Datenverarbeitungspipelines einrichten und verwalten

Unterstützt in:

Dieses Dokument hilft Sicherheitsexperten, Datenverarbeitungs-Pipelines in Google SecOps einzurichten und zu verwalten, um Ereignisse zu filtern, Felder zu transformieren oder vertrauliche Werte vor der Aufnahme zu entfernen. Diese Funktion bietet eine robuste Vorab-Parsing-Kontrolle über den Datenaufnahmeprozess. Wenn Sie die empfohlenen Methoden in diesem Leitfaden befolgen, können Sie die Datenkompatibilität optimieren, Kosten senken und vertrauliche Informationen in Google SecOps schützen.

Die Datenverarbeitung vereinfacht die Logverwaltung durch die folgenden Kernaktionen:

  • Filtern: Rauschen und Kosten reduzieren, indem nur relevante Ereignisse erfasst werden.
  • Transformieren: Datenformate ändern, Felder parsen und Logs für eine bessere Nutzbarkeit anreichern.
  • Redact: Schützen Sie vertrauliche Informationen, indem Sie sensible Werte vor dem Speichern maskieren oder entfernen.

Das folgende Diagramm veranschaulicht, wie Ihre Daten in Google SecOps einfließen und wie das System diese Daten verarbeitet:

Datenverarbeitungspipelines

Sie können die Datenverarbeitung für lokale und Cloud-Datenstreams entweder über die Bindplane-Verwaltungskonsole oder direkt über die öffentlichen Google SecOps Data Pipeline APIs konfigurieren.

Gängige Anwendungsfälle

Beispiele für Anwendungsfälle für die Datenverarbeitung:

  • Leere Schlüssel/Wert-Paare aus Rohlogs entfernen
  • Entfernen Sie sensible Daten.
  • Aufnahme-Labels aus Rohlog-Inhalten hinzufügen
  • In Umgebungen mit mehreren Instanzen können Sie Aufnahmelabels auf Logdaten für die Direktaufnahme anwenden, um die Quellstream-Instanz (z. B.Google Cloud Workspace) zu identifizieren.
  • Palo Alto Cortex-Daten nach Feldwerten filtern
  • SentinelOne-Daten nach Kategorie reduzieren
  • Extrahieren Sie Hostinformationen aus Feeds und Logs für die direkte Aufnahme und ordnen Sie sie dem Feld ingestion_source für Cloud Monitoring zu.

Schlüsselterminologie

Für die Datenverarbeitung werden die folgenden Elemente verwendet:

  • Streams: Ein bestimmter Datenfluss, der durch den Logtyp und die Erfassungsquelle (z. B. ein Feed oder eine API) definiert wird und als Eingabe für eine Datenverarbeitungs-Pipeline dient.
  • Prozessorknoten: Eine Komponente in einer Pipeline, die einen oder mehrere Prozessoren enthält, z. B. Filter-, Transformations- oder Bereinigungsaktionen. Diese Prozessoren bearbeiten Daten sequenziell, während sie den Knoten durchlaufen.
  • Ziel: Der Endpunkt der Datenverarbeitungspipeline, in der Regel die Google SecOps-Instanz, an die verarbeitete Daten zur endgültigen Aufnahme und Analyse gesendet werden.

Hinweis

Bevor Sie mit der Einrichtung von Pipelines zur Datenverarbeitung beginnen, sollten Sie die folgenden Anforderungen prüfen:

  • API-Unterstützung: Die Datenverarbeitung wird für Push-basierte Streams durch Aufrufen der Chronicle API unterstützt.
  • Datensichtbarkeit: Daten, die von Forwardern und Bindplane aufgenommen werden, werden mit einem eindeutigen collectorID gekennzeichnet, der sich von dem für Streams mit direkter Aufnahme unterscheidet. Damit alle Logs sichtbar sind, müssen Sie entweder alle Erfassungsmethoden auswählen, wenn Sie Datenquellen abfragen, oder explizit auf die entsprechende collectorID verweisen, wenn Sie mit der API interagieren.

  • Bindplane-Console einrichten: Wenn Sie die Bindplane-Console für die Einrichtung und Verwaltung verwenden möchten, führen Sie die folgenden Schritte aus:

    1. Weisen Sie in der Google SecOps Console dem Nutzer oder Dienstkonto, das Sie zum Konfigurieren der Bindplane-Integration verwenden, eine der folgenden Rollen zu:

      • Eine benutzerdefinierte Rolle mit den folgenden Berechtigungen:

        • chronicle.logProcessingPipelines.associateStreams
        • chronicle.logProcessingPipelines.create
        • chronicle.logProcessingPipelines.delete
        • chronicle.logProcessingPipelines.dissociateStreams
        • chronicle.logProcessingPipelines.fetchAssociatedPipeline
        • chronicle.logProcessingPipelines.fetchSampleLogsByStreams
        • chronicle.logProcessingPipelines.get
        • chronicle.logProcessingPipelines.list
        • chronicle.logProcessingPipelines.testPipeline
        • chronicle.logProcessingPipelines.update
        • chronicle.logTypes.get
        • chronicle.logTypes.list
        • chronicle.feeds.get
        • chronicle.feeds.list
        • chronicle.logs.list

        Wir empfehlen, eine benutzerdefinierte Rolle mit den angegebenen erforderlichen Berechtigungen zu verwenden.

        Weitere Informationen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten und Funktionszugriffssteuerung mit IAM konfigurieren.

      • Die vordefinierte Rolle „Chronicle API Admin“ roles/chronicle.admin.

        Weitere Informationen finden Sie unter Rolle „Project IAM Admin“ in einem dedizierten Projekt zuweisen.

    2. Installieren Sie die BindPlane-Serverkonsole. Informationen zu SaaS oder On-Premise finden Sie unter BindPlane Server-Konsole installieren. Achten Sie darauf, dass Sie die neueste Version von Bindplane (oder Bindplane-Version 1.96.4 oder höher) installieren.

    3. Verbinden Sie in der BindPlane-Konsole eine Google SecOps-Zielinstanz mit Ihrem BindPlane-Projekt. Weitere Informationen finden Sie unter Verbindung zu einer Google SecOps-Instanz herstellen.

Verbindung zu einer Google SecOps-Instanz herstellen

Bevor Sie beginnen, müssen Sie sicherstellen, dass Sie Bindplane-Projektadministratorberechtigungen haben, um auf die Seite Projektintegrationen zuzugreifen.

Die Google SecOps-Instanz dient als Ziel für Ihre Datenausgabe.

So stellen Sie über die Bindplane Server-Konsole eine Verbindung zu einer Google SecOps-Instanz her:

  1. Klicken Sie in der Bindplane Server-Konsole auf  Menü und wählen Sie Projekteinstellungen aus.
  2. Rufen Sie auf der Seite Projekteinstellungen die Karte Integrationen auf und klicken Sie auf Mit Google SecOps verbinden, um das Fenster Integration bearbeiten zu öffnen.

  3. Geben Sie die Details für die Google SecOps-Zielinstanz ein.
    In dieser Instanz werden die verarbeiteten Daten (Ausgabe aus der Datenverarbeitung) so aufgenommen:

    Feld Beschreibung
    Region Region Ihrer Google SecOps-Instanz.
     Wenn Sie die Instanz in der Google Cloud -Konsole aufrufen möchten, gehen Sie zu Sicherheit > „Erkennungen und Steuerelemente“ > Google Security Operations > Instanzdetails.
    Kundennummer Kundennummer Ihrer Google SecOps-Instanz.

    Rufen Sie in der Google SecOps Console die SIEM-Einstellungen > „Profile“ > „Organisationsdetails“ auf.
    Google Cloud Projektnummer Google Cloud Projektnummer Ihrer Google SecOps-Instanz.

    Die Projektnummer finden Sie in der Google SecOps Console unter SIEM-Einstellungen > Profil > Organisationsdetails.
    Anmeldedaten Anmeldedaten für Dienstkonten sind der JSON-Wert, der für die Authentifizierung und den Zugriff auf die Google SecOps Data Pipeline APIs erforderlich ist. Rufen Sie diesen JSON-Wert aus der Datei mit den Anmeldedaten für das Google-Dienstkonto ab.

     Das Dienstkonto muss sich im selben Projekt wie Ihre Google SecOps-Instanz befinden und erfordert entweder die Berechtigungen der Rolle „Chronicle API Admin“ (roles/chronicle.admin) oder eine benutzerdefinierte Rolle mit den erforderlichen Berechtigungen (siehe Voraussetzungen). Google Cloud

    Informationen zum Erstellen eines Dienstkontos und zum Herunterladen der JSON-Datei finden Sie unter Dienstkontoschlüssel erstellen und löschen.

    Alternativ unterstützen Bindplane Cloud-Bereitstellungen die Workload Identity-Föderation (WIF) für die Authentifizierung. WIF wird in selbst gehosteten Bindplane-Bereitstellungen nicht unterstützt. Weitere Informationen finden Sie unter Google SecOps-Integration mit WIF-Authentifizierung verbinden.

  4. Klicken Sie auf Verbinden. Wenn Ihre Verbindungsdetails korrekt sind und Sie erfolgreich eine Verbindung zu Google SecOps herstellen, können Sie Folgendes erwarten:

    • Eine Verbindung zur Google SecOps-Instanz wird geöffnet.
    • Wenn Sie zum ersten Mal eine Verbindung herstellen, wird der Tab SecOps Pipelines in der Bindplane-Konsole angezeigt.
    • In der Bindplane-Konsole werden alle verarbeiteten Daten angezeigt, die Sie zuvor für diese Instanz über die API eingerichtet haben. Das System konvertiert einige Prozessoren, die Sie mit der API konfiguriert haben, in Bindplane-Prozessoren und zeigt andere im Rohformat der OpenTelemetry Transformation Language (OTTL) an. Sie können die Bindplane-Konsole verwenden, um Pipelines und Prozessoren zu bearbeiten, die zuvor mit der API eingerichtet wurden.

  5. Nachdem Sie eine Verbindung zu einer Google SecOps-Instanz hergestellt haben, können Sie die Datenverarbeitung einrichten.

Datenverarbeitung mit der Bindplane-Konsole einrichten

In diesem Abschnitt wird beschrieben, wie Sie eine neue Logverarbeitungs-Pipeline in Google SecOps mit der Bindplane-Konsole bereitstellen und bereitstellen. Sie können die Bindplane-Konsole auch verwenden, um Pipelines zu verwalten, die zuvor mit der API eingerichtet wurden.

Neue Google SecOps-Pipeline erstellen

Eine Google SecOps-Pipeline ist ein Container, in dem Sie einen Datenverarbeitungscontainer konfigurieren können. So erstellen Sie einen neuen Google SecOps-Pipeline-Container:

  1. Klicken Sie in der Bindplane-Konsole auf den Tab SecOps Pipelines, um die Seite SecOps Pipelines zu öffnen.
  2. Klicken Sie auf SecOps-Pipeline erstellen.

  3. Geben Sie einen SecOps-Pipelinename und eine Beschreibung ein.

  4. Klicken Sie auf Erstellen. Der neue Pipeline-Container wird auf der Seite SecOps Pipelines angezeigt.

  5. Konfigurieren Sie die Datenverarbeitungscontainer-Streams und ‑Prozessoren in diesem Container.

Datenverarbeitungscontainer konfigurieren

In einem Datenverarbeitungscontainer werden die Streams definiert, die aufgenommen werden sollen, und die Prozessoren, die angewendet werden sollen, bevor die Daten das Ziel erreichen.

Konfigurieren Sie die Stream- und Prozessorknoten auf der Konfigurationskarte Pipeline.

So konfigurieren Sie einen Datenverarbeitungscontainer:

  1. Falls noch nicht geschehen, erstellen Sie eine neue Google SecOps-Pipeline.
  2. Klicken Sie in der Bindplane-Konsole auf den Tab SecOps Pipelines, um die Seite SecOps Pipelines zu öffnen.
  3. Wählen Sie die Google SecOps-Pipeline aus, in der Sie den neuen Datenverarbeitungscontainer konfigurieren möchten.

  4. Auf der Konfigurationskarte Pipeline:

    1. Stream hinzufügen
    2. Konfigurieren Sie den Prozessorknoten. Informationen zum Hinzufügen eines Prozessors über die Bindplane-Konsole finden Sie unter Prozessoren konfigurieren.

  5. Wenn Sie diese Konfigurationen abgeschlossen haben, lesen Sie den Abschnitt Datenverarbeitung einführen, um mit der Verarbeitung der Daten zu beginnen.

Stream hinzufügen

So fügen Sie einen Stream hinzu:

  1. Klicken Sie auf der Konfigurationskarte Pipeline auf Hinzufügen Stream hinzufügen, um das Fenster Stream hinzufügen zu öffnen.

  2. Geben Sie im Fenster Stream hinzufügen Details für die folgenden Felder ein:

    Feld Beschreibung
    Logtyp Wählen Sie den Protokolltyp der aufzunehmenden Daten aus. Beispiel: CrowdStrike Falcon (CS_EDR).
    Hinweis: Ein Warnsymbol Warnung weist darauf hin, dass der Protokolltyp bereits in einem anderen Stream konfiguriert ist (entweder in dieser Pipeline oder in einer anderen Pipeline in Ihrer Google SecOps-Instanz).

    Wenn Sie einen nicht verfügbaren Logtyp verwenden möchten, müssen Sie ihn zuerst aus der anderen Streamkonfiguration löschen.

    Eine Anleitung dazu, wie Sie die Streamkonfiguration finden, in der der Logtyp konfiguriert ist, finden Sie unter SecOps-Pipelinekonfigurationen filtern.
    Aufnahmemethode Wählen Sie die Aufnahmemethode aus, die zum Aufnehmen der Daten für den ausgewählten Logtyp verwendet werden soll. Diese Erfassungsmethoden wurden zuvor für Ihre Google SecOps-Instanz definiert.

    Sie müssen eine der folgenden Optionen auswählen:

    • Alle Erfassungsmethoden: Enthält alle Erfassungsmethoden für den ausgewählten Logtyp. Wenn Sie diese Option auswählen, können Sie keine weiteren Streams hinzufügen, die bestimmte Aufnahmemethoden für denselben Logtyp verwenden. Ausnahme: Sie können für diesen Logtyp in anderen Streams andere nicht konfigurierte spezifische Erfassungsmethoden auswählen.
    • Spezifische Erfassungsmethode, z. B. Cloud Native Ingestion, Feed, Ingestion API oder Workspace Ingestion.
    Feed Wenn Sie Feed als Erfassungsmethode auswählen, wird ein weiteres Feld mit einer Liste der verfügbaren Feednamen (in Ihrer Google SecOps-Instanz vorkonfiguriert) für den ausgewählten Logtyp angezeigt. Sie müssen den entsprechenden Feed auswählen, um die Konfiguration abzuschließen. Wenn Sie Ihre verfügbaren Feeds ansehen und verwalten möchten, rufen Sie die SIEM-Einstellungen > Feedtabelle auf.

  3. Klicken Sie auf Stream hinzufügen, um den neuen Stream zu speichern.Der neue Datenstream wird sofort auf der Konfigurationskarte Pipeline angezeigt. Der Stream wird automatisch mit dem Prozessorknoten und dem Ziel von Google SecOps verbunden.

SecOps-Pipeline-Konfigurationen filtern

Über die Suchleiste auf der Seite SecOps Pipelines können Sie Ihre Google SecOps-Pipelines (Datenverarbeitungscontainer) anhand verschiedener Konfigurationselemente filtern und suchen. Sie können Pipelines filtern, indem Sie nach bestimmten Kriterien wie Protokolltyp, Erfassungsmethode oder Feedname suchen.

Verwenden Sie die folgende Syntax zum Filtern:

  • logType:value
  • ingestionMethod:value
  • feed:value

Wenn Sie beispielsweise Streamkonfigurationen ermitteln möchten, die einen bestimmten Logtyp enthalten, geben Sie in der Suchleiste logtype: ein und wählen Sie den Logtyp aus der Ergebnisliste aus.

Prozessoren konfigurieren

Ein Datenverarbeitungscontainer hat einen Prozessorknoten, der einen oder mehrere Prozessoren enthält. Jeder Prozessor verarbeitet die Streamdaten sequenziell:

  1. Der erste Prozessor verarbeitet die Rohstreamdaten.
  2. Die Ausgabe des ersten Prozessors wird sofort zur Eingabe für den nächsten Prozessor in der Sequenz.
  3. Diese Sequenz wird für alle nachfolgenden Prozessoren in der genauen Reihenfolge fortgesetzt, in der sie im Bereich Prozessoren angezeigt werden. Die Ausgabe des einen wird zur Eingabe des nächsten.
  4. Konfigurieren Sie den Prozessorknoten, indem Sie einen oder mehrere Prozessoren hinzufügen, entfernen oder die Reihenfolge ändern.

In der folgenden Tabelle sind die Prozessoren aufgeführt:

Prozessortyp Funktion
Filter Nach Bedingung filtern
Filter Nach HTTP-Status filtern
Filter Nach Messwertname filtern
Filter Nach regulärem Ausdruck filtern
Filter Nach Schweregrad filtern
Entfernen Sensible Daten unkenntlich machen
Transformieren Felder hinzufügen
Transformieren Coalesce
Transformieren Concat
Transformieren Feld kopieren
Transformieren Felder löschen
Transformieren Marshal
Transformieren Feld verschieben
Transformieren CSV parsen
Transformieren JSON parsen
Transformieren Schlüsselwert parsen
Transformieren Schweregradfelder parsen
Transformieren Zeitstempel parsen
Transformieren Mit regulären Ausdrücken parsen
Transformieren XML parsen
Transformieren Felder umbenennen
Transformieren Zeitstempel der Umschreibung
Transformieren Aufteilen
Transformieren Transformieren
Prozessor hinzufügen

So fügen Sie einen Prozessor hinzu:

  1. Klicken Sie auf der Konfigurationskarte Pipeline auf den Knoten Prozessor, um das Fenster Prozessoren bearbeiten zu öffnen. Das Fenster Prozessoren bearbeiten ist in die folgenden Bereiche unterteilt, die nach Datenfluss angeordnet sind:

    • Eingabe (oder Quelldaten): Aktuelle eingehende Stream-Logdaten (vor der Verarbeitung)
    • Konfiguration (oder Prozessorliste): Prozessoren und ihre Konfigurationen
    • Ausgabe (oder Ergebnisse): Aktuelle ausgehende Ergebnisprotokolldaten (nach der Verarbeitung)

    Wenn die Pipeline bereits eingeführt wurde, werden im System die letzten eingehenden Logdaten (vor der Verarbeitung) und die letzten ausgehenden Logdaten (nach der Verarbeitung) in den Bereichen angezeigt.

  2. Klicken Sie auf Prozessor hinzufügen, um die Prozessorliste aufzurufen. Die Liste der Auftragsverarbeiter ist nach Auftragsverarbeitertyp gruppiert. Wenn Sie die Liste organisieren und eigene Sets hinzufügen möchten, wählen Sie einen oder mehrere Prozessoren aus und klicken Sie auf Neue Prozessorsets hinzufügen.

  3. Wählen Sie in der Liste der Prozessoren einen Prozessor aus, den Sie hinzufügen möchten.

  4. Konfigurieren Sie den Prozessor nach Bedarf.

  5. Klicken Sie auf Speichern, um die Prozessorkonfiguration im Knoten Prozessor zu speichern.

Das System testet die neue Konfiguration sofort, indem es eine neue Stichprobe der eingehenden Streamdaten (aus dem Bereich Eingabe) verarbeitet und die resultierenden ausgehenden Daten im Bereich Ausgabe anzeigt.

Datenverarbeitungspipeline einführen

Nachdem Sie die Stream- und Prozessorkonfigurationen abgeschlossen haben, müssen Sie die Pipeline bereitstellen, um mit der Verarbeitung von Daten zu beginnen:

  1. Klicken Sie auf Roll-out starten. Dadurch wird die Datenverarbeitung sofort aktiviert und die Infrastruktur von Google kann mit der Verarbeitung von Daten gemäß Ihrer Konfiguration beginnen. Wenn die Einführung erfolgreich ist, wird die Versionsnummer des Datenverarbeitungscontainers erhöht und neben dem name des Containers angezeigt.

Datenverarbeitung mit API-Methoden einrichten

Als Alternative zur Bindplane-Konsole können Sie die Google SecOps-Methoden für Datenpipelines verwenden, um Ihre verarbeiteten Daten zu verwalten. Zu diesen Methoden für Datenpipelines gehören das Erstellen, Aktualisieren, Löschen und Auflisten von Pipelines sowie das Verknüpfen von Feeds und Log-Typen mit Pipelines.

So verwenden Sie die Beispiele in diesem Abschnitt:

  • Ersetzen Sie die kundenspezifischen Parameter (z. B. URLs und Feed-IDs) durch Parameter, die für Ihre Umgebung geeignet sind.
  • Fügen Sie Ihre eigene Authentifizierung ein. In diesem Abschnitt werden die Bearer-Tokens mit ****** unkenntlich gemacht.

Alle Pipelines in einer bestimmten Google SecOps-Instanz auflisten

Mit dem folgenden Befehl werden alle Pipelines aufgelistet, die in einer bestimmten Google SecOps-Instanz vorhanden sind:

curl --location 'https://abc.def.googleapis.com/v123/'\
'projects/projectabc-byop/locations/us/'\
'instances/aaaa1aa1-111a-11a1-1111-11111a1aa1aa/'\
'logProcessingPipelines' \
--header 'Authorization: Bearer ******'

Einfache Pipeline mit einem Prozessor erstellen

So erstellen Sie eine einfache Pipeline mit einem einzelnen Transformationsprozessor, der den Wert für ein benutzerdefiniertes Ingestionslabel einfügt oder aktualisiert, und drei Quellen damit verknüpfen:

  1. Führen Sie dazu diesen Befehl aus:

    curl --location 'https://abc.def.googleapis.com/v123/projects/projectabc-byop/locations/us/instances/aaaa1aa1-111a-11a1-1111-11111a1aa1aa/logProcessingPipelines' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data '{
    "displayName": "Example Pipeline",
    "description": "My description",
    "processors": [
        {
            "transformProcessor": {
                "statements": [
                    "set(attributes[\"labels.myLabel.value\"], \"myValue\")"
                ]
            }
        }
    ]
}'

  2. Kopieren Sie aus der Antwort den Wert des Felds name.

  3. Führen Sie den folgenden Befehl aus, um drei Streams (Logtyp, Logtyp mit Collector-ID und Feed) mit der Pipeline zu verknüpfen. Verwenden Sie den Wert des Felds name als {pipelineName}-Wert.

    curl --location 'https://abc.def.googleapis.com/v123/{pipelineName}:associateStreams' \
    --header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data '{
    "streams": [
        {
            "logType": "MICROSOFT_SENTINEL"
        },
        {
            "logType": "A10_LOAD_BALANCER",
            "collectorId": "dddddddd-dddd-dddd-dddd-dddddddddddd"
        },
        {
            "feed": "1a1a1a1a-1a1a-1a1a-1a1a-1a1a1a1a1a1a"
        }
    ]
}'

Pipeline mit drei Prozessoren erstellen

In einer Pipeline werden die folgenden Prozessoren verwendet:

  • Filter: Hiermit werden Protokolle herausgefiltert, die einer Bedingung auf Grundlage der Ingestion-Labels entsprechen.
  • Transform: Führt ein Upsert für den Namespace-Wert aus.
  • Entfernen: E-Mail-Adressen und Sozialversicherungsnummern werden anhand benutzerdefinierter regulärer Ausdrücke aus Logdaten entfernt.

So erstellen Sie eine Pipeline und verknüpfen drei Quellen damit:

  1. Führen Sie dazu diesen Befehl aus:

    curl --location 'https://abc.def.googleapis.com/v123/projects/projectabc-byop/locations/us/instances/aaaa1aa1-111a-11a1-1111-11111a1aa1aa/logProcessingPipelines' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data-raw '{
    "displayName": "My Pipeline 2",
    "description": "My description 2",
    "processors": [
        {
            "filterProcessor": {
                "logConditions": [
                    "attributes[\"labels.log_source.value\"] == \"myLogSourceToFilterOut\""
                ]
            }
        },
        {
            "transformProcessor": {
                "statements": [
                    "set(attributes[\"environment_namespace\"], \"myValue\")"
                ]
            }
        },
        {
            "redactProcessor": {
                "blockedValues": [
                    "\\b\\d{3}[- ]\\d{2}[- ]\\d{4}\\b",
                    "\\b[a-zA-Z0-9._/\\+\\-—|]+@[A-Za-z0-9\\-—|]+\\.[a-zA-Z|]{2,6}\\b"
                ],
                "allowAllKeys": true
            }
        }
    ]
}'

  2. Kopieren Sie aus der Antwort den Wert des Felds name.

  3. Führen Sie den folgenden Befehl aus, um drei Streams (Logtyp, Logtyp mit Collector-ID und Feed) mit der Pipeline zu verknüpfen. Verwenden Sie den Wert des Felds name als {pipelineName}-Wert. 

    curl --location 'https://abc.def.googleapis.com/v123/{pipelineName}:associateStreams' \
    --header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data '{
    "streams": [
        {
            "logType": "MICROSOFT_SENTINEL"
        },
        {
            "logType": "A10_LOAD_BALANCER",
            "collectorId": "dddddddd-dddd-dddd-dddd-dddddddddddd"
        },
        {
            "feed": "1a1a1a1a-1a1a-1a1a-1a1a-1a1a1a1a1a1a"
        }
    ]
}'

Fehlerbehebung

In diesem Abschnitt werden die Leistungserwartungen beschrieben und Self-Service-Lösungen für häufige Probleme bereitgestellt.

Latenz und Limits

Wenn Sie einen Agenten mit der Ingestion API konfigurieren, kann es bei Google SecOps-Pipelines mit geringem Volumen zu längeren Bestätigungszeiten kommen.

Die durchschnittliche Latenz kann von 700 ms auf bis zu 2 Sekunden steigen. Erhöhen Sie bei Bedarf die Zeitüberschreitungen und den Arbeitsspeicher. Die Bestätigungszeit sinkt, wenn der Datendurchsatz 4 MB überschreitet.

Validierung und Tests

Sie können sich die Details zur Datenverarbeitung in der Google SecOps-Konsole ansehen:

Alle Konfigurationen für die Datenverarbeitung ansehen

  1. Rufen Sie in der Google SecOps-Konsole SIEM-Einstellungen > Datenverarbeitung auf, um alle konfigurierten Pipelines aufzurufen.
  2. Suchen Sie in der Suchleiste Incoming Data Pipelines (Eingehende Datenpipelines) nach einer von Ihnen erstellten Pipeline. Sie können nach Elementen wie Pipelinename oder Komponenten suchen. In den Suchergebnissen werden die Prozessoren der Pipeline und eine Zusammenfassung ihrer Konfiguration angezeigt.
  3. In der Pipelineübersicht haben Sie folgende Möglichkeiten:
    • Prüfen Sie die Prozessorkonfigurationen.
    • Konfigurationsdetails kopieren.
    • Klicken Sie auf In Bindplane öffnen, um direkt in der Bindplane-Konsole auf die Pipeline zuzugreifen und sie zu verwalten.

Konfigurierte Feeds ansehen

So rufen Sie konfigurierte Feeds in Ihrem System auf:

  1. Rufen Sie in der Google SecOps Console SIEM-Einstellungen > Feeds auf. Auf der Seite Feeds werden alle Feeds angezeigt, die Sie in Ihrem System konfiguriert haben.
  2. Bewegen Sie den Mauszeiger auf die jeweilige Zeile, um das Menü ⋮ Mehr aufzurufen. Dort können Sie Feeddetails ansehen, den Feed bearbeiten, deaktivieren oder löschen.
  3. Klicken Sie auf Details ansehen, um das Detailfenster zu öffnen.
  4. Klicken Sie auf In Bindplane öffnen, um die Streamkonfiguration für diesen Feed in der Bindplane-Konsole zu öffnen.

Details zur Datenverarbeitung für verfügbare Logtypen ansehen

So rufen Sie die Details zur Datenverarbeitung auf der Seite Verfügbare Logtypen auf, auf der alle verfügbaren Logtypen angezeigt werden:

  1. Rufen Sie in der Google SecOps Console SIEM Settings > Available Log Types auf. Auf der Hauptseite werden alle Ihre Protokolltypen angezeigt.
  2. Bewegen Sie den Mauszeiger auf die einzelnen Feedzeilen, um das more_vert Mehr aufzurufen. In diesem Menü können Sie Feeddetails ansehen, bearbeiten, deaktivieren oder löschen.
  3. Klicken Sie auf Datenverarbeitung ansehen, um die Konfiguration des Feeds aufzurufen.
  4. Klicken Sie auf In Bindplane öffnen, um die Prozessorkonfiguration für diesen Prozessor in der Bindplane-Konsole zu öffnen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten