Metodi di importazione e tipi di dati

Supportato in:

Per monitorare in modo efficace il tuo ambiente e analizzare gli incidenti, Google Security Operations ti consente di importare un'ampia gamma di dati di sicurezza. Comprendere i tipi di dati che puoi importare nella piattaforma e i metodi utilizzati per l'importazione è il primo passo per creare una solida strategia di sicurezza.

Tipi di dati di importazione

Google SecOps classifica i dati in entrata in quattro tipi principali, ognuno dei quali ha uno scopo distinto nel ciclo di vita del rilevamento e dell'indagine:

  • Log non elaborati:si tratta dei flussi di dati originali e non modificati provenienti dalle tue origini di sicurezza (ad esempio firewall, strumenti EDR e piattaforme cloud). I log, che arrivano in formati come JSON, Syslog, CSV o testo non strutturato, fungono da "fonte di verità" per analisi forensi approfondite e conformità. Poiché i nomi dei campi variano a seconda del fornitore, i log non elaborati fungono da input iniziale prima che la piattaforma analizzi e normalizzi i nomi dei campi.
  • Eventi UDM:gli eventi Unified Data Model (UDM) vengono creati quando i parser convertono i log non elaborati in un formato coerente e indipendente dal fornitore. Ad esempio, termini disparati come src_ip e client-ip vengono standardizzati in un unico campo principal.ip. I sistemi downstream utilizzano UDM per fornire funzionalità come regole di ricerca e rilevamento unificate.
  • Dati di contesto dell'entità:questi dati forniscono "chi, cosa e dove" per trasformare gli eventi generici in lead significativi. I dati di contesto indicano se un indirizzo IP appartiene a un dirigente di alto livello o a un server di produzione critico. Arricchendo gli eventi con metadati provenienti da fonti come Active Directory o CMDB, gli analisti possono dare la priorità alle minacce in base al rischio organizzativo effettivo.
  • Avvisi:si tratta di indicatori ad alta fedeltà che segnalano un'attività che richiede attenzione immediata. Gli avvisi possono essere importati direttamente da prodotti di sicurezza esterni (come CrowdStrike) o generati internamente dal motore di rilevamento YARA-L di Google SecOps quando eventi o entità UDM attivano una regola. Gli avvisi fungono da elementi costitutivi principali per i casi di incidenti.

Informazioni sulle entità di importazione

Le entità forniscono un contesto cruciale agli eventi di rete. Un evento di rete standard potrebbe mostrare che l'utente abc@foo.corp ha avviato shady.exe, ma non indicherà se l'utente è un dipendente licenziato di recente.

Il modello dei dati delle entità ti consente di importare queste relazioni, acquisendo un nuovo contesto dai sistemi IAM, di gestione delle vulnerabilità e di protezione dei dati per fornire informazioni sulle minacce avanzate.

Parser di contesto delle entità pronti all'uso

Per rendere l'importazione dei dati il più semplice possibile, Google SecOps include connettori API e parser predefiniti per molte origini autorevoli comuni. Puoi importare i dati di contesto degli asset o degli utenti dalle seguenti origini supportate:

  • Gestione di identità, risorse RU e accesso:contesto organizzativo di Azure AD, contesto utente di Duo, Google Cloud analisi IAM, Google Cloud contesto IAM, Google Cloud contesto identità, Microsoft AD, contesto utente di Okta, SailPoint IAM, Workday, privilegi di Workspace e utenti di Workspace.
  • Gestione di asset e dispositivi:JAMF, ServiceNow CMDB, Tanium Asset, Workspace ChromeOS Devices e Workspace Mobile Devices.
  • Gestione della sicurezza e delle vulnerabilità:Microsoft Defender for Endpoint, Nucleus Unified Vulnerability Management, Nucleus Asset Metadata e Rapid7 Insight.

Panoramica dei metodi di importazione dati

Il servizio di importazione di Google SecOps funge da gateway per tutti i tuoi dati in entrata. A seconda della posizione e del formato dei dati, Google SecOps utilizza i seguenti sistemi principali per recuperarli:

  • Google Cloud (integrazione diretta): questo è il metodo principale, più conveniente e con le prestazioni migliori per tutti i log standard Google Cloud (ad es. log di audit, di flusso VPC, DNS e firewall). Google SecOps recupera questi dati direttamente dalla tua organizzazione Google Cloud .
  • Agente BindPlane:una pipeline e un agente di telemetria gestiti utilizzati per raccogliere i log da ambienti e server on-premise (Windows o Linux). Offre una grande flessibilità per i log che non si adattano facilmente ad altri metodi (come i firewall on-premise) e consente di preelaborare, filtrare o perfezionare i dati cloud prima che raggiungano Google SecOps. L'agente Bindplane viene gestito utilizzando la console di gestione Bindplane OP.
  • Feed di dati:ideali per i log basati sul cloud (come EDR o app SaaS) già aggregati in object store (come Cloud Storage o Amazon S3) o per terze parti che supportano webhook basati su push. I feed di dati inviano i log direttamente al servizio di importazione e forniscono il supporto predefinito per le integrazioni API predefinite (supportando righe di log fino a 4 MB).
  • API Ingestion:progettata per applicazioni personalizzate, ad alto volume o sviluppate internamente che non rientrano nei metodi standard. Sebbene sia leggermente più complesso da configurare, offre il controllo totale sull'importazione diretta.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.