Métodos de ingestão e tipos de dados

Compatível com:

Para monitorar seu ambiente e investigar incidentes de maneira eficaz, o Google Security Operations permite ingerir uma grande variedade de dados de segurança. Entender os tipos de dados que podem ser inseridos na plataforma e os métodos usados para ingerir esses dados é a primeira etapa na criação de uma postura de segurança robusta.

Tipos de dados de ingestão

O Google SecOps categoriza os dados recebidos em quatro tipos principais, cada um com uma finalidade distinta no ciclo de vida de detecção e investigação:

  • Registros brutos:são os fluxos de dados originais e intactos das suas fontes de segurança, como firewalls, ferramentas de EDR e plataformas de nuvem. Chegando em formatos como JSON, Syslog, CSV ou texto não estruturado, os registros servem como a "fonte da verdade" para perícia e compliance detalhados. Como os nomes de campos variam de acordo com o fornecedor, os registros brutos atuam como a entrada inicial antes que a plataforma analise e normalize os nomes de campos.
  • Eventos do UDM:os eventos do modelo de dados unificado (UDM) são criados quando os analisadores convertem seus registros brutos em um formato consistente e independente de fornecedor. Por exemplo, termos diferentes como src_ip e client-ip são padronizados em um único campo principal.ip. Os sistemas downstream usam a UDM para oferecer recursos como pesquisa unificada e regras de detecção.
  • Dados de contexto da entidade:fornecem o "quem, o quê e onde" para transformar eventos genéricos em leads significativos. Os dados de contexto informam se um endereço IP pertence a um executivo de alto escalão ou a um servidor de produção crítico. Ao enriquecer eventos com metadados de fontes como Active Directory ou CMDBs, os analistas podem priorizar ameaças com base no risco organizacional real.
  • Alertas:são sinais de alta fidelidade que indicam uma atividade que requer atenção imediata. Os alertas podem ser ingeridos diretamente de produtos de segurança externos (como o CrowdStrike) ou gerados internamente pelo mecanismo de detecção YARA-L do Google SecOps quando eventos ou entidades da UDM acionam uma regra. Os alertas servem como os principais elementos de casos de incidentes.

Entender as entidades de ingestão

As entidades fornecem contexto crucial para eventos de rede. Um evento de rede padrão pode mostrar que o usuário abc@foo.corp iniciou shady.exe, mas não indica se esse usuário é um funcionário demitido recentemente.

O modelo de dados de entidade permite ingerir essas relações, capturando novos contextos dos sistemas de gerenciamento de identidade e acesso (IAM), gestão de vulnerabilidades e proteção de dados para fornecer inteligência contra ameaças avançada.

Analisadores de contexto de entidade prontos para uso

Para facilitar ao máximo a ingestão de dados, o Google SecOps inclui conectores de API e analisadores padrão para muitas fontes confiáveis comuns. É possível ingerir dados de contexto de ativos ou usuários das seguintes fontes compatíveis:

  • Gerenciamento de identidade, RH e gerenciamento de acesso:contexto organizacional do Azure AD, contexto do usuário do Duo, Google Cloud análise do IAM, Google Cloud contexto do IAM, Google Cloud contexto de identidade, Microsoft AD, contexto do usuário do Okta, SailPoint IAM, Workday, privilégios do Workspace e usuários do Workspace.
  • Gerenciamento de ativos e dispositivos:JAMF, ServiceNow CMDB, Tanium Asset, dispositivos ChromeOS do Workspace e dispositivos móveis do Workspace.
  • Gerenciamento de segurança e vulnerabilidades:Microsoft Defender para Ponto de Extremidade, Nucleus Unified Vulnerability Management, Nucleus Asset Metadata e Rapid7 Insight.

Visão geral dos métodos de ingestão de dados

O serviço de ingestão do Google SecOps atua como um gateway para todos os seus dados recebidos. Dependendo de onde os dados estão e de como eles são formatados, o Google SecOps usa os seguintes sistemas principais para recuperá-los:

  • Google Cloud (integração direta): esse é o método principal, mais econômico e de maior desempenho para todos os registros padrão Google Cloud , como de auditoria, fluxo de VPC, DNS e firewall. O Google SecOps recupera esses dados diretamente da sua organização Google Cloud .
  • Agente do Bindplane:um pipeline e um agente de telemetria gerenciados usados para coletar registros de ambientes e servidores locais (Windows ou Linux). Ele oferece grande flexibilidade para registros que não se encaixam facilmente em outros métodos (como firewalls locais) e permite pré-processar, filtrar ou refinar dados da nuvem antes que eles cheguem ao Google SecOps. O agente do Bindplane é gerenciado usando o console de gerenciamento do Bindplane OP.
  • Feeds de dados:são mais adequados para registros baseados na nuvem (como EDRs ou apps SaaS) que já estão agregados em armazenamentos de objetos (como o Cloud Storage ou o Amazon S3) ou para terceiros que oferecem suporte a webhooks baseados em push. Os feeds de dados enviam registros diretamente para o serviço de ingestão e oferecem suporte imediato a integrações de API predefinidas (compatíveis com linhas de registro de até 4 MB).
  • API de ingestão:criada para aplicativos personalizados, de alto volume ou desenvolvidos internamente que não se encaixam nos métodos padrão. Embora seja um pouco mais complexo de configurar, ele oferece controle total sobre a ingestão direta.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.