Transferencia de datos de Google SecOps

Se admite en los siguientes sistemas operativos:

Google Security Operations transfiere los registros de los clientes, normaliza los datos y detecta alertas de seguridad. Proporciona funciones de autoservicio para la transferencia de datos, la detección de amenazas, las alertas y la administración de casos. Google SecOps también puede recibir alertas de otros sistemas SIEM y analizarlas.

Transferencia de registros de Google SecOps

El servicio de transferencia de datos de Google SecOps actúa como una puerta de enlace para todos los datos.

Google SecOps ingiere datos con los siguientes sistemas:

  • Google Cloud: Google SecOps recupera datos directamente de tu organización Google Cloud , que es el método principal para todos los registros Google Cloud estándar (por ejemplo, de auditoría, de flujo de VPC, de DNS y de firewall). Es la forma más rentable y eficiente de incorporar la telemetría a Google SecOps. Google Cloud Para obtener más información, consulta Transfiere datos a Google SecOps. Google Cloud

  • Agente de BindPlane: Es un agente administrado para recopilar registros de entornos y servidores locales (Windows o Linux). Bindplane es una canalización de telemetría que puede recopilar, refinar y exportar registros de cualquier fuente a Google SecOps y, por lo tanto, proporciona flexibilidad para recopilar diferentes tipos de registros que no funcionan con otros métodos. Puedes usarlo para datos locales, como registros de firewall, registros de Windows y Linux, o para datos de la nube que desees procesar previamente (por ejemplo, refinar o filtrar) antes de transferirlos a Google SecOps. También puedes administrar este agente con la consola de Bindplane OP Management. Para obtener más información, consulta Cómo usar el agente de BindPlane.

  • Feeds de datos: Los feeds de datos se usan principalmente para los registros basados en la nube en los que los registros de terceros ya se agregan en un almacén de objetos, como Cloud Storage o Amazon S3, o cuando el tercero admite métodos basados en la "inserción", como los webhooks. Los feeds de datos también proporcionan compatibilidad lista para usar con un conjunto predefinido de integraciones basadas en la API. Utiliza los feeds de datos para los registros basados en la nube, como los EDR o cualquier aplicación de SaaS, y para las integraciones específicas predefinidas como API directa. Los feeds de datos envían registros directamente al servicio de transferencia de datos de Google SecOps. Para obtener más información, consulta la documentación sobre la administración de feeds. Los feeds de datos admiten líneas de registro de hasta 4 MB.

  • APIs de transferencia: Usa la API de Ingestion para aplicaciones personalizadas, de gran volumen o desarrolladas internamente que no se ajusten a otros métodos. Este método es un poco más complejo de usar que otros métodos de transferencia. Para obtener más información, consulta la API de Ingestion.

  • Reenviadores: Los reenviadores ya no están disponibles. Google recomienda que uses el agente de Bindplane en su lugar.

Los analizadores convierten los registros de los sistemas del cliente en un modelo de datos unificado (UDM). Los sistemas posteriores dentro de las Operaciones de seguridad de Google usan el UDM para proporcionar capacidades adicionales, incluidas las reglas y la búsqueda en el UDM.

Consulta Cómo comprender la disponibilidad de los datos para la búsqueda para obtener todos los detalles del ciclo de vida de la transferencia de datos, incluido el flujo de datos y la latencia de extremo a extremo, y cómo estos factores afectan la disponibilidad de los datos transferidos recientemente para las consultas y el análisis.

Tipos de transferencia de datos de Google SecOps

Las Operaciones de seguridad de Google pueden transferir registros y alertas, pero solo admiten alertas de un solo evento. Puedes usar la búsqueda de UDM para encontrar alertas integradas y transferidas de Google SecOps.

Google SecOps admite los siguientes tipos de transferencia de datos:

Registros sin procesar

Google SecOps ingiere registros sin procesar con reenviadores, la API de Ingestion, feeds de datos o directamente desde Google Cloud.

Usa una carga útil de JSON de una sola línea para la transferencia de registros sin procesar. Por ejemplo, { "firstName": "Alex", "lastName": "N", "age": 30, "isStudent": false, "address": { "streetAddress": "1800 Amphibious Blvd", "city": "Anytown", "state": "CA", "postalCode": "94045" }, "phoneNumbers": [ { "type": "home", "number": "800-555-0199" }, { "type": "mobile", "number": "800-554-0199" } ], "hobbies": ["reading", "hiking", "cooking"]}

Si envías una carga útil de varias líneas, el sistema interpretará cada línea como una entrada de registro independiente.

Alertas de otros sistemas SIEM

Google SecOps puede transferir alertas de otros sistemas SIEM, EDR o de tickets de la siguiente manera:

  1. Recibe alertas a través de los conectores o los webhooks de Google SecOps.
  2. Ingiere los eventos asociados con cada alerta y crea una detección correspondiente.
  3. Procesa los eventos y las detecciones que se hayan transferido.

Puedes crear reglas del motor de detección para identificar patrones en los eventos ingeridos y generar detecciones adicionales.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.