Ingestão de dados do Google SecOps

Compatível com:

O Google Security Operations ingere registros de clientes, normaliza os dados e detecta alertas de segurança. Ele oferece recursos de autoatendimento para ingestão de dados, detecção de ameaças, alertas e gerenciamento de casos. O Google SecOps também pode receber alertas de outros sistemas SIEM e analisá-los.

Ingestão de registros do Google SecOps

O serviço de ingestão do Google SecOps atua como um gateway para todos os dados.

O Google SecOps ingere dados usando os seguintes sistemas:

  • Google Cloud: o Google SecOps recupera dados diretamente da sua organização Google Cloud , que é o método principal para todos os registros padrão do Google Cloud (por exemplo, auditoria, fluxo de VPC, DNS e firewall). É a maneira mais econômica e eficiente de trazer a telemetria do Google Cloud para o Google SecOps. Para mais informações, consulte Ingerir dados do Google Cloud no Google SecOps.

  • Agente do BindPlane: é um agente gerenciado para coletar registros de ambientes e servidores locais (Windows ou Linux). O Bindplane é um pipeline de telemetria que pode coletar, refinar e exportar registros de qualquer origem para o Google SecOps. Assim, ele oferece flexibilidade na coleta de diferentes tipos de registros que não funcionam com outros métodos. É possível usar o recurso para dados locais, como registros de firewall, registros do Windows e do Linux, ou para dados da nuvem que você quer pré-processar (por exemplo, refinar ou filtrar) antes de ingerir no Google SecOps. Também é possível gerenciar esse agente usando o console de gerenciamento do Bindplane OP. Para mais informações, consulte Usar o agente do Bindplane.

  • Feeds de dados: são usados principalmente para registros baseados na nuvem em que os registros de terceiros já estão agregados em um armazenamento de objetos, como o Cloud Storage ou o Amazon S3, ou quando o terceiro oferece suporte a métodos baseados em "push", como webhook. Os feeds de dados também oferecem suporte imediato a um conjunto predefinido de integrações baseadas em API. Use feeds de dados para registros baseados na nuvem, como EDRs ou qualquer aplicativo SaaS, e para as integrações específicas predefinidas como API direta. Os feeds de dados enviam registros diretamente para o serviço de ingestão do Google SecOps. Para mais informações, consulte a documentação sobre gerenciamento de feeds. Os feeds de dados são compatíveis com linhas de registro de até 4 MB.

  • APIs de ingestão: use a API de ingestão para aplicativos personalizados, de alto volume ou internos que não se encaixam em outros métodos. Esse método é um pouco mais complexo de usar do que outros métodos de ingestão. Para mais informações, consulte a API Ingestion.

  • Encaminhadores: o encaminhador chegou ao fim da vida útil. O Google recomenda que você use o agente do Bindplane.

Os analisadores convertem registros dos sistemas dos clientes em um modelo de dados unificado (UDM). Os sistemas downstream no Google SecOps usam o UDM para oferecer recursos adicionais, incluindo regras e pesquisa do UDM.

Consulte Entender a disponibilidade de dados para pesquisa para conferir todos os detalhes do ciclo de vida da ingestão de dados, incluindo o fluxo de dados e a latência de ponta a ponta, e como esses fatores afetam a disponibilidade de dados ingeridos recentemente para consulta e análise.

Tipos de ingestão do Google SecOps

O Google SecOps pode ingerir registros e alertas, mas só é compatível com alertas de evento único. Você pode usar a pesquisa da UDM para encontrar alertas ingeridos e integrados do Google SecOps.

O Google SecOps é compatível com os seguintes tipos de ingestão de dados:

Registros brutos

O Google SecOps ingere registros brutos usando encaminhadores, a API de ingestão, feeds de dados ou diretamente de Google Cloud.

Use um payload JSON de linha única para ingestão de registros brutos. Por exemplo, { "firstName": "Alex", "lastName": "N", "age": 30, "isStudent": false, "address": { "streetAddress": "1800 Amphibious Blvd", "city": "Anytown", "state": "CA", "postalCode": "94045" }, "phoneNumbers": [ { "type": "home", "number": "800-555-0199" }, { "type": "mobile", "number": "800-554-0199" } ], "hobbies": ["reading", "hiking", "cooking"]}.

Se você enviar uma carga útil de várias linhas, o sistema vai interpretar cada linha como uma entrada de registro separada.

Alertas de outros sistemas SIEM

O Google SecOps pode ingerir alertas de outros sistemas SIEM, EDRs ou sistemas de tíquetes da seguinte forma:

  1. Receba alertas usando conectores ou webhooks do Google SecOps.
  2. Ingira os eventos associados a cada alerta e crie uma detecção correspondente.
  3. Processar os eventos e as detecções ingeridos.

É possível criar regras do mecanismo de detecção para identificar padrões nos eventos ingeridos e gerar outras detecções.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.