提取方法和数据类型

支持的平台：

Google SecOps SIEM

为了让您能够有效地监控环境和调查突发事件，Google Security Operations 可让您注入各种安全数据。了解您可以将哪些类型的数据导入平台，以及用于注入这些数据的方法，是打造强大安全状况的第一步。

注入数据类型

Google SecOps 将传入的数据分为四种主要类型，每种类型在检测和调查生命周期中都具有不同的用途：

原始日志：这是来自安全来源（例如防火墙、EDR 工具和云平台）的原始、未经处理的数据流。日志以 JSON、Syslog、CSV 或非结构化文本等格式到达，是深入取证和合规性的“可靠来源”。由于字段名称因供应商而异，因此原始日志在平台解析和规范化字段名称之前充当初始输入。
UDM 事件：当解析器将原始日志转换为一致的、与供应商无关的格式时，系统会创建统一数据模型 (UDM) 事件。例如，src_ip 和 client-ip 等不同的术语会标准化为单个 principal.ip 字段。下游系统使用 UDM 来提供统一搜索和检测规则等功能。
实体情境数据：此数据提供“谁、什么和哪里”信息，可将一般事件转化为有意义的潜在客户。情境数据可告知您某个 IP 地址是否属于高层管理人员或关键生产服务器。通过使用 Active Directory 或 CMDB 等来源的元数据来丰富事件，分析师可以根据实际组织风险确定威胁的优先级。
提醒：这些是高保真信号，表示需要立即注意的活动。提醒可以直接从外部安全产品（例如 CrowdStrike）提取，也可以在 UDM 事件或实体触发规则时由 Google SecOps YARA-L 检测引擎在内部生成。提醒是突发事件案例的主要组成部分。

实体可为网络事件提供关键背景信息。标准网络事件可能会显示用户 abc@foo.corp 启动了 shady.exe，但不会指明该用户是否是最近被解雇的员工。

借助实体数据模型，您可以注入这些关系，从 IAM、漏洞管理和数据保护系统中捕获新情境，从而提供丰富的威胁情报。

为了尽可能顺畅地注入数据，Google SecOps 包含许多常见权威来源的 API 连接器和默认解析器。您可以从以下受支持的来源注入资产或用户情境数据：

身份、HR 和访问管理：Azure AD 组织上下文、Duo 用户上下文、 Google Cloud IAM 分析、 Google Cloud IAM 上下文、 Google Cloud 身份上下文、Microsoft AD、Okta 用户上下文、SailPoint IAM、Workday、Workspace 权限和 Workspace 用户。
资产和设备管理：JAMF、ServiceNow CMDB、Tanium Asset、Workspace ChromeOS 设备和 Workspace 移动设备。
安全和漏洞管理：Microsoft Defender for Endpoint、Nucleus Unified Vulnerability Management、Nucleus Asset Metadata 和 Rapid7 Insight。

Google SecOps 提取服务充当所有传入数据的网关。Google SecOps 会使用以下主要系统来检索数据，具体取决于数据存储的位置和格式：

Google Cloud（直接集成）：这是适用于所有标准 Google Cloud 日志（例如审核日志、VPC 流日志、DNS 日志和防火墙日志）的主要方法，也是最具成本效益且性能最高的方法。Google SecOps 会直接从您的 Google Cloud 组织检索这些数据。
Bindplane 代理：一种用于从本地环境和服务器（Windows 或 Linux）收集日志的受管理的遥测流水线和代理。对于难以通过其他方法（例如本地防火墙）处理的日志，它提供了极大的灵活性，并允许您在云数据到达 Google SecOps 之前对其进行预处理、过滤或优化。Bindplane 代理使用 Bindplane OP 管理控制台进行管理。

数据 Feed：最适合用于已汇总到对象存储区（例如 Cloud Storage 或 Amazon S3）的基于云的日志（例如 EDR 或 SaaS 应用），或支持基于推送的 Webhook 的第三方。数据 Feed 会将日志直接发送到提取服务，并为预定义的 API 集成提供开箱即用的支持（支持最大 4 MB 的日志行）。
Ingestion API：专为不适合使用标准方法的自定义、大容量或自研应用而设计。虽然配置起来稍微复杂一些，但可完全控制直接提取。