvisi e la gestione dei casi. Google SecOps può anche ricevere avvisi da altri sistemi SIEM e analizzarli.

Panoramica dell'architettura di importazione dei dati

Il seguente diagramma illustra il flusso dei dati di sicurezza in Google SecOps e la modalità di elaborazione dei dati da parte del sistema per l'analisi in nell'interfaccia.

Flusso ed elaborazione dei dati in Google SecOps

Passaggi chiave per l'importazione dati

Google SecOps elabora i dati di sicurezza nel seguente modo:

  1. Recupera i dati di sicurezza dai servizi cloud come Amazon S3 o il Google Cloud. Google SecOps cripta questi dati in transito.
  2. Separa e archivia i dati di sicurezza criptati nel tuo account. L'accesso è limitato a te e a un numero ridotto di dipendenti Google per l'assistenza, lo sviluppo e la manutenzione dei prodotti.
  3. Analizza e convalida i dati di sicurezza non elaborati, semplificandone l'elaborazione e la visualizzazione.
  4. Indicizza i dati per ricerche rapide.
  5. Archivia i dati analizzati e indicizzati nel tuo account.
  6. Offre agli utenti un accesso sicuro per cercare e rivedere i propri dati di sicurezza.
  7. Confronta i dati di sicurezza con il database di malware di VirusTotal per identificare le corrispondenze. In una visualizzazione degli eventi di Google SecOps, ad esempio la visualizzazione Asset, fai clic su Contesto VT per visualizzare le informazioni di VirusTotal. Google SecOps non condivide i tuoi dati di sicurezza con VirusTotal.

Panoramica dei metodi di importazione dati

Il servizio di importazione di Google SecOps funge da gateway per tutti i dati.

Google SecOps importa i dati utilizzando i seguenti sistemi:

  • Google Cloud: Google SecOps recupera i dati direttamente dalla tua Google Cloud organizzazione, che è il metodo principale per tutti i log standard Google Cloud standard (ad esempio, Audit, VPC Flow, DNS e Firewall). È il modo più economico ed efficiente per portare la telemetria in Google SecOps. Google Cloud Per saperne di più, consulta la sezione Importare Google Cloud i dati in Google SecOps.

  • Agente Bindplane: si tratta di un agente gestito per la raccolta dei log da server e ambienti on-premise (Windows o Linux). Bindplane è una pipeline di telemetria che può raccogliere, perfezionare ed esportare i log da qualsiasi origine in Google SecOps e, pertanto, offre flessibilità nella raccolta di diversi tipi di log che non funzionano con altri metodi. Puoi utilizzarlo per i dati on-premise, come i log del firewall, i log di Windows e Linux, o per i dati cloud che vuoi pre-elaborare (ad esempio, perfezionare o filtrare) prima di importarli in Google SecOps. Puoi anche gestire questo agente utilizzando la console di gestione di Bindplane OP. Per saperne di più, consulta la sezione Utilizzare l'agente Bindplane.

  • Feed di dati: i feed di dati vengono utilizzati principalmente per i log basati su cloud in cui i log di terze parti sono già aggregati in un archivio di oggetti, come Cloud Storage o Amazon S3, o quando la terza parte supporta metodi basati su "push", come i webhook. I feed di dati forniscono anche il supporto out-of-the-box per un insieme predefinito di integrazioni basate su API. Utilizza i feed di dati per i log basati su cloud, come gli EDR o qualsiasi applicazione SaaS, e per le integrazioni specifiche predefinite come API dirette. I feed di dati inviano i log direttamente al servizio di importazione di Google SecOps. Per saperne di più, consulta la documentazione sulla gestione dei feed. I feed di dati supportano righe di log di dimensioni fino a 4 MB.

  • API di importazione: utilizza l'API di importazione per applicazioni personalizzate, ad alto volume o sviluppate internamente che non rientrano in altri metodi. Questo metodo è leggermente più complesso da utilizzare rispetto ad altri metodi di importazione. Per saperne di più, consulta la sezione API di importazione.

  • Agenti di inoltro: il ciclo di vita dell'agente di inoltro è terminato. Google consiglia di utilizzare l'agente Bindplane.

I parser convertono i log dei sistemi dei clienti in un modello UDM (Unified Data Model). I sistemi downstream di Google SecOps utilizzano l'UDM per fornire funzionalità aggiuntive, tra cui regole e ricerca UDM.

Per informazioni dettagliate sul ciclo di vita dell'importazione dati, inclusi il flusso di dati end-to-end e la latenza, e su come questi fattori influiscono sulla disponibilità dei dati importati di recente per le query e l'analisi, consulta la sezione Comprendere la disponibilità dei dati per la ricerca.

Specifiche:

  • Quando importi i file, il formato del contenuto del file deve corrispondere al formato previsto dall'estensione del file per importare correttamente i log.

  • I file di grandi dimensioni (5-10 GB o più) possono ritardare notevolmente importazione dati.

  • L'importazione supporta solo la codifica UTF-8.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.