Google SecOps のデータの取り込み

以下でサポートされています。

Google Security Operations は、お客様のログを取り込み、データを正規化して、セキュリティ アラートを検出します。データの取り込み、脅威検出、アラート、ケース管理のためのセルフサービス機能が用意されています。 Google SecOps は、他の SIEM システムからアラートを受信して分析することもできます。

データの取り込みアーキテクチャの概要

次の図は、セキュリティ データが Google SecOps に流れる仕組みと、システムがそのデータを処理してインターフェースで分析する方法を示しています。

Google SecOps へのデータのフローと処理

データの取り込みに関連する主な手順

Google SecOps では、セキュリティ データを次のように処理します。

  1. Amazon S3 や Google Cloudなどのクラウド サービスからセキュリティ データを取得します。Google SecOps は、転送中のデータを暗号化します。
  2. 暗号化されたセキュリティ データを分離してアカウントに保存します。アクセスできるのは、お客様と、プロダクトのサポート、開発、メンテナンスを行う少数の Google 担当者 のみです。
  3. 未加工セキュリティ データを解析して検証します。これにより、データの処理と表示が容易になります。
  4. 迅速な検索のためにデータにインデックスを付けます。
  5. 解析してインデックスを付けたデータをアカウントに保存します。
  6. ユーザーがセキュリティ データを検索して確認するための安全なアクセスを提供します。
  7. セキュリティ データと VirusTotal マルウェア データベースを比較して、一致するものを特定します。アセットビューなどの Google SecOps イベントビューで、[VT コンテキスト] をクリックすると、VirusTotal の情報が表示されます。 Google SecOps は、セキュリティ データを VirusTotal と共有しません。

データの取り込み方法の概要

Google SecOps 取り込みサービスは、すべてのデータのゲートウェイとして機能します。

Google SecOps は、次のシステムを使用してデータを取り込みます。

  • Google Cloud: Google SecOps は、組織から直接データを取得します。これは、すべての標準ログ(監査、VPC フロー、DNS、ファイアウォールなど)の主な方法です。 Google Cloud Google Cloud これは、イン Google Cloud テレメトリーを Google SecOps に取り込む最も費用対効果が高く、パフォーマンスの高い方法です。 詳細については、データを Google SecOps に取り込むをご覧ください。 Google Cloud

  • Bindplane エージェント: オンプレミス 環境とサーバー(Windows または Linux) からログを収集するためのマネージド エージェントです。Bindplane は、任意のソースからログを収集、絞り込み、Google SecOps にエクスポートできるテレメトリー パイプラインです。そのため、他の方法では機能しないさまざまな種類のログを柔軟に収集できます。 ファイアウォール ログ、Windows ログ、Linux ログなどのオンプレミス データや、Google SecOps に取り込む前に前処理(絞り込みやフィルタリングなど)するクラウドデータに使用できます。 このエージェントは、Bindplane OP 管理コンソールを使用して管理することもできます。詳細については、 Bindplane エージェントを使用するをご覧ください。

  • データフィード: データフィードは主に、サードパーティ ログが Cloud Storage や Amazon S3 などのオブジェクト ストアにすでに集約されているクラウドベースのログや、サードパーティが webhook などの push ベースの方法をサポートしている場合に使用されます。 データフィードは、API ベースの統合の事前定義されたセットをすぐにサポートします。 データフィードは、EDR や SaaS アプリケーションなどのクラウドベースのログや、Direct API として事前定義された特定の統合に使用します。 データフィードは、ログを Google SecOps 取り込みサービスに直接送信します。詳細については、 フィード管理のドキュメントをご覧ください。データフィードは、最大 4 MB のログ行をサポートしています。

  • 取り込み API: 他の方法に適合しないカスタム アプリケーション、大容量アプリケーション、自社開発アプリケーションには、Ingestion API を使用します。この方法は、他の取り込み方法よりもやや複雑です。詳細については、Ingestion API をご覧ください。

  • フォワーダー: フォワーダーはサポート終了になりました。代わりに Bindplane エージェントを使用することをおすすめします。

パーサーは、お客様のシステムからのログを Unified Data Model(UDM)に変換します。Google SecOps 内のダウンストリーム システムは、UDM を使用して、ルールや UDM 検索などの追加機能を提供します。

データの取り込みライフサイクルの詳細(エンドツーエンドのデータフローとレイテンシ、これらの要因がクエリと分析のために最近取り込まれたデータの可用性に与える影響など)については、検索のデータの可用性を理解するをご覧ください。

仕様:

  • ファイルを取り込む場合、ログを正常に取り込むには、ファイルの内容の形式がファイル拡張子の想定される形式と一致している必要があります。

  • サイズの大きいファイル(5 ~ 10 GB 以上)の場合、データの取り込みが大幅に遅れる可能性があります。

  • 取り込みでサポートされているエンコードは UTF-8 のみです。

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。