Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

データの取り込みの概要

以下でサポートされています。

Google SecOps SIEM

Google Security Operations は、お客様のログを取り込み、データを正規化して、セキュリティアラートを検出します。データ取り込み、脅威検出、アラート、ケース管理のためのセルフサービス機能が提供されます。Google SecOps は、他の SIEM システムからアラートを受信して分析することもできます。

データの取り込みアーキテクチャの概要

次の図は、セキュリティデータが Google SecOps に流れ込む仕組みと、システムがインターフェースで分析用にそのデータを処理する方法を示しています。

Google SecOps へのデータのフローと処理

データの取り込みの主な手順

Google SecOps は、セキュリティデータを次のように処理します。

Amazon S3 やGoogle Cloudなどのクラウドサービスからセキュリティデータを取得します。Google SecOps は、このデータを転送中に暗号化します。
暗号化されたセキュリティデータを分離してアカウントに保存します。アクセスできるのは、お客様と、プロダクトのサポート、開発、メンテナンスを行う少数の Google 担当者のみです。
未加工のセキュリティデータを解析して検証し、処理と表示を容易にします。
データをインデックスに登録して、高速検索を実現します。
解析とインデックス付けを終えたデータをアカウントに保存します。
ユーザーがセキュリティデータを検索して確認するための安全なアクセスを提供します。
セキュリティデータと VirusTotal マルウェアデータベースを比較して、一致するものを特定します。アセットビューなどの Google SecOps のイベントビューで、[VT コンテキスト] をクリックして VirusTotal の情報を表示します。Google SecOps がセキュリティデータを VirusTotal と共有することはありません。

データ取り込み方法の概要

Google SecOps 取り込みサービスは、すべてのデータのゲートウェイとして機能します。

Google SecOps は、次のシステムを使用してデータを取り込みます。

Google Cloud: Google SecOps は、 Google Cloud 組織から直接データを取得します。これは、すべての標準 Google Cloud ログ（監査、VPC フロー、DNS、ファイアウォールなど）の主な方法です。これは、 Google Cloud テレメトリーを Google SecOps に取り込む最も費用対効果が高く、パフォーマンスに優れた方法です。詳細については、 Google Cloud データを Google SecOps に取り込むをご覧ください。
Bindplane エージェント: オンプレミス環境とサーバー（Windows または Linux）からログを収集するためのマネージドエージェントです。Bindplane は、任意のソースから Google SecOps にログを収集、精製、エクスポートできるテレメトリーパイプラインです。そのため、他の方法では機能しないさまざまな種類のログを柔軟に収集できます。これは、ファイアウォールログ、Windows ログ、Linux ログなどのオンプレミスデータや、Google SecOps に取り込む前に前処理（絞り込みやフィルタなど）するクラウドデータに使用できます。このエージェントは、Bindplane OP 管理コンソールを使用して管理することもできます。詳細については、Bindplane エージェントを使用するをご覧ください。
データフィード: データフィードは主に、サードパーティのログが Cloud Storage や Amazon S3 などのオブジェクトストアにすでに集約されているクラウドベースのログで使用されます。また、サードパーティが webhook などの「プッシュ」ベースの方法をサポートしている場合にも使用されます。データフィードは、事前定義された API ベースの統合セットのすぐに使えるサポートも提供します。EDR や SaaS アプリケーションなどのクラウドベースのログ、および Direct API として事前定義された特定の統合には、データフィードを使用します。データフィードは、ログを Google SecOps の取り込みサービスに直接送信します。詳しくは、フィード管理のドキュメントをご覧ください。データフィードでは、最大 4 MB のログ行がサポートされています。
Ingestion API: 他の方法に適合しないカスタムアプリケーション、大容量アプリケーション、自社開発アプリケーションには、Ingestion API を使用します。この方法は、他の取り込み方法よりもやや複雑です。詳細については、Ingestion API をご覧ください。
フォワーダー: フォワーダーはサポート終了となりました。代わりに Bindplane エージェントを使用することをおすすめします。

パーサーは、お客様のシステムからのログを統合データモデル（UDM）に変換します。Google SecOps 内のダウンストリームシステムは、UDM を使用して、ルールや UDM 検索などの追加機能を提供します。

エンドツーエンドのデータフローとレイテンシ、およびこれらの要素が最近取り込まれたデータのクエリと分析の可用性にどのように影響するかなど、データの取り込みライフサイクルの詳細については、検索のデータの可用性を理解するをご覧ください。

仕様:

ファイルを読み込む場合、ログを正常に読み込むには、ファイル拡張子から想定される形式とファイルコンテンツの形式が一致している必要があります。
サイズの大きいファイル（5 ～ 10 GB 以上）は、データの取り込みを大幅に遅らせる可能性があります。
取り込みでサポートされているのは UTF-8 エンコードのみです。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。