Metode penyerapan dan jenis data

Didukung di:

Untuk memantau lingkungan Anda dan menyelidiki insiden secara efektif, Google Security Operations memungkinkan Anda menyerap berbagai data keamanan. Memahami jenis data yang dapat Anda masukkan ke dalam platform dan metode yang digunakan untuk menyerapnya adalah langkah pertama dalam membangun postur keamanan yang kuat.

Jenis data penyerapan

Google SecOps mengategorikan data yang masuk ke dalam empat jenis utama, yang masing-masing memiliki tujuan berbeda dalam siklus proses deteksi dan investigasi:

  • Log mentah: Ini adalah aliran data asli yang tidak diubah dari sumber keamanan Anda (seperti firewall, alat EDR, dan platform cloud). Log yang tersedia dalam format seperti JSON, Syslog, CSV, atau teks tidak terstruktur ini berfungsi sebagai "sumber tepercaya" untuk analisis forensik mendalam dan kepatuhan. Karena nama kolom bervariasi menurut vendor, log mentah bertindak sebagai input awal sebelum platform mengurai dan menormalisasi nama kolom.
  • Peristiwa UDM: Peristiwa Unified Data Model (UDM) dibuat saat parser mengonversi log mentah Anda ke dalam format yang konsisten dan tidak bergantung pada vendor. Misalnya, istilah yang berbeda seperti src_ip dan client-ip distandardisasi menjadi satu kolom principal.ip. Sistem hilir menggunakan UDM untuk menyediakan kemampuan seperti penelusuran terpadu dan aturan deteksi.
  • Data konteks entitas: Data ini memberikan "siapa, apa, dan di mana" untuk mengubah peristiwa umum menjadi prospek yang bermakna. Data konteks memberi tahu Anda apakah alamat IP termasuk milik eksekutif berpangkat tinggi atau server produksi penting. Dengan memperkaya peristiwa menggunakan metadata dari sumber seperti Active Directory atau CMDB, analis dapat memprioritaskan ancaman berdasarkan risiko organisasi yang sebenarnya.
  • Peringatan: Ini adalah sinyal fidelitas tinggi yang menandakan aktivitas yang memerlukan perhatian segera. Peringatan dapat di-ingest langsung dari produk keamanan eksternal (seperti CrowdStrike) atau dibuat secara internal oleh mesin deteksi YARA-L Google SecOps saat peristiwa atau entitas UDM memicu aturan. Pemberitahuan berfungsi sebagai elemen penyusun utama untuk kasus insiden.

Memahami entitas penyerapan

Entitas memberikan konteks penting untuk peristiwa jaringan. Peristiwa jaringan standar mungkin menunjukkan bahwa pengguna abc@foo.corp meluncurkan shady.exe, tetapi tidak akan menunjukkan apakah pengguna tersebut adalah karyawan yang baru saja diberhentikan.

Model data entitas memungkinkan Anda menyerap hubungan ini, menangkap konteks baru dari sistem IAM, pengelolaan kerentanan, dan perlindungan data untuk memberikan intelijen ancaman yang kaya.

Parser konteks entity Siap Pakai

Untuk membuat penyerapan data selancar mungkin, Google SecOps menyertakan konektor API dan parser default untuk banyak sumber tepercaya umum. Anda dapat menyerap data aset atau konteks pengguna dari sumber yang didukung berikut:

  • Pengelolaan Identitas, HR, dan Akses: Konteks Organisasi Azure AD, Konteks Pengguna Duo, Google Cloud Analisis IAM, Google Cloud Konteks IAM, Google Cloud Konteks Identitas, Microsoft AD, Konteks Pengguna Okta, SailPoint IAM, Workday, Hak Istimewa Workspace, dan Pengguna Workspace.
  • Pengelolaan Aset dan Perangkat: JAMF, ServiceNow CMDB, Tanium Asset, Perangkat ChromeOS Workspace, dan Perangkat Seluler Workspace.
  • Pengelolaan Keamanan dan Kerentanan: Microsoft Defender for Endpoint, Nucleus Unified Vulnerability Management, Nucleus Asset Metadata, dan Rapid7 Insight.

Ringkasan metode penyerapan data

Layanan penyerapan Google SecOps bertindak sebagai gateway untuk semua data masuk Anda. Bergantung pada lokasi dan format data Anda, Google SecOps menggunakan sistem utama berikut untuk mengambilnya:

  • Google Cloud (Integrasi Langsung): Ini adalah metode utama, paling hemat biaya, dan berperforma paling tinggi untuk semua log standar Google Cloud (misalnya, log Audit, Aliran VPC, DNS, dan Firewall). Google SecOps mengambil data ini langsung dari organisasi Google Cloud Anda.
  • Agen BindPlane: Agen dan pipeline telemetri terkelola yang digunakan untuk mengumpulkan log dari lingkungan dan server lokal (Windows atau Linux). Cara ini memberikan fleksibilitas besar untuk log yang tidak mudah sesuai dengan metode lain (seperti firewall lokal) dan memungkinkan Anda memproses awal, memfilter, atau menyaring data cloud sebelum data tersebut mencapai Google SecOps. Agen BindPlane dikelola menggunakan konsol Pengelolaan OP BindPlane.
  • Feed Data: Paling baik digunakan untuk log berbasis cloud (seperti EDR atau aplikasi SaaS) yang sudah digabungkan ke dalam penyimpanan objek (seperti Cloud Storage atau Amazon S3), atau untuk pihak ketiga yang mendukung webhook berbasis push. Feed data mengirim log langsung ke layanan penyerapan dan menyediakan dukungan langsung untuk integrasi API yang telah ditentukan sebelumnya (mendukung baris log berukuran hingga 4 MB).
  • Ingestion API: Didesain untuk aplikasi kustom, bervolume tinggi, atau buatan sendiri yang tidak sesuai dengan metode standar. Meskipun konfigurasi ini sedikit lebih rumit, konfigurasi ini menawarkan kontrol penuh atas penyerapan langsung.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.