Métodos de transferencia y tipos de datos

Compatible con:

Para supervisar tu entorno de manera eficaz e investigar incidentes, Google Security Operations te permite transferir una amplia variedad de datos de seguridad. Comprender los tipos de datos que puedes incorporar a la plataforma y los métodos que se usan para transferirlos es el primer paso para crear una postura de seguridad sólida.

Tipos de datos de transferencia

Google SecOps clasifica los datos entrantes en cuatro tipos principales, cada uno con un propósito distinto en el ciclo de vida de la detección y la investigación:

  • Registros sin procesar: Son los flujos de datos originales y sin procesar de tus fuentes de seguridad (como firewalls, herramientas de EDR y plataformas en la nube). Los registros, que llegan en formatos como JSON, Syslog, CSV o texto no estructurado, sirven como la "fuente de verdad" para el análisis forense y el cumplimiento detallados. Dado que los nombres de los campos varían según el proveedor, los registros sin procesar actúan como la entrada inicial antes de que la plataforma analice y normalice los nombres de los campos.
  • Eventos del UDM: Los eventos del modelo de datos unificado (UDM) se crean cuando los analizadores convierten tus registros sin procesar en un formato coherente y que no depende del proveedor. Por ejemplo, términos dispares como src_ip y client-ip se estandarizan en un solo campo principal.ip. Los sistemas posteriores usan el UDM para proporcionar capacidades como la búsqueda unificada y las reglas de detección.
  • Datos de contexto de la entidad: Estos datos proporcionan el "quién, qué y dónde" para convertir eventos genéricos en clientes potenciales significativos. Los datos de contexto te indican si una dirección IP pertenece a un ejecutivo de alto rango o a un servidor de producción crítico. Al enriquecer los eventos con metadatos de fuentes como Active Directory o CMDB, los analistas pueden priorizar las amenazas en función del riesgo organizacional real.
  • Alertas: Son indicadores de alta fidelidad que señalan actividad que requiere atención inmediata. Las alertas se pueden transferir directamente desde productos de seguridad externos (como CrowdStrike) o generarse de forma interna con el motor de detección YARA-L de Google SecOps cuando los eventos o las entidades del UDM activan una regla. Las alertas son los componentes básicos principales de los casos de incidentes.

Información sobre las entidades de la transferencia

Las entidades proporcionan contexto fundamental para los eventos de la red. Un evento de red estándar podría mostrar que el usuario abc@foo.corp inició shady.exe, pero no indicará si ese usuario es un empleado despedido recientemente.

El modelo de datos de entidades te permite incorporar estas relaciones y capturar nuevo contexto de los sistemas de IAM, administración de vulnerabilidades y protección de datos para proporcionar inteligencia sobre amenazas enriquecida.

Analizadores de contexto de entidades listos para usar

Para que la transferencia de datos sea lo más fluida posible, Google SecOps incluye conectores de API y analizadores predeterminados para muchas fuentes autorizadas comunes. Puedes transferir datos de contexto del usuario o del activo desde las siguientes fuentes compatibles:

  • Administración de identidades, RR.HH. y acceso: Contexto organizacional de Azure AD, contexto de usuario de Duo, Google Cloud Análisis de IAM, Google Cloud Contexto de IAM, Google Cloud Contexto de identidad, Microsoft AD, contexto de usuario de Okta, IAM de SailPoint, Workday, privilegios de Workspace y usuarios de Workspace
  • Administración de activos y dispositivos: JAMF, CMDB de ServiceNow, Tanium Asset, dispositivos ChromeOS de Workspace y dispositivos móviles de Workspace
  • Administración de seguridad y vulnerabilidades: Microsoft Defender for Endpoint, Nucleus Unified Vulnerability Management, Nucleus Asset Metadata y Rapid7 Insight.

Descripción general de los métodos de transferencia de datos

El servicio de transferencia de datos de Google SecOps actúa como una puerta de enlace para todos tus datos entrantes. Según dónde se encuentren tus datos y cómo estén formateados, Google SecOps utiliza los siguientes sistemas principales para recuperarlos:

  • Google Cloud (integración directa): Este es el método principal, más rentable y de mayor rendimiento para todos los registros Google Cloud estándar (p.ej., registros de auditoría, de flujo de VPC, de DNS y de firewall). Google SecOps recupera estos datos directamente de tu Google Cloud organización.
  • Agente de BindPlane: Es un agente y una canalización de telemetría administrados que se usan para recopilar registros de entornos y servidores locales (Windows o Linux). Proporciona una gran flexibilidad para los registros que no se ajustan fácilmente a otros métodos (como los firewalls locales) y te permite realizar un procesamiento previo, filtrar o refinar los datos de la nube antes de que lleguen a Google SecOps. El agente de BindPlane se administra con la consola de administración de BindPlane OP.
  • Feeds de datos: Se recomienda usarlos para los registros basados en la nube (como los EDR o las apps de SaaS) que ya se agregaron en los almacenamientos de objetos (como Cloud Storage o Amazon S3), o para los terceros que admiten webhooks basados en la transmisión. Los feeds de datos envían registros directamente al servicio de transferencia y proporcionan compatibilidad lista para usar con integraciones de API predefinidas (que admiten líneas de registro de hasta 4 MB de tamaño).
  • API de Ingestion: Está diseñada para aplicaciones personalizadas, de gran volumen o desarrolladas internamente que no se ajustan a los métodos estándares. Si bien es un poco más complejo de configurar, ofrece un control total sobre la transferencia directa.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.