Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הטמעת נתונים ב-Google SecOps

נתמך ב:

Google secops SIEM

‫Google Security Operations קולטת יומנים של לקוחות, מבצעת נורמליזציה של הנתונים ומזהה התראות אבטחה. הוא מספק תכונות בשירות עצמי להוספת נתונים, לזיהוי איומים, להתראות ולניהול בקשות תמיכה. בנוסף, Google SecOps יכול לקבל התראות ממערכות SIEM אחרות ולנתח אותן.

סקירה כללית של ארכיטקטורת הטמעת נתונים

בתרשים הבא מוצג תהליך הזרימה של נתוני האבטחה אל Google SecOps, ואיך המערכת מעבדת את הנתונים האלה לצורך ניתוח בממשק.

הזרימה והעיבוד של נתונים ב-Google SecOps

השלבים העיקריים שקשורים להטמעת נתונים

‫Google SecOps מעבדת את נתוני האבטחה שלכם באופן הבא:

שליפת נתוני אבטחה משירותי ענן כמו Amazon S3 אוGoogle Cloud. ‫Google SecOps מצפין את הנתונים האלה בזמן ההעברה.
מפריד את נתוני האבטחה המוצפנים ומאחסן אותם בחשבון שלכם. הגישה מוגבלת לכם ולמספר מצומצם של עובדי Google לצורך תמיכה, פיתוח ותחזוקה של המוצר.
המערכת מנתחת ומאמתת נתוני אבטחה גולמיים, וכך מקלה על העיבוד והצפייה בהם.
מבצע אינדוקס של הנתונים כדי לאפשר חיפושים מהירים.
מאחסן את הנתונים שנותחו ועברו אינדוקס בחשבון שלכם.
מאפשר למשתמשים גישה מאובטחת לחיפוש ולבדיקה של נתוני האבטחה שלהם.
השוואה בין נתוני האבטחה לבין מסד הנתונים של תוכנות זדוניות ב-VirusTotal כדי לזהות התאמות. בתצוגת אירועים ב-Google SecOps, כמו תצוגת הנכסים, לוחצים על VT Context כדי לראות מידע מ-VirusTotal. ‫Google SecOps לא משתף את נתוני האבטחה שלכם עם VirusTotal.

סקירה כללית של שיטות להטמעת נתונים

שירות ההטמעה של Google SecOps פועל כשער לכל הנתונים.

‫Google SecOps קולטת נתונים באמצעות המערכות הבאות:

‫Google Cloud: Google SecOps מאחזר נתונים ישירות מהארגון Google Cloud , וזו השיטה העיקרית לכל היומנים Google Cloud הרגילים (לדוגמה, יומני ביקורת, יומני זרימת VPC, יומני DNS ויומני חומת אש). זו הדרך הכי חסכונית והכי יעילה להעברת נתוני טלמטריה אל Google SecOps. מידע נוסף זמין במאמר בנושא הוספת נתונים ל-Google SecOps. Google Cloud Google Cloud
סוכן Bindplane: זהו סוכן מנוהל לאיסוף יומנים מסביבות ומשרתים מקומיים (Windows או Linux). ‫Bindplane הוא צינור טלמטריה שיכול לאסוף, לחדד ולייצא יומנים מכל מקור ל-Google SecOps, ולכן הוא מספק גמישות באיסוף סוגים שונים של יומנים שלא פועלים עם שיטות אחרות. אפשר להשתמש בו לנתונים מקומיים, כמו יומני חומת אש, יומני Windows ו-Linux, או לנתוני ענן שרוצים לעבד מראש (לדוגמה, לחדד או לסנן) לפני שמטמיעים אותם ב-Google SecOps. אפשר גם לנהל את הסוכן הזה באמצעות מסוף הניהול של Bindplane OP. מידע נוסף זמין במאמר בנושא שימוש בסוכן Bindplane.
פידים של נתונים: פידים של נתונים משמשים בעיקר ליומנים מבוססי-ענן שבהם היומנים של צד שלישי כבר צורפו למאגר אובייקטים, כמו Cloud Storage או Amazon S3, או כשצד שלישי תומך בשיטות מבוססות-דחיפה, כמו webhook. פידים של נתונים מספקים גם תמיכה מוכנה מראש בקבוצה מוגדרת מראש של שילובים מבוססי-API. משתמשים בפידים של נתונים ליומנים מבוססי-ענן כמו EDR או כל אפליקציית SaaS, ולשילובים ספציפיים שמוגדרים מראש כAPI ישיר. הפידים של הנתונים שולחים יומנים ישירות לשירות הטמעת הנתונים של Google SecOps. מידע נוסף זמין במסמכי הניהול של הפידים. פידים של נתונים תומכים בשורות יומן בגודל של עד 4MB.
‫APIs להעברת נתונים: אפשר להשתמש ב-API להעברת נתונים עבור אפליקציות מותאמות אישית, אפליקציות עם נפח נתונים גבוה או אפליקציות שפותחו באופן עצמאי ולא מתאימות לשיטות אחרות. השיטה הזו קצת יותר מורכבת לשימוש משיטות אחרות להעברת נתונים. מידע נוסף זמין במאמר בנושא API להעברת נתונים.
העברת הודעות: התכונה 'העברת הודעות' הגיעה לסוף החיים שלה. ‫Google ממליצה להשתמש במקום זאת בסוכן Bindplane.

מנתחי נתונים ממירים יומנים ממערכות של לקוחות למודל נתונים מאוחד (UDM). מערכות במורד הזרם ב-Google SecOps משתמשות ב-UDM כדי לספק יכולות נוספות, כולל כללים וחיפוש ב-UDM.

במאמר הסבר על זמינות הנתונים לחיפוש מפורט מחזור החיים של הטמעת הנתונים, כולל זרימת הנתונים מקצה לקצה והשהיה, ואיך הגורמים האלה משפיעים על הזמינות של נתונים שהוטמעו לאחרונה לצורך שאילתות וניתוח.

מפרטים:

כשמבצעים המרה של קבצים, פורמט התוכן של הקובץ חייב להתאים לפורמט הצפוי מהסיומת של הקובץ כדי שההמרה של היומנים תתבצע בהצלחה.
קבצים גדולים (בגודל 5-10GB או יותר) עלולים לגרום לעיכוב משמעותי בהעברת הנתונים.
הטמעה תומכת רק בקידוד UTF-8.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.