Google SecOps 資料擷取
Google Security Operations 會擷取客戶記錄、將資料標準化,並偵測安全快訊。提供自助式功能,可進行資料擷取、威脅偵測、警示和案件管理。Google SecOps 也能接收其他 SIEM 系統的快訊並進行分析。
Google SecOps 記錄擷取
Google SecOps 擷取服務是所有資料的閘道。
Google SecOps 會透過下列系統擷取資料:
Google Cloud:Google SecOps 會直接從 Google Cloud 機構擷取資料,這是所有標準 Google Cloud 記錄 (例如稽核、VPC 流程、DNS 和防火牆) 的主要方法。 這是將遙測資料匯入 Google SecOps 最具成本效益且成效卓越的方式。 Google Cloud 詳情請參閱「將資料擷取 Google Cloud 至 Google SecOps」。
Bindplane 代理程式:這是受管理的代理程式,可從地端環境和伺服器 (Windows 或 Linux) 收集記錄。Bindplane 是一種遙測管道,可從任何來源收集、精簡及匯出記錄至 Google SecOps,因此可彈性收集其他方法無法處理的不同類型記錄。 您可以使用此工具處理地端資料,例如防火牆記錄、Windows 和 Linux 記錄,或是先預先處理 (例如精簡或篩選) 雲端資料,再擷取至 Google SecOps。您也可以使用 Bindplane OP 管理控制台管理這個代理程式。詳情請參閱「使用 Bindplane 代理程式」。
資料動態饋給:資料動態饋給主要用於雲端記錄,第三方記錄已匯總至物件儲存空間 (例如 Cloud Storage 或 Amazon S3),或第三方支援「推送」式方法 (例如 Webhook)。資料動態饋給也提供現成的支援,可與預先定義的一組 API 整合。使用資料動態饋給,取得雲端記錄 (例如 EDR 或任何 SaaS 應用程式),以及預先定義為直接 API 的特定整合項目。資料動態饋給會將記錄直接傳送至 Google SecOps 擷取服務。詳情請參閱動態饋給管理說明文件。資料動態饋給支援大小上限為 4 MB 的記錄行。
擷取 API:如果應用程式是自訂、高用量或自行開發,且不適用於其他方法,請使用擷取 API。相較於其他擷取方法,這個方法的使用難度略高。詳情請參閱「Ingestion API」。
轉送站:轉送站已終止支援。Google 建議改用 Bindplane 代理程式。
剖析器會將顧客系統中的記錄轉換為統合資料模型 (UDM)。Google SecOps 中的下游系統會使用 UDM 提供其他功能,包括規則和 UDM 搜尋。
如要進一步瞭解資料擷取生命週期,包括端對端資料流程和延遲,以及這些因素如何影響最近擷取資料的查詢和分析可用性,請參閱「瞭解搜尋資料可用性」。
Google SecOps 擷取作業類型
Google SecOps 可以擷取記錄和快訊,但僅支援單一事件快訊。您可以使用 UDM 搜尋功能,找出已擷取和內建的 Google SecOps 快訊。
Google SecOps 支援下列類型的資料擷取:
原始記錄
Google SecOps 會使用轉送器、擷取 API、資料動態饋給,或直接從 Google Cloud擷取原始記錄。
如要擷取原始記錄,請使用單行 JSON 酬載。例如:{ "firstName": "Alex", "lastName": "N", "age": 30, "isStudent": false, "address": { "streetAddress": "1800 Amphibious Blvd", "city": "Anytown", "state": "CA", "postalCode": "94045" }, "phoneNumbers": [ { "type": "home", "number": "800-555-0199" }, { "type": "mobile", "number": "800-554-0199" } ], "hobbies": ["reading", "hiking", "cooking"]}
如果提交多行酬載,系統會將每一行解讀為個別的記錄項目。
其他 SIEM 系統的快訊
Google SecOps 可以從其他 SIEM 系統、EDR 或票證系統擷取快訊,方法如下:
您可以建立偵測引擎規則,找出擷取事件中的模式,並產生額外的偵測結果。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。