Google SecOps-Datenaufnahme

Unterstützt in:

Google Security Operations nimmt Kundenlogs auf, normalisiert die Daten und erkennt Sicherheitswarnungen. Es bietet Self-Service-Funktionen für die Datenerfassung, Bedrohungserkennung, Benachrichtigungen und Fallverwaltung. Google SecOps kann auch Warnungen von anderen SIEM-Systemen empfangen und analysieren.

Google SecOps-Logaufnahme

Der Google SecOps-Aufnahmedienst fungiert als Gateway für alle Daten.

Google SecOps erfasst Daten über die folgenden Systeme:

  • Google Cloud: Google SecOps ruft Daten direkt aus Ihrer Google Cloud Organisation ab. Dies ist die primäre Methode für alle Standard- Google Cloud Logs (z. B. Audit-, VPC-Fluss-, DNS- und Firewall-Logs). Dies ist die kostengünstigste und leistungsstärkste Methode, um Google Cloud Telemetriedaten in Google SecOps zu übertragen. Weitere Informationen finden Sie unter Daten in Google SecOps aufnehmen. Google Cloud

  • BindPlane-Agent: Dies ist ein verwalteter Agent zum Erfassen von Logs aus lokalen Umgebungen und von Servern (Windows oder Linux). Bindplane ist eine Telemetrie-Pipeline, mit der Logs aus beliebigen Quellen in Google SecOps erfasst, verfeinert und exportiert werden können. So können Sie flexibel verschiedene Arten von Logs erfassen, die mit anderen Methoden nicht funktionieren. Sie können es für lokale Daten wie Firewall-Logs, Windows- und Linux-Logs oder für Cloud-Daten verwenden, die Sie vor der Aufnahme in Google SecOps vorab verarbeiten möchten, z. B. verfeinern oder filtern. Sie können diesen Agent auch über die Bindplane OP Management Console verwalten. Weitere Informationen finden Sie unter BindPlane-Agent verwenden.

  • Datenfeeds: Datenfeeds werden hauptsächlich für cloudbasierte Protokolle verwendet, bei denen die Drittanbieterprotokolle bereits in einem Objektspeicher wie Cloud Storage oder Amazon S3 zusammengefasst sind oder wenn der Drittanbieter Push-basierte Methoden wie Webhook unterstützt. Datenfeeds bieten außerdem sofort einsatzbereite Unterstützung für eine vordefinierte Reihe von API-basierten Integrationen. Verwenden Sie Datenfeeds für cloudbasierte Logs wie EDRs oder SaaS-Anwendungen und für die spezifischen Integrationen, die als Direct API vordefiniert sind. Über die Datenfeeds werden Protokolle direkt an den Google SecOps-Aufnahmedienst gesendet. Weitere Informationen finden Sie in der Dokumentation zur Feedverwaltung. Datenfeeds unterstützen Logzeilen mit einer Größe von bis zu 4 MB.

  • Aufnahme-APIs: Verwenden Sie die Ingestion API für benutzerdefinierte Anwendungen mit hohem Volumen oder selbst entwickelte Anwendungen, die nicht in andere Methoden passen. Diese Methode ist etwas komplexer als andere Aufnahmemethoden. Weitere Informationen finden Sie unter Ingestion API.

  • Forwarder: Der Forwarder wird nicht mehr unterstützt. Google empfiehlt, stattdessen den Bindplane-Agent zu verwenden.

Mit Parsern werden Logs aus Kundensystemen in ein einheitliches Datenmodell (Unified Data Model, UDM) umgewandelt. Downstream-Systeme in Google SecOps verwenden das UDM, um zusätzliche Funktionen bereitzustellen, darunter Regeln und UDM-Suche.

:Beim Importieren wird das Lesen des Parquet-Dateiformats unterstützt.

Hier finden Sie ausführliche Informationen zum Datenaufnahmelaufzyklus für die Suche, einschließlich des End-to-End-Datenflusses und der Latenz sowie der Auswirkungen dieser Faktoren auf die Verfügbarkeit von kürzlich aufgenommenen Daten für Abfragen und Analysen.

Arten der Google SecOps-Aufnahme

Google SecOps kann sowohl Logs als auch Warnungen aufnehmen, unterstützt aber nur Warnungen für einzelne Ereignisse. Mit der UDM-Suche können Sie sowohl aufgenommene als auch integrierte Google SecOps-Benachrichtigungen finden.

Google SecOps unterstützt die folgenden Arten der Datenerfassung:

Rohlogs

Google SecOps erfasst Rohlogs über Forwarder, die Ingestion API, Datenfeeds oder direkt von Google Cloud.

Verwenden Sie eine einzeilige JSON-Nutzlast für die Aufnahme von Rohlogs. Beispiel: { "firstName": "Alex", "lastName": "N", "age": 30, "isStudent": false, "address": { "streetAddress": "1800 Amphibious Blvd", "city": "Anytown", "state": "CA", "postalCode": "94045" }, "phoneNumbers": [ { "type": "home", "number": "800-555-0199" }, { "type": "mobile", "number": "800-554-0199" } ], "hobbies": ["reading", "hiking", "cooking"]}

Wenn Sie eine mehrzeilige Nutzlast einreichen, interpretiert das System jede Zeile als separaten Logeintrag.

Benachrichtigungen von anderen SIEM-Systemen

Google SecOps kann Benachrichtigungen aus anderen SIEM-Systemen, EDRs oder Ticketing-Systemen aufnehmen:

  1. Benachrichtigungen über Google SecOps-Connectors oder Google SecOps-Webhooks erhalten.
  2. Die mit jeder Benachrichtigung verknüpften Ereignisse werden aufgenommen und eine entsprechende Erkennung wird erstellt.
  3. Sowohl die aufgenommenen Ereignisse als auch die erkannten Ereignisse verarbeiten.

Sie können Regeln für die Erkennungs-Engine erstellen, um Muster in den aufgenommenen Ereignissen zu erkennen und zusätzliche Erkennungen zu generieren.

Ablauf der Datenaufnahme

Das folgende Diagramm veranschaulicht, wie Ihre Sicherheitsdaten in Google SecOps einfließen und wie das System diese Daten für die Analyse in der Benutzeroberfläche verarbeitet.

Datenfluss und ‑verarbeitung für Google SecOps

Sicherheitsdaten von Kunden in Google SecOps verarbeiten

Google SecOps verarbeitet Ihre Sicherheitsdaten so:

  1. Ruft Sicherheitsdaten von Cloud-Diensten wie Amazon S3 oderGoogle Cloudab. Google SecOps verschlüsselt diese Daten bei der Übertragung.
  2. Ihre verschlüsselten Sicherheitsdaten werden in Ihrem Konto getrennt gespeichert. Der Zugriff ist auf Sie und eine kleine Anzahl von Google-Mitarbeitern für Produktsupport, Entwicklung und Wartung beschränkt.
  3. Rohe Sicherheitsdaten werden geparst und validiert, sodass sie leichter zu verarbeiten und anzusehen sind.
  4. Die Daten werden für schnelle Suchvorgänge indexiert.
  5. Speichert die geparsten und indexierten Daten in Ihrem Konto.
  6. Bietet Nutzern sicheren Zugriff, um ihre Sicherheitsdaten zu durchsuchen und zu überprüfen.
  7. Vergleicht Ihre Sicherheitsdaten mit der VirusTotal-Malware-Datenbank, um Übereinstimmungen zu finden. Klicken Sie in einer Google SecOps-Ereignisansicht, z. B. der Asset-Ansicht, auf VT-Kontext, um VirusTotal-Informationen aufzurufen. Google SecOps gibt Ihre Sicherheitsdaten nicht an VirusTotal weiter.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten