Ingestión de datos de Google SecOps

Disponible en:

Google Security Operations ingiere los registros de los clientes, normaliza los datos y detecta alertas de seguridad. Ofrece funciones de autoservicio para la ingestión de datos, la detección de amenazas, las alertas y la gestión de casos. Google SecOps también puede recibir alertas de otros sistemas SIEM y analizarlas.

Ingestión de registros de Google SecOps

El servicio de ingestión de Google SecOps actúa como pasarela para todos los datos.

Google SecOps ingiere datos mediante los siguientes sistemas:

  • Google Cloud: Google SecOps obtiene los datos directamente de tu Google Cloud organización, que es el método principal para todos los registros Google Cloud estándar (por ejemplo, de auditoría, de flujo de VPC, de DNS y de cortafuegos). Es la forma más rentable y eficiente de incorporar telemetría a Google SecOps. Google Cloud Para obtener más información, consulta Ingiere Google Cloud datos en Google SecOps.

  • Agente de BindPlane: es un agente gestionado para recoger registros de entornos y servidores locales (Windows o Linux). Bindplane es una canalización de telemetría que puede recoger, refinar y exportar registros de cualquier fuente a Google SecOps. Por lo tanto, ofrece flexibilidad a la hora de recoger diferentes tipos de registros que no funcionan con otros métodos. Puede usarlo con datos locales, como registros de firewall, registros de Windows y Linux, o con datos de la nube que quiera preprocesar (por ejemplo, refinar o filtrar) antes de ingerirlos en Google SecOps. También puedes gestionar este agente mediante la consola de gestión de Bindplane OP. Para obtener más información, consulta Usar el agente Bindplane.

  • Feeds de datos: los feeds de datos se usan principalmente para los registros basados en la nube en los que los registros de terceros ya se han agregado en un almacén de objetos, como Cloud Storage o Amazon S3, o cuando el tercero admite métodos basados en push, como los webhooks. Los feeds de datos también ofrecen asistencia preconfigurada para un conjunto predefinido de integraciones basadas en APIs. Usa los feeds de datos para los registros basados en la nube, como los EDRs o cualquier aplicación SaaS, y para las integraciones específicas predefinidas como API directa. Los feeds de datos envían registros directamente al servicio de ingestión de Google SecOps. Para obtener más información, consulta la documentación sobre gestión de feeds. Los feeds de datos admiten líneas de registro de hasta 4 MB.

  • APIs de ingestión: usa la API Ingestion para aplicaciones personalizadas, de gran volumen o desarrolladas internamente que no se ajusten a otros métodos. Este método es ligeramente más complejo de usar que otros métodos de ingesta. Para obtener más información, consulte la API Ingestion.

  • Reenviadores: los reenviadores han llegado al final de su ciclo de vida. Google recomienda que uses el agente Bindplane.

Los analizadores convierten los registros de los sistemas de los clientes en un modelo de datos unificado (UDM). Los sistemas posteriores de Google SecOps usan el UDM para ofrecer funciones adicionales, como reglas y búsquedas en el UDM.

Consulte el artículo Información sobre la disponibilidad de los datos de búsqueda para obtener todos los detalles sobre el ciclo de vida de la ingestión de datos, incluido el flujo de datos y la latencia de principio a fin, así como la forma en que estos factores influyen en la disponibilidad de los datos recién ingeridos para realizar consultas y análisis.

Tipos de ingesta de Google SecOps

Google SecOps puede ingerir tanto registros como alertas, pero solo admite alertas de un solo evento. Puedes usar la búsqueda de UDM para encontrar alertas de Google SecOps ingeridas y predefinidas.

Google SecOps admite los siguientes tipos de ingestión de datos:

Registros sin procesar

Google SecOps ingiere registros sin procesar mediante reenviadores, la API de ingesta, feeds de datos o directamente desde Google Cloud.

Usa una carga útil JSON de una sola línea para la ingestión de registros sin procesar. Por ejemplo, { "firstName": "Alex", "lastName": "N", "age": 30, "isStudent": false, "address": { "streetAddress": "1800 Amphibious Blvd", "city": "Anytown", "state": "CA", "postalCode": "94045" }, "phoneNumbers": [ { "type": "home", "number": "800-555-0199" }, { "type": "mobile", "number": "800-554-0199" } ], "hobbies": ["reading", "hiking", "cooking"]}

Si envías una carga útil de varias líneas, el sistema interpreta cada línea como una entrada de registro independiente.

Alertas de otros sistemas SIEM

Google SecOps puede ingerir alertas de otros sistemas SIEM, EDR o de gestión de incidencias de la siguiente manera:

  1. Recibe alertas mediante conectores de Google SecOps o webhooks de Google SecOps.
  2. Ingiere los eventos asociados a cada alerta y crea una detección correspondiente.
  3. Procesa tanto los eventos insertados como las detecciones.

Puedes crear reglas de motor de detección para identificar patrones en los eventos ingeridos y generar detecciones adicionales.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.