Google 관리 BigQuery 프로젝트로 내보내기

Google SecOps는 BigQuery로 데이터 내보내기를 통해 정규화된 데이터 및 위협 인텔리전스로 강화된 원격 분석 데이터가 포함된 관리형 데이터 레이크를 제공합니다. 이를 통해 다음 작업을 할 수 있습니다.

• BigQuery에서 직접 임시 쿼리를 실행합니다.
• Looker 또는 Microsoft Power BI와 같은 자체 비즈니스 인텔리전스 도구를 사용해서 대시보드, 보고서, 분석을 만듭니다.
• Google SecOps 데이터를 서드 파티 데이터 세트와 조인합니다.
• 데이터 과학 또는 머신러닝 도구를 사용해서 분석을 실행합니다.
• 사전 정의된 기본 대시보드 및 커스텀 대시보드를 사용해서 보고서를 실행합니다.

Google SecOps는 다음 데이터 카테고리를 BigQuery로 내보냅니다.

• UDM 이벤트 레코드: 고객이 수집한 로그 데이터로부터 생성된 UDM 레코드입니다. 이러한 레코드는 별칭 정보로 보강됩니다.
• 규칙 일치(감지): 규칙이 하나 이상의 이벤트와 일치하는 인스턴스입니다.
• IoC 일치: 침해 지표(IoC) 피드와 일치하는 이벤트의 아티팩트(예: 도메인, IP 주소)입니다. 여기에는 전역 피드 및 고객 특정 피드에 대한 일치가 포함됩니다.
• 수집 측정항목: 수집된 로그 줄 수, 로그에서 생성된 이벤트 수, 로그를 파싱할 수 없음을 나타내는 로그 오류 수, Google SecOps 전달자 상태와 같은 통계가 포함됩니다. 자세한 내용은 수집 측정항목 BigQuery 스키마를 참조하세요.
• 항목 그래프 및 항목 관계: 항목 설명 및 다른 항목과의 관계가 저장됩니다.

테이블 개요

Google SecOps는 BigQuery 및 다음 테이블에 datalake 데이터 세트를 만듭니다.

• entity_enum_value_to_name_mapping: entity_graph 테이블의 열거한 유형에 대해 숫자 값을 문자열 값에 매핑합니다.
• entity_graph: UDM 항목에 대한 데이터를 저장합니다.
• events: UDM 이벤트에 대한 데이터를 저장합니다.
• ingestion_metrics: Google SecOps 전달자, 피드 및 Ingestion API와 같은 특정 수집 소스로부터 데이터 수집 및 정규화와 관련된 통계를 저장합니다.
• ioc_matches: UDM 이벤트에 대해 확인된 IOC 일치 항목을 저장합니다.
• job_metadata: BigQuery에 대해 데이터 내보내기를 추적하는 데 사용되는 내부 테이블입니다.
• rule_detections: Google SecOps에서 실행된 규칙으로 반환되는 감지 항목을 저장합니다.
• rulesets: 각 규칙 집합이 속하는 카테고리, 사용 설정되었는지 여부, 현재 알림 상태를 포함하여 Google SecOps 선별 감지에 대한 정보가 저장됩니다.
• udm_enum_value_to_name_mapping: 이벤트 테이블의 열거 유형에 대해 숫자 값을 문자열 값에 매핑합니다.
• udm_events_aggregates: 정규화된 이벤트 시간에 따라 요약된 집계 데이터를 저장합니다.

BigQuery의 데이터에 액세스

BigQuery에서 직접 쿼리를 실행하거나 Looker 또는 Microsoft Power BI와 같은 자체 비즈니스 인텔리전스 도구를 BigQuery에 연결할 수 있습니다.

BigQuery 인스턴스에 대해 액세스를 사용 설정하려면 Google SecOps BigQuery Access API를 사용합니다. 소유한 사용자 또는 그룹에 대해 이메일 주소를 제공할 수 있습니다. 그룹에 대해 액세스를 구성하는 경우 해당 그룹을 사용해서 멤버가 BigQuery 인스턴스에 액세스할 수 있는 팀을 관리합니다.

Looker 또는 다른 비즈니스 인텔리전스 도구를 BigQuery에 연결하려면 Google SecOps 담당자에게 연락하여 애플리케이션을 Google SecOps BigQuery 데이터 세트에 연결할 수 있게 해주는 서비스 계정 사용자 인증 정보를 요청합니다. 서비스 계정에 IAM BigQuery 데이터 뷰어 역할(roles/bigquery.dataViewer) 및 BigQuery 작업 뷰어 역할(roles/bigquery.jobUser)이 포함됩니다.

데이터 보관

Google 관리 BigQuery를 사용하는 Google SecOps Enterprise Plus 고객에게는 다음 보관 설정이 적용됩니다.

• 기존 Google SecOps Enterprise Plus 고객 (지원 중단 경로):

  • ioc_matches 및 rule_detections 테이블: 볼륨이 낮아 보관 기간 제한이 설정되지 않습니다.
  • entity_graph, udm_events_aggregates 및 events 테이블을 제외한 기타 파티션을 나눈 테이블: 180일
  • events 테이블 (UDM 이벤트): 데이터는 Google SecOps 계약에 따라 보관되거나 계약에 지정되지 않은 경우 기본값인 366일 동안 보관됩니다.

• 신규 고객: 보관 기간은 Google SecOps 계약에 따라 관리됩니다 (고급 BigQuery 내보내기 기능과 동일).

관련 API 메서드

BigQuery에서 Google SecOps 데이터에 대한 셀프 서비스 액세스 권한을 얻으려면 BigQuery 액세스 API 사용에 설명된 API 메서드를 사용하세요.

다음 단계

• 다음 스키마를 자세히 알아보세요.
  • events
  • ingestion_metrics
• BigQuery에서 쿼리 액세스 및 실행에 대한 자세한 내용은 대화형 및 일괄 쿼리 작업 실행을 참조하세요.
• 파티션을 나눈 테이블을 쿼리하는 방법은 파티션을 나눈 테이블 쿼리를 참조하세요.
• Looker를 BigQuery에 연결하는 방법은 BigQuery에 연결에 대한 Looker 문서를 참조하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.