取り込み方法とデータ型

以下でサポートされています。

環境を効果的にモニタリングし、インシデントを調査するために、Google Security Operations ではさまざまなセキュリティ データを取り込むことができます。プラットフォームに取り込めるデータの種類と、それらの取り込みに使用される方法を理解することは、堅牢なセキュリティ体制を構築するための第一歩です。

取り込みデータの種類

Google SecOps は、受信データを 4 つの主なタイプに分類します。各タイプは、検出と調査のライフサイクルにおいて異なる目的を果たします。

  • 未加工ログ: セキュリティ ソース(ファイアウォール、EDR ツール、クラウド プラットフォームなど)からの元のデータストリームです。JSON、Syslog、CSV、非構造化テキストなどの形式で到着するログは、詳細なフォレンジックとコンプライアンスの「信頼できる情報源」として機能します。フィールド名はベンダーによって異なるため、プラットフォームがフィールド名を解析して正規化する前の初期入力として生ログが機能します。
  • UDM イベント: パーサーが未加工ログを一貫性のあるベンダーに依存しない形式に変換すると、統合データモデル(UDM)イベントが作成されます。たとえば、src_ipclient-ip などの異なる用語が、単一の principal.ip フィールドに標準化されます。ダウンストリーム システムは UDM を使用して、統合検索や検出ルールなどの機能を提供します。
  • エンティティ コンテキスト データ: このデータは、一般的なイベントを有意義な見込み顧客に変えるための「誰が、何を、どこで」を提供します。コンテキスト データは、IP アドレスが上位の役員または重要な本番環境サーバーに属しているかどうかを示します。Active Directory や CMDB などのソースからのメタデータでイベントを拡充することで、アナリストは実際の組織のリスクに基づいて脅威の優先順位付けを行うことができます。
  • アラート: 即時の対応が必要なアクティビティを示す忠実度の高いシグナルです。アラートは、外部セキュリティ プロダクト(CrowdStrike など)から直接取り込むことも、UDM イベントまたはエンティティがルールをトリガーしたときに Google SecOps YARA-L 検出エンジンによって内部で生成することもできます。アラートは、インシデント ケースの主要な構成要素として機能します。

取り込みエンティティについて

エンティティは、ネットワーク イベントに重要なコンテキストを提供します。標準のネットワーク イベントでは、ユーザー abc@foo.corpshady.exe を起動したことは示されますが、そのユーザーが最近解雇された従業員であるかどうかは示されません。

エンティティ データモデルを使用すると、これらの関係を取り込み、IAM、脆弱性管理、データ保護システムから新しいコンテキストをキャプチャして、豊富な脅威インテリジェンスを提供できます。

すぐに使用できるエンティティ コンテキスト パーサー

データ取り込みを可能な限りシームレスにするため、Google SecOps には、多くの一般的な信頼できるソース用の API コネクタとデフォルトのパーサーが含まれています。次のサポートされているソースからアセットまたはユーザー コンテキスト データを取り込むことができます。

  • ID、人事、アクセス管理: Azure AD 組織コンテキスト、Duo ユーザー コンテキスト、 Google Cloud IAM 分析、 Google Cloud IAM コンテキスト、 Google Cloud ID コンテキスト、Microsoft AD、Okta ユーザー コンテキスト、SailPoint IAM、Workday、Workspace 権限、Workspace ユーザー。
  • アセットとデバイスの管理: JAMF、ServiceNow CMDB、Tanium Asset、Workspace ChromeOS デバイス、Workspace モバイル デバイス。
  • セキュリティと脆弱性管理: Microsoft Defender for Endpoint、Nucleus Unified Vulnerability Management、Nucleus Asset Metadata、Rapid7 Insight。

データ取り込み方法の概要

Google SecOps 取り込みサービスは、すべての受信データのゲートウェイとして機能します。データの保存場所と形式に応じて、Google SecOps は次の主要なシステムを使用してデータを取得します。

  • Google Cloud(直接統合): これは、すべての標準 Google Cloud ログ(監査ログ、VPC フローログ、DNS ログ、ファイアウォール ログなど)に最適な、最も費用対効果が高く、パフォーマンスの高い方法です。Google SecOps は、このデータを Google Cloud 組織から直接取得します。
  • Bindplane エージェント: オンプレミス環境とサーバー(Windows または Linux)からログを収集するために使用される、マネージド テレメトリー パイプラインとエージェント。他の方法(オンプレミス ファイアウォールなど)では簡単に適合しないログに大きな柔軟性を提供し、クラウドデータが Google SecOps に到達する前に、前処理、フィルタリング、絞り込みを行うことができます。Bindplane エージェントは、Bindplane OP 管理コンソールを使用して管理されます。
  • データフィード: オブジェクト ストア(Cloud Storage や Amazon S3 など)にすでに集約されているクラウドベースのログ(EDR や SaaS アプリなど)や、プッシュベースの Webhook をサポートするサードパーティに最適です。データフィードはログを直接取り込みサービスに送信し、事前定義された API 統合(最大 4 MB のログ行をサポート)をすぐに利用できます。
  • 取り込み API: 標準的な方法に適合しないカスタム アプリケーション、大容量アプリケーション、自社開発アプリケーション向けに設計されています。構成はやや複雑になりますが、直接取り込みを完全に制御できます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。