このページは Cloud Translation API によって翻訳されました。

Google SecOps のデータの取り込み

以下でサポートされています。

Google SecOps SIEM

Google Security Operations は、お客様のログを取り込み、データを正規化して、セキュリティアラートを検出します。データ取り込み、脅威検出、アラート、ケース管理のためのセルフサービス機能が提供されます。Google SecOps は、他の SIEM システムからアラートを受信して分析することもできます。

Google SecOps のログ取り込み

Google SecOps 取り込みサービスは、すべてのデータのゲートウェイとして機能します。

Google SecOps は、次のシステムを使用してデータを取り込みます。

フォワーダー: Google SecOps の取り込みサービスにデータを送信する、お客様のエンドポイントにインストールされたリモートエージェント。Linux と Windows のフォワーダーのインストール方法については、フォワーダーをインストールして構成するをご覧ください。
Bindplane エージェント: Bindplane エージェントは、さまざまなソースからログを収集して Google SecOps に送信します。このエージェントは、Bindplane OP 管理コンソール（オプション）を使用して管理できます。詳細については、Bindplane エージェントを使用するをご覧ください。
取り込み API: Google SecOps には、データを直接送信できる公開取り込み API が用意されています。詳細については、Ingestion API をご覧ください。
Google Cloud: Google SecOps は、 Google Cloud 組織からデータを直接取得します。詳細については、 Google Cloud データを Google SecOps に取り込むをご覧ください。
データフィード: データフィードは、静的な外部ロケーション（Amazon S3 など）とサードパーティ API（Okta など）からデータを取得します。これらのデータフィードは、ログを Google SecOps 取り込みサービスに直接送信します。詳しくは、フィード管理のドキュメントをご覧ください。

データフィードでは、最大 4 MB のログ行がサポートされています。

パーサーは、お客様のシステムからのログを統合データモデル（UDM）に変換します。Google SecOps 内のダウンストリームシステムは、UDM を使用して、ルールや UDM 検索などの追加機能を提供します。

エンドツーエンドのデータフローとレイテンシ、およびこれらの要素が最近取り込まれたデータのクエリと分析の可用性にどのように影響するかなど、データ取り込みライフサイクルの詳細については、検索のデータ可用性を理解するをご覧ください。

Google SecOps の取り込みの種類

Google SecOps はログとアラートの両方を取り込むことができますが、単一イベントのアラートのみをサポートします。UDM 検索を使用すると、取り込まれた Google SecOps アラートと組み込みの Google SecOps アラートの両方を検索できます。

Google SecOps は、次のタイプのデータ取り込みをサポートしています。

未加工のログ

Google SecOps は、フォワーダー、取り込み API、データフィード、または Google Cloudから直接、未加工ログを取り込みます。

未加工ログの取り込みには、単一行の JSON ペイロードを使用します。例: { "firstName": "Alex", "lastName": "N", "age": 30, "isStudent": false, "address": { "streetAddress": "1800 Amphibious Blvd", "city": "Anytown", "state": "CA", "postalCode": "94045" }, "phoneNumbers": [ { "type": "home", "number": "800-555-0199" }, { "type": "mobile", "number": "800-554-0199" } ], "hobbies": ["reading", "hiking", "cooking"]}

複数行のペイロードを送信すると、各行が個別のログエントリとして解釈されます。

他の SIEM システムからのアラート

Google SecOps は、他の SIEM システム、EDR、チケット発行システムから次のようにアラートを取り込むことができます。

Google SecOps コネクタまたは Google SecOps Webhook を使用してアラートを受信します。
各アラートに関連付けられたイベントを取り込み、対応する検出を作成します。
取り込まれたイベントと検出の両方を処理します。

検出エンジンルールを作成して、取り込まれたイベント内のパターンを特定し、追加の検出を生成できます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。