Se usó la API de Cloud Translation para traducir esta página.

Transferencia de datos de Google SecOps

Compatible con:

Google SecOps SIEM

Google Security Operations transfiere los registros de los clientes, normaliza los datos y detecta alertas de seguridad. Proporciona funciones de autoservicio para la transferencia de datos, la detección de amenazas, las alertas y la administración de casos. Google SecOps también puede recibir alertas de otros sistemas SIEM y analizarlas.

Transferencia de registros de Google SecOps

El servicio de transferencia de datos de Google SecOps actúa como una puerta de enlace para todos los datos.

Google SecOps ingiere datos con los siguientes sistemas:

Reenviadores: Son agentes remotos instalados en los extremos del cliente que envían datos al servicio de transferencia de SecOps de Google. Para obtener detalles sobre cómo instalar los reenviadores de Linux y Windows, consulta Instala y configura el reenviador.
Agente de BindPlane: El agente de BindPlane recopila registros de varias fuentes y los envía a Google SecOps. Puedes administrar este agente con la consola de administración de Bindplane OP opcional. Para obtener más información, consulta Cómo usar el agente de Bindplane.
APIs de transferencia: Google SecOps proporciona APIs de transferencia públicas que te permiten enviar datos directamente. Para obtener más información, consulta la API de Ingestion.
Google Cloud: Google SecOps recupera datos directamente de tu organización de Google Cloud . Para obtener más información, consulta Transfiere datos a Google SecOps. Google Cloud
Feeds de datos: Los feeds de datos recuperan datos de ubicaciones externas estáticas (como Amazon S3) y APIs de terceros (como Okta). Estos feeds de datos envían registros directamente al servicio de transferencia de datos de Google SecOps. Para obtener más información, consulta la documentación sobre la administración de feeds.

Los feeds de datos admiten líneas de registro de hasta 4 MB.

Los analizadores convierten los registros de los sistemas del cliente en un modelo de datos unificado (UDM). Los sistemas posteriores dentro de las Operaciones de seguridad de Google usan el UDM para proporcionar capacidades adicionales, incluidas las reglas y la búsqueda de UDM. Las Operaciones de seguridad de Google pueden transferir registros y alertas, pero solo admiten alertas de un solo evento. Puedes usar la búsqueda de UDM para encontrar alertas integradas y transferidas de Google SecOps.

Comprende el proceso de transferencia de datos de Google SecOps

Google SecOps admite los siguientes tipos de transferencia de datos:

Registros sin procesar

Google SecOps ingiere registros sin procesar con retransmisores, la API de ingesta, feeds de datos o directamente desde Google Cloud.

Usa una carga útil de JSON de una sola línea para la transferencia de registros sin procesar. Por ejemplo, { "firstName": "Alex", "lastName": "N", "age": 30, "isStudent": false, "address": { "streetAddress": "1800 Amphibious Blvd", "city": "Anytown", "state": "CA", "postalCode": "94045" }, "phoneNumbers": [ { "type": "home", "number": "800-555-0199" }, { "type": "mobile", "number": "800-554-0199" } ], "hobbies": ["reading", "hiking", "cooking"]}

Si envías una carga útil de varias líneas, el sistema interpretará cada línea como una entrada de registro independiente.

Alertas de otros sistemas SIEM

Google SecOps puede incorporar alertas de otros sistemas SIEM, EDR o de tickets de la siguiente manera:

Recibe alertas a través de conectores o Webhooks de Google SecOps.
Ingiere los eventos asociados con cada alerta y crea una detección correspondiente.
Procesa los eventos y las detecciones que se hayan transferido.

Puedes crear reglas del motor de detección para identificar patrones en los eventos ingeridos y generar detecciones adicionales.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.