Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שיטות להטמעת נתונים וסוגי נתונים

נתמך ב:

Google secops SIEM

כדי לעקוב ביעילות אחרי הסביבה שלכם ולחקור תקריות, Google Security Operations מאפשר לכם להזין מגוון רחב של נתוני אבטחה. השלב הראשון בבניית אסטרטגיית אבטחה חזקה הוא להבין את סוגי הנתונים שאפשר להעביר לפלטפורמה ואת השיטות שמשמשות להעברת הנתונים.

סוגים של נתונים להעברה

‫Google SecOps מסווגת את הנתונים הנכנסים לארבעה סוגים עיקריים, שלכל אחד מהם יש מטרה ייחודית במחזור החיים של הזיהוי והחקירה:

יומנים גולמיים: אלה זרמי הנתונים המקוריים שלא עברו שינוי ממקורות האבטחה שלכם (למשל, חומות אש, כלי EDR ופלטפורמות ענן). היומנים מגיעים בפורמטים כמו JSON,‏ Syslog,‏ CSV או טקסט לא מובנה, ומשמשים כ "מקור האמת" לניתוח מעמיק ולעמידה בדרישות התאימות. מכיוון ששמות השדות משתנים בהתאם לספק, היומנים הגולמיים משמשים כקלט הראשוני לפני שהפלטפורמה מנתחת ומנרמלת את שמות השדות.
אירועי UDM: אירועים של מודל נתונים מאוחד (UDM) נוצרים כשמנתחי נתונים ממירים את היומנים הגולמיים שלכם לפורמט עקבי שלא תלוי בספק. לדוגמה, מונחים שונים כמו src_ip ו-client-ip עוברים סטנדרטיזציה לשדה principal.ip יחיד. מערכות במורד הזרם משתמשות ב-UDM כדי לספק יכולות כמו חיפוש מאוחד וכללי זיהוי.
נתוני הקשר של ישויות: הנתונים האלה מספקים את התשובות לשאלות 'מי, מה ואיפה' כדי להפוך אירועים גנריים להפניות משמעותיות. נתוני הקשר מאפשרים לדעת אם כתובת IP שייכת למנהל בכיר או לשרת ייצור קריטי. על ידי העשרת האירועים במטא-נתונים ממקורות כמו Active Directory או CMDB, אנליסטים יכולים לתעדף איומים על סמך סיכון ארגוני בפועל.
התראות: אלה אותות מהימנים שמציינים פעילות שדורשת טיפול מיידי. אפשר להזין התראות ישירות ממוצרי אבטחה חיצוניים (כמו CrowdStrike) או ליצור אותן באופן פנימי על ידי מנוע הזיהוי YARA-L של Google SecOps כשאירועים או ישויות ב-UDM מפעילים כלל. ההתראות משמשות כאבני הבניין העיקריות של מקרים שקשורים לאירועים.

הסבר על ישויות של הטמעה

ישויות מספקות הקשר חיוני לאירועים ברשת. אירוע רשת רגיל יכול להראות שהמשתמש abc@foo.corp הפעיל את shady.exe, אבל הוא לא יציין אם המשתמש הזה הוא עובד שפוטר לאחרונה.

מודל הנתונים של הישויות מאפשר לכם להטמיע את קשרי הגומלין האלה, וללכוד הקשרים חדשים ממערכות IAM, ניהול פגיעויות והגנה על נתונים כדי לספק מודיעין איומי סייבר עשיר.

מנתחי הקשר של ישויות מוכנים לשימוש

כדי להפוך את הטמעת הנתונים לחלקה ככל האפשר, Google SecOps כולל מחברי API ומנתחי נתונים (parsers) שמוגדרים כברירת מחדל למקורות נפוצים רבים ומהימנים. אתם יכולים להטמיע נתונים של נכסים או של הקשר המשתמש מהמקורות הנתמכים הבאים:

ניהול זהויות, משאבי אנוש וגישה: הקשר הארגוני של Azure AD, הקשר של משתמש Duo, Google Cloud ניתוח IAM, Google Cloud הקשר של IAM, Google Cloud הקשר של הזהות, Microsoft AD, הקשר של משתמש Okta,‏ SailPoint IAM,‏ Workday, הרשאות Workspace ומשתמשי Workspace.
ניהול נכסים ומכשירים: JAMF,‏ ServiceNow CMDB,‏ Tanium Asset,‏ Workspace ChromeOS Devices ו-Workspace Mobile Devices.
אבטחה וניהול פגיעויות: Microsoft Defender for Endpoint,‏ Nucleus Unified Vulnerability Management,‏ Nucleus Asset Metadata ו-Rapid7 Insight.

סקירה כללית של שיטות להטמעת נתונים

שירות ההטמעה של Google SecOps פועל כשער לכל הנתונים הנכנסים. בהתאם למיקום הנתונים ולפורמט שלהם, Google SecOps משתמשת במערכות העיקריות הבאות כדי לאחזר אותם:

‫Google Cloud (שילוב ישיר): זוהי השיטה העיקרית, החסכונית ביותר והיעילה ביותר לכל היומנים Google Cloud הסטנדרטיים (למשל, יומני ביקורת, יומני תעבורה של VPC, יומני DNS ויומני חומת אש). ‫Google SecOps מאחזר את הנתונים האלה ישירות מהארגון שלכם ב- Google Cloud .
‫Bindplane Agent: צינור טלמטריה וסוכן מנוהלים שמשמשים לאיסוף יומנים מסביבות ומשרתים מקומיים (Windows או Linux). הוא מספק גמישות רבה ליומנים שלא מתאימים בקלות לשיטות אחרות (כמו חומות אש מקומיות), ומאפשר לעבד מראש, לסנן או לשפר נתוני ענן לפני שהם מגיעים ל-Google SecOps. הסוכן Bindplane מנוהל באמצעות מסוף הניהול Bindplane OP.

פידים של נתונים: מומלץ להשתמש בהם עבור יומנים מבוססי-ענן (כמו EDR או אפליקציות SaaS) שכבר צורפו למאגרי אובייקטים (כמו Cloud Storage או Amazon S3), או עבור צדדים שלישיים שתומכים ב-webhook מבוסס-push. פידים של נתונים שולחים יומנים ישירות לשירות ההטמעה ומספקים תמיכה מוכנה מראש בשילובים מוגדרים מראש של API (תמיכה בשורות יומן בגודל של עד 4MB).
‫Ingestion API: מיועד לאפליקציות מותאמות אישית, לאפליקציות עם נפח גדול או לאפליקציות שפותחו באופן עצמאי ולא מתאימות לשיטות הסטנדרטיות. ההגדרה שלו קצת יותר מורכבת, אבל הוא מאפשר שליטה מלאה בהעברה ישירה.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.