Comprende la disponibilidad de los datos para la búsqueda

Se admite en los siguientes sistemas operativos:

En este documento, se detalla el ciclo de vida de la transferencia de datos, incluido el flujo y la latencia de los datos de extremo a extremo, y cómo estos factores afectan la disponibilidad de los datos transferidos recientemente para las consultas y el análisis.

Transfiere y procesa datos en Google Security Operations

En esta sección, se describe cómo Google SecOps ingiere, procesa y analiza los datos de seguridad.

Transferencia de datos

La canalización de transferencia de datos comienza con la recopilación de tus datos de seguridad sin procesar de fuentes como las siguientes:

  • Registros de seguridad de tus sistemas internos
  • Datos almacenados en Cloud Storage
  • Tu centro de operaciones de seguridad (SOC) y otros sistemas internos

Google SecOps incorpora estos datos a la plataforma con uno de sus métodos de transferencia seguros.

Los principales métodos de transferencia son los siguientes:

  • Transferencia Google Cloud directa

    Google SecOps usa la transferencia Google Cloud directa para extraer automáticamente los registros y los datos de telemetría de tu organización Google Cloud, incluidos Cloud Logging, los metadatos de Cloud Asset Inventory y los resultados de Security Command Center Premium.

  • APIs de transferencia

    Envía datos directamente a Google SecOps a través de sus APIs de transferencia públicas de REST. Este método se usa para las integraciones personalizadas o para enviar datos como registros no estructurados o eventos con formato previo del modelo de datos unificados (UDM).

  • Agente de Bindplane

    Puedes implementar el versátil agente de Bindplane en tu entorno (local o en otras nubes) para recopilar registros de una amplia variedad de fuentes y reenviarlos a Google SecOps.

  • Feeds de datos

    En Google SecOps, configuras feeds de datos para extraer registros de fuentes externas, como buckets de almacenamiento en la nube externos específicos (como Amazon S3) o APIs externas (como Okta o Microsoft 365).

Normalización y enriquecimiento de datos

Una vez que los datos llegan a Google SecOps, la plataforma los procesa en las siguientes etapas:

  1. Análisis y normalización

    Primero, un analizador procesa los datos de registro sin procesar para validar, extraer y transformar los datos de su formato original al UDM estandarizado. La normalización y el análisis te permiten analizar diversas fuentes de datos (por ejemplo, registros de firewall, datos de extremos, registros de la nube) con un esquema único y coherente. El registro sin procesar original permanece almacenado junto con el evento del UDM.

  2. Indexación

    Después de la normalización, Google SecOps indexa los datos del UDM para ofrecer velocidades de consulta rápidas en conjuntos de datos masivos, lo que permite buscar los eventos del UDM. También indexa los registros sin procesar originales para las búsquedas de "registros sin procesar".

  3. Enriquecimiento de datos

    Google SecOps enriquece tus datos con contexto valioso de la siguiente manera:

    • Contexto de la entidad (alias): El alias enriquece los registros de UDM identificando y agregando datos de contexto e indicadores para las entidades de registro. Por ejemplo, conecta el nombre de acceso de un usuario a sus diversas direcciones IP, nombres de host y direcciones MAC, y crea un "gráfico de entidades" consolidado.
    • Inteligencia sobre amenazas: Los datos se comparan automáticamente con la vasta inteligencia sobre amenazas de Google, incluidas fuentes como VirusTotal y Navegación Segura, para identificar dominios, IPs, hashes de archivos y mucho más que se conocen como maliciosos.
    • Ubicación geográfica: Las direcciones IP se enriquecen con datos de ubicación geográfica.
    • WHOIS: Los nombres de dominio se enriquecen con su información pública de registro WHOIS.

Disponibilidad de los datos para el análisis

Después de procesarse y enriquecerse, los datos del UDM están disponibles de inmediato para el análisis:

  • Detección en tiempo real

    El Detection Engine ejecuta automáticamente reglas personalizadas y creadas por Google habilitadas para Live Rule en los datos entrantes en tiempo real para identificar amenazas y generar alertas.

  • Búsqueda e investigación

    Un analista puede usar los métodos de búsqueda para buscar en todos estos datos normalizados y enriquecidos. Por ejemplo, usar la búsqueda del UDM para cambiar entre entidades relacionadas (como un user, su asset y un domain malicioso) y, luego, investigar las alertas

Métodos de búsqueda

Google SecOps proporciona varios métodos distintos para buscar tus datos, cada uno con un propósito diferente.

La búsqueda de UDM es el método de búsqueda principal y más rápido, que se usa para la mayoría de las investigaciones.

  • Qué busca: Consulta los eventos de UDM normalizados e indexados. Dado que todos los datos se analizan en este formato estándar, puedes escribir una sola consulta para encontrar la misma actividad (como un acceso) en todos tus diferentes productos (por ejemplo, Windows, Okta, Linux).
  • Cómo funciona: Usas una sintaxis específica para consultar campos, operadores y valores.
  • Ejemplo: principal.hostname = "win-server" AND target.ip = "10.1.2.3"

Usa la búsqueda de registros sin procesar para encontrar algo en el mensaje de registro original sin analizar que tal vez no se haya asignado a un campo de UDM.

  • Qué busca: Analiza el texto sin procesar original de los registros antes de que se analizaran y normalizaran. Esto es útil para encontrar cadenas, argumentos de línea de comandos o artefactos específicos que no son campos de UDM indexados.
  • Cómo funciona: Usas el prefijo raw =. Puede ser más lenta que la búsqueda en UDM porque no busca en los campos indexados.
  • Ejemplo (cadena): raw = "PsExec.exe"
  • Ejemplo (regex): raw = /admin\$/

Búsqueda en lenguaje natural (Gemini)

La búsqueda en lenguaje natural (Gemini) te permite hacer preguntas en inglés simple, que Gemini luego traduce a una consulta formal de UDM.

  • Qué busca: Proporciona una interfaz conversacional para consultar datos del UDM.
  • Cómo funciona: Escribes una pregunta y Gemini genera la consulta de búsqueda de UDM subyacente por ti, que luego puedes ejecutar o definir mejor.
  • Ejemplo: "Muéstrame todos los intentos de acceso fallidos del usuario "bob" en las últimas 24 horas".

La búsqueda de SOAR es específica para los componentes de SOAR. La usas para administrar incidentes de seguridad, no para buscar en los registros.

  • Qué busca: Busca casos y entidades (como usuarios, recursos, IPs) dentro de la plataforma de SOAR.
  • Cómo funciona: Puedes usar filtros de texto libre o basados en campos para encontrar casos por, por ejemplo, su ID, nombre de alerta, estado y usuario asignado.
  • Ejemplo: Busca CaseIds:180 o AlertName:Brute Force

Canalización de transferencia de datos para buscar disponibilidad

El sistema procesa los datos recién transferidos en varios pasos. La duración de estos pasos determina cuándo los datos recién transferidos estarán disponibles para las consultas y el análisis.

En la siguiente tabla, se desglosan los pasos de procesamiento de los datos recién transferidos según el método de búsqueda. Los datos recién transferidos se pueden buscar después de completar estos pasos.

Método de búsqueda Datos en los que se realiza la búsqueda Pasos de procesamiento que contribuyen al tiempo de disponibilidad
Eventos de UDM normalizados y enriquecidos
  1. Transferencia: El registro llega al punto de transferencia de Google SecOps.
  2. Análisis: El analizador específico identifica y procesa el registro sin procesar.
  3. Normalización: Los datos se extraen y se asignan al esquema del UDM.
  4. Indexación (UDM): El registro de UDM normalizado se indexa para una búsqueda rápida y estructurada.
  5. Enriquecimiento: Se agrega contexto (inteligencia sobre amenazas, geolocalización, datos de usuarios o activos).
Búsqueda de registros sin procesar Texto de registro original sin analizar
  1. Transferencia: El registro llega al punto de transferencia de Google SecOps.
  2. Indexación (sin procesar): Se indexa la cadena de texto original del registro.
Búsqueda de SOAR Casos y entidades Este es un ciclo de vida diferente, ya que busca alertas y casos, no registros. La hora se basa en lo siguiente:
  1. Disponibilidad de eventos del UDM: Utiliza los mismos pasos de procesamiento que se indican para la "búsqueda en el UDM".
  2. Detección: Una regla del motor de detección debe coincidir con los eventos del UDM.
  3. Generación de alertas: El sistema crea una alerta formal a partir de la detección.
  4. Creación de casos: La plataforma de SOAR transfiere la alerta y crea un caso.

Ejemplo de flujo de datos

En el siguiente ejemplo, se muestra cómo Google SecOps transfiere, procesa, mejora y analiza tus datos de seguridad, y los pone a disposición para búsquedas y análisis adicionales.

Ejemplo de pasos de procesamiento de datos

  1. Recupera datos de seguridad de servicios en la nube, como Amazon S3, o deGoogle Cloud. Google SecOps encripta estos datos en tránsito.
  2. Separa y almacena tus datos de seguridad encriptados en tu cuenta. El acceso se limita a ti y a una pequeña cantidad de personal de Google para brindar asistencia, desarrollo y mantenimiento del producto.
  3. Analiza y valida los datos de seguridad sin procesar, lo que facilita su procesamiento y visualización.
  4. Normaliza e indexa los datos para realizar búsquedas rápidas.
  5. Almacena los datos analizados y los indexa en tu cuenta.
  6. Enriquece con datos de contexto.
  7. Ofrece acceso seguro para que los usuarios busquen y revisen sus datos de seguridad.
  8. Compara tus datos de seguridad con la base de datos de software malicioso de VirusTotal para identificar coincidencias. En una vista de eventos de Google SecOps, como la vista de activos, haz clic en Contexto de VT para ver la información de VirusTotal. Las SecOps de Google no comparten tus datos de seguridad con VirusTotal.

Flujo y procesamiento de datos en Google SecOps

Ejemplos del tiempo esperado hasta que esté disponible la Búsqueda

El tiempo esperado hasta que los datos recién incorporados estén disponibles para la Búsqueda es la suma de las duraciones del flujo a lo largo del flujo de datos.

Por ejemplo, el tiempo promedio típico para la disponibilidad de datos en la búsqueda de UDM es de aproximadamente 5 minutos y 30 segundos desde que se envían los datos al servicio de transferencia de Google SecOps.

Paso de flujo de datos Descripción Duración del flujo
Cloud Storage a Registros sin procesar Transfiere registros sin procesar desde Cloud Storage. Menos de 30 segundos
Registros de seguridad al Servicio de reenvío de datos Transmite registros de seguridad de los sistemas internos a la plataforma. N/A
Servicio de reenvío de datos a Registros sin procesar Envía datos de seguridad sin procesar recibidos de varias fuentes a la canalización de transferencia. Menos de 30 segundos
Registros sin procesar a Analizar y validar Analiza y valida los registros sin procesar en el formato del UDM. Menos de 3 minutos
Analizar y validar a Index Indexa los datos de UDM analizados para realizar búsquedas rápidas. N/A
Índice de Datos del cliente analizados Pone a disposición los datos indexados como datos del cliente analizados para su análisis. Menos de 2 minutos

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.