Méthodes d'ingestion et types de données

Compatible avec :

Pour surveiller efficacement votre environnement et examiner les incidents, Google Security Operations vous permet d'ingérer une grande variété de données de sécurité. Pour établir une stratégie de sécurité solide, vous devez d'abord comprendre les types de données que vous pouvez importer dans la plate-forme et les méthodes utilisées pour les ingérer.

Types de données d'ingestion

Google SecOps classe les données entrantes en quatre types principaux, chacun ayant un objectif distinct dans le cycle de vie de la détection et de l'investigation :

  • Journaux bruts : il s'agit des flux de données d'origine, non modifiés, provenant de vos sources de sécurité (pare-feu, outils EDR et plates-formes cloud, par exemple). Les journaux, qui se présentent sous des formats tels que JSON, Syslog, CSV ou texte non structuré, servent de "source de vérité" pour les analyses approfondies et la conformité. Comme les noms de champs varient selon les fournisseurs, les journaux bruts servent d'entrée initiale avant que la plate-forme n'analyse et normalise les noms de champs.
  • Événements UDM : les événements UDM (Unified Data Model) sont créés lorsque les analyseurs convertissent vos journaux bruts dans un format cohérent et indépendant du fournisseur. Par exemple, des termes disparates tels que src_ip et client-ip sont standardisés dans un seul champ principal.ip. Les systèmes en aval utilisent l'UDM pour fournir des fonctionnalités telles que la recherche unifiée et les règles de détection.
  • Données contextuelles sur les entités : ces données fournissent des informations sur "qui, quoi et où" pour transformer des événements génériques en prospects intéressants. Les données contextuelles vous indiquent si une adresse IP appartient à un cadre de haut niveau ou à un serveur de production critique. En enrichissant les événements avec des métadonnées provenant de sources telles qu'Active Directory ou les CMDB, les analystes peuvent hiérarchiser les menaces en fonction du risque organisationnel réel.
  • Alertes : il s'agit de signaux haute fidélité qui indiquent une activité nécessitant une attention immédiate. Les alertes peuvent être ingérées directement à partir de produits de sécurité externes (comme CrowdStrike) ou générées en interne par le moteur de détection YARA-L de Google SecOps lorsque des événements ou des entités UDM déclenchent une règle. Les alertes sont les principaux éléments constitutifs des cas d'incidents.

Comprendre les entités d'ingestion

Les entités fournissent un contexte essentiel aux événements réseau. Un événement réseau standard peut indiquer que l'utilisateur abc@foo.corp a lancé shady.exe, mais il n'indiquera pas si cet utilisateur est un employé récemment licencié.

Le modèle de données d'entité vous permet d'ingérer ces relations, en capturant un nouveau contexte à partir des systèmes IAM, de gestion des failles et de protection des données pour fournir des renseignements complets sur les menaces.

Analyseurs de contexte d'entités prêts à l'emploi

Pour faciliter l'ingestion de données, Google SecOps inclut des connecteurs d'API et des analyseurs par défaut pour de nombreuses sources fiables courantes. Vous pouvez ingérer des données de contexte d'assets ou d'utilisateurs à partir des sources compatibles suivantes :

  • Identité, gestion des accès et des ressources humaines : contexte organisationnel Azure AD, contexte utilisateur Duo, Google Cloud analyse IAM, Google Cloud contexte IAM, Google Cloud contexte d'identité, Microsoft AD, contexte utilisateur Okta, SailPoint IAM, Workday, droits d'accès Workspace et utilisateurs Workspace.
  • Gestion des ressources et des appareils : JAMF, ServiceNow CMDB, Tanium Asset, appareils Workspace ChromeOS et appareils mobiles Workspace.
  • Gestion de la sécurité et des failles : Microsoft Defender for Endpoint, Nucleus Unified Vulnerability Management, Nucleus Asset Metadata et Rapid7 Insight.

Présentation des méthodes d'ingestion de données

Le service d'ingestion Google SecOps sert de passerelle pour toutes vos données entrantes. Selon l'emplacement et le format de vos données, Google SecOps utilise les principaux systèmes suivants pour les récupérer :

  • Google Cloud (intégration directe) : il s'agit de la méthode principale, la plus économique et la plus performante pour tous les journaux standards Google Cloud (par exemple, les journaux d'audit, de flux VPC, DNS et de pare-feu). Google SecOps récupère ces données directement auprès de votre organisation Google Cloud .
  • Agent BindPlane : pipeline et agent de télémétrie gérés utilisés pour collecter les journaux des environnements et serveurs sur site (Windows ou Linux). Il offre une grande flexibilité pour les journaux qui ne s'intègrent pas facilement à d'autres méthodes (comme les pare-feu sur site) et vous permet de prétraiter, filtrer ou affiner les données cloud avant qu'elles n'atteignent Google SecOps. L'agent Bindplane est géré à l'aide de la console de gestion Bindplane OP.
  • Flux de données : ils sont plus adaptés aux journaux basés sur le cloud (comme les EDR ou les applications SaaS) qui sont déjà agrégés dans des magasins d'objets (comme Cloud Storage ou Amazon S3), ou aux tiers qui acceptent les Webhooks basés sur le push. Les flux de données envoient les journaux directement au service d'ingestion et offrent une compatibilité prête à l'emploi avec les intégrations d'API prédéfinies (qui acceptent les lignes de journaux d'une taille maximale de 4 Mo).
  • API Ingestion : conçue pour les applications personnalisées, à volume élevé ou développées en interne qui ne correspondent pas aux méthodes standards. Bien qu'elle soit légèrement plus complexe à configurer, elle offre un contrôle total sur l'ingestion directe.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.