Methoden zur Datenaufnahme und Datentypen

Unterstützt in:

Mit Google Security Operations können Sie eine Vielzahl von Sicherheitsdaten aufnehmen, um Ihre Umgebung effektiv zu überwachen und Vorfälle zu untersuchen. Der erste Schritt zum Aufbau einer robusten Sicherheitsstrategie besteht darin, die Datentypen zu verstehen, die Sie in die Plattform einbringen können, und die Methoden, die zum Erfassen dieser Daten verwendet werden.

Arten von Aufnahmedaten

In Google SecOps werden eingehende Daten in vier primäre Typen kategorisiert, die jeweils einem bestimmten Zweck im Lebenszyklus der Erkennung und Untersuchung dienen:

  • Rohprotokolle:Das sind die ursprünglichen, unveränderten Datenstreams aus Ihren Sicherheitsquellen (z. B. Firewalls, EDR-Tools und Cloud-Plattformen). Die Logs, die in Formaten wie JSON, Syslog, CSV oder unstrukturiertem Text eingehen, dienen als „Source of Truth“ für detaillierte Analysen und Compliance. Da Feldnamen je nach Anbieter variieren, dienen Rohlogs als erste Eingabe, bevor die Plattform die Feldnamen parst und normalisiert.
  • UDM-Ereignisse:UDM-Ereignisse (Unified Data Model) werden erstellt, wenn Parser Ihre Rohlogs in ein einheitliches, anbieterunabhängiges Format konvertieren. Beispielsweise werden unterschiedliche Begriffe wie src_ip und client-ip in einem einzigen principal.ip-Feld standardisiert. Nachgelagerte Systeme verwenden das UDM, um Funktionen wie die einheitliche Suche und Erkennungsregeln bereitzustellen.
  • Kontextdaten für Entitäten:Mit diesen Daten wird aus allgemeinen Ereignissen aussagekräftige Leads. Sie liefern Informationen dazu, wer, was und wo passiert ist. Kontextdaten geben Aufschluss darüber, ob eine IP-Adresse zu einer Führungskraft oder einem wichtigen Produktionsserver gehört. Durch die Anreicherung von Ereignissen mit Metadaten aus Quellen wie Active Directory oder CMDBs können Analysten Bedrohungen basierend auf dem tatsächlichen Organisationsrisiko priorisieren.
  • Benachrichtigungen:Das sind Signale mit hoher Aussagekraft, die auf Aktivitäten hinweisen, die sofortige Aufmerksamkeit erfordern. Warnungen können direkt von externen Sicherheitsprodukten (z. B. CrowdStrike) aufgenommen oder intern von der Google SecOps YARA-L-Erkennungs-Engine generiert werden, wenn UDM-Ereignisse oder ‑Entitäten eine Regel auslösen. Die Benachrichtigungen dienen als primäre Bausteine für Vorfallsfälle.

Aufnahmeentitäten

Entitäten liefern wichtigen Kontext für Netzwerkereignisse. Ein Standard-Netzwerkereignis kann beispielsweise zeigen, dass Nutzer abc@foo.corp shady.exe gestartet hat. Es wird jedoch nicht angegeben, ob dieser Nutzer ein Mitarbeiter ist, dessen Arbeitsverhältnis kürzlich beendet wurde.

Mit dem Entitätsdatenmodell können Sie diese Beziehungen erfassen und so neuen Kontext aus IAM-, Schwachstellenmanagement- und Datenschutzsystemen nutzen, um umfassende Informationen zu Bedrohungen zu erhalten.

Sofort einsatzbereite Parser für Entitätskontext

Um die Aufnahme von Daten so nahtlos wie möglich zu gestalten, enthält Google SecOps API-Connectors und Standardparser für viele gängige autoritative Quellen. Sie können Asset- oder Nutzerkontextdaten aus den folgenden unterstützten Quellen aufnehmen:

  • Identitäts-, HR- und Zugriffsverwaltung:Azure AD-Organisationskontext, Duo-Nutzerkontext, Google Cloud IAM-Analyse, Google Cloud IAM-Kontext, Google Cloud Identitätskontext, Microsoft AD, Okta-Nutzerkontext, SailPoint IAM, Workday, Workspace-Berechtigungen und Workspace-Nutzer.
  • Asset- und Geräteverwaltung:JAMF, ServiceNow CMDB, Tanium Asset, Workspace ChromeOS-Geräte und Workspace-Mobilgeräte.
  • Sicherheits- und Sicherheitsrisikomanagement:Microsoft Defender for Endpoint, Nucleus Unified Vulnerability Management, Nucleus Asset Metadata und Rapid7 Insight.

Übersicht über Methoden zur Datenaufnahme

Der Google SecOps-Aufnahmedienst dient als Gateway für alle eingehenden Daten. Je nachdem, wo sich Ihre Daten befinden und wie sie formatiert sind, verwendet Google SecOps die folgenden primären Systeme, um sie abzurufen:

  • Google Cloud (direkte Integration): Dies ist die primäre, kostengünstigste und leistungsstärkste Methode für alle Standardlogs Google Cloud (z.B. Audit-, VPC-Fluss-, DNS- und Firewall-Logs). Google SecOps ruft diese Daten direkt von Ihrer Google Cloud Organisation ab.
  • BindPlane-Agent:Eine verwaltete Telemetrie-Pipeline und ein Agent zum Erfassen von Logs aus lokalen Umgebungen und Servern (Windows oder Linux). Es bietet enorme Flexibilität für Logs, die nicht einfach in andere Methoden passen (z. B. lokale Firewalls), und ermöglicht es Ihnen, Cloud-Daten vorzuverarbeiten, zu filtern oder zu optimieren, bevor sie Google SecOps erreichen. Der Bindplane-Agent wird über die Bindplane OP Management Console verwaltet.
  • Datenfeeds:Am besten für cloudbasierte Logs (z. B. EDRs oder SaaS-Apps) geeignet, die bereits in Objektspeichern (z. B. Cloud Storage oder Amazon S3) zusammengefasst sind, oder für Drittanbieter, die Push-basierte Webhooks unterstützen. Bei Datenfeeds werden Logs direkt an den Aufnahmedienst gesendet. Sie bieten sofort einsatzbereite Unterstützung für vordefinierte API-Integrationen (mit Unterstützung für Logzeilen mit einer Größe von bis zu 4 MB).
  • Ingestion API:Diese API ist für benutzerdefinierte Anwendungen mit hohem Volumen oder für selbst entwickelte Anwendungen konzipiert, die nicht den Standardmethoden entsprechen. Die Konfiguration ist zwar etwas komplexer, aber Sie haben die vollständige Kontrolle über die direkte Aufnahme.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten