Mengekspor ke project BigQuery yang dikelola Google

Google SecOps menyediakan data lake terkelola yang berisi telemetri yang dinormalisasi dan diperkaya dengan informasi terkait ancaman keamanan dengan mengekspor data ke BigQuery. Hal ini memungkinkan Anda melakukan hal berikut:

• Jalankan kueri ad-hoc langsung di BigQuery.
• Gunakan alat business intelligence Anda sendiri, seperti Looker atau Microsoft Power BI, untuk membuat dasbor, laporan, dan analisis.
• Gabungkan data Google SecOps dengan set data pihak ketiga.
• Jalankan analisis menggunakan alat ilmu data atau machine learning.
• Jalankan laporan menggunakan dasbor default standar dan dasbor kustom.

Google SecOps mengekspor kategori data berikut ke BigQuery:

• Catatan peristiwa UDM: Catatan UDM yang dibuat dari data log yang di-ingest oleh pelanggan. Data ini dilengkapi dengan informasi alias.
• Kecocokan aturan (deteksi): instance saat aturan cocok dengan satu atau beberapa peristiwa.
• Kecocokan IoC: artefak (misalnya, domain, alamat IP) dari peristiwa yang cocok dengan feed Indikator Penyusupan (IoC). Hal ini mencakup kecocokan dari feed global dan feed khusus pelanggan.
• Metrik penyerapan: mencakup statistik, seperti jumlah baris log yang diserap, jumlah peristiwa yang dihasilkan dari log, jumlah error log yang menunjukkan bahwa log tidak dapat diuraikan, dan status penerusan Google SecOps. Untuk mengetahui informasi selengkapnya, lihat Skema BigQuery metrik penyerapan.
• Grafik entity dan hubungan entity: menyimpan deskripsi entity dan hubungannya dengan entity lain.

Ringkasan tabel

Google SecOps membuat set data datalake di BigQuery dan tabel berikut:

• entity_enum_value_to_name_mapping: untuk jenis yang di-enum di tabel entity_graph, memetakan nilai numerik ke nilai string.
• entity_graph: menyimpan data tentang entity UDM.
• events: menyimpan data tentang peristiwa UDM.
• ingestion_metrics: menyimpan statistik terkait penyerapan dan normalisasi data dari sumber penyerapan tertentu, seperti penerusan Google SecOps, feed, dan Ingestion API.
• ioc_matches: menyimpan kecocokan IOC yang ditemukan terhadap peristiwa UDM.
• job_metadata: tabel internal yang digunakan untuk melacak ekspor data ke BigQuery.
• rule_detections: menyimpan deteksi yang ditampilkan oleh aturan yang dijalankan di Google SecOps.
• rulesets: menyimpan informasi tentang deteksi pilihan Google SecOps, termasuk kategori setiap set aturan, apakah diaktifkan, dan status pemberitahuan saat ini.
• udm_enum_value_to_name_mapping: Untuk jenis yang di-enum di tabel events, memetakan nilai numerik ke nilai string.
• udm_events_aggregates: menyimpan data gabungan yang diringkas menurut jam peristiwa yang dinormalisasi.

Mengakses data di BigQuery

Anda dapat menjalankan kueri langsung di BigQuery atau menghubungkan alat business intelligence Anda sendiri, seperti Looker atau Microsoft Power BI, ke BigQuery.

Untuk mengaktifkan akses ke instance BigQuery, gunakan Google SecOps BigQuery Access API. Anda dapat memberikan alamat email untuk pengguna atau grup yang Anda miliki. Jika Anda mengonfigurasi akses ke grup, gunakan grup tersebut untuk mengelola anggota tim yang dapat mengakses instance BigQuery.

Untuk menghubungkan Looker atau alat business intelligence lain ke BigQuery, hubungi perwakilan Google SecOps Anda untuk mendapatkan kredensial akun layanan yang memungkinkan Anda menghubungkan aplikasi ke set data BigQuery Google SecOps. Akun layanan akan memiliki peran IAM BigQuery Data Viewer (roles/bigquery.dataViewer) dan BigQuery Job Viewer (roles/bigquery.jobUser).

Retensi data

Untuk pelanggan Google SecOps Enterprise Plus yang menggunakan BigQuery yang dikelola Google, setelan retensi berikut berlaku:

• Pelanggan lama Google SecOps Enterprise Plus (dalam jalur penghentian):

  • Tabel ioc_matches dan rule_detections: tidak ada batas retensi yang ditetapkan, karena volume rendah.
  • entity_graph, udm_events_aggregates, dan tabel berpartisi lainnya kecuali tabel events: 180 hari.
  • tabel events (peristiwa UDM): data dipertahankan sesuai dengan kontrak Google SecOps Anda, atau default 366 hari jika tidak ditentukan dalam kontrak.

• Pelanggan baru: durasi retensi diatur oleh kontrak Google SecOps (sesuai dengan fitur BigQuery Export Lanjutan).

Metode API terkait

Untuk mendapatkan akses layanan mandiri ke data Google SecOps di BigQuery, gunakan metode API yang dijelaskan dalam Menggunakan BigQuery Access API.

Langkah berikutnya

• Pelajari skema berikut lebih lanjut:
  • events
  • ingestion_metrics
• Untuk mengetahui informasi tentang cara mengakses dan menjalankan kueri di BigQuery, lihat Menjalankan tugas kueri interaktif dan batch.
• Untuk mengetahui informasi tentang cara membuat kueri tabel berpartisi, lihat Membuat kueri tabel berpartisi.
• Untuk mengetahui informasi tentang cara menghubungkan Looker ke BigQuery, lihat dokumentasi Looker tentang menghubungkan ke BigQuery.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.