擷取方法和資料類型

為有效監控環境及調查事件，Google Security Operations 可讓您擷取各種安全性資料。瞭解可匯入平台的資料類型，以及用於擷取資料的方法，是建立穩固安全狀態的第一步。

擷取資料類型

Google SecOps 會將傳入資料歸類為四種主要類型，每種資料在偵測和調查生命週期中都有不同用途：

• 原始記錄：這些是來自安全來源 (例如防火牆、EDR 工具和雲端平台) 的原始資料串流，未經過任何處理。記錄檔會以 JSON、Syslog、CSV 或非結構化文字等格式傳送，是深入鑑識和法規遵循的「可靠資料來源」。由於欄位名稱因供應商而異，平台會先剖析及正規化欄位名稱，再將原始記錄做為初始輸入內容。
• UDM 事件：剖析器將原始記錄轉換為一致且與供應商無關的格式時，就會建立統一資料模型 (UDM) 事件。舉例來說，系統會將 src_ip 和 client-ip 等不同字詞標準化為單一 principal.ip 欄位。下游系統會使用 UDM 提供統一搜尋和偵測規則等功能。
• 實體內容資料：這類資料提供「誰、什麼和哪裡」的資訊，可將一般事件轉換為有意義的待開發客戶。脈絡資料會顯示 IP 位址是否屬於高階主管或重要生產伺服器。透過從 Active Directory 或 CMDB 等來源取得中繼資料來擴充事件，分析師就能根據實際機構風險，優先處理威脅。
• 快訊：這些是高保真信號，表示有活動需要立即處理。警示可直接從外部安全產品 (如 CrowdStrike) 擷取，或在 UDM 事件或實體觸發規則時，由 Google SecOps YARA-L 偵測引擎在內部產生。快訊是事件案件的主要構成要素。

瞭解擷取實體

實體可為網路事件提供重要脈絡資訊。標準網路事件可能會顯示使用者「啟動」abc@foo.corpshady.exe，但不會指出該使用者是否為最近遭解雇的員工。

實體資料模型可讓您擷取這些關係，從 IAM、漏洞管理和資料保護系統擷取新情境，提供豐富的威脅情報。

現成的實體內容剖析器

為盡可能簡化資料擷取程序，Google SecOps 內建 API 連接器和預設剖析器，可支援許多常見的權威來源。您可以從下列支援的來源擷取資產或使用者環境資料：

• 身分、人資和存取權管理：Azure AD 組織情境、Duo 使用者情境、 Google Cloud IAM 分析、 Google Cloud IAM 情境、 Google Cloud 身分情境、Microsoft AD、Okta 使用者情境、SailPoint IAM、Workday、Workspace 權限和 Workspace 使用者。
• 資產和裝置管理：JAMF、ServiceNow CMDB、Tanium Asset、Workspace ChromeOS 裝置和 Workspace 行動裝置。
• 安全性與安全漏洞管理：Microsoft Defender for Endpoint、Nucleus Unified Vulnerability Management、Nucleus Asset Metadata 和 Rapid7 Insight。

資料擷取方法總覽

Google SecOps 擷取服務會做為所有傳入資料的閘道。Google SecOps 會根據資料所在位置和格式，使用下列主要系統擷取資料：

• Google Cloud (直接整合)：這是所有標準 Google Cloud 記錄 (例如稽核、虛擬私有雲流程、DNS 和防火牆記錄) 的主要方法，不僅最具成本效益，效能也最高。Google SecOps 會直接從貴機構 Google Cloud 擷取這項資料。
• Bindplane 代理程式：用於收集內部部署環境和伺服器 (Windows 或 Linux) 記錄的受管理遙測管道和代理程式。對於不適合其他方法 (例如地端防火牆) 的記錄檔，這項功能可提供極大的彈性，讓您在雲端資料傳送至 Google SecOps 之前，預先處理、篩選或精簡資料。Bindplane 代理程式是透過 Bindplane OP 管理控制台管理。

• 資料動態饋給：最適合用於已匯總至物件儲存空間 (例如 Cloud Storage 或 Amazon S3) 的雲端記錄 (例如 EDR 或 SaaS 應用程式)，或支援推送式 Webhook 的第三方。資料動態饋給會將記錄直接傳送至擷取服務，並提供預先定義的 API 整合支援 (支援大小上限為 4 MB 的記錄行)。
• 擷取 API：適用於不符合標準方法的自訂、大量或自家應用程式。雖然設定稍微複雜，但可全面控管直接擷取作業。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。