Penyerapan data Google SecOps

Didukung di:

Google Security Operations menyerap log pelanggan, menormalisasi data, dan mendeteksi pemberitahuan keamanan. Layanan ini menyediakan fitur layanan mandiri untuk penyerapan data, deteksi ancaman, pemberitahuan, dan pengelolaan kasus. Google SecOps juga dapat menerima pemberitahuan dari sistem SIEM lain dan menganalisisnya.

Penyerapan log Google SecOps

Layanan penyerapan Google SecOps bertindak sebagai gateway untuk semua data.

Google SecOps menyerap data menggunakan sistem berikut:

  • Google Cloud: Google SecOps mengambil data langsung dari organisasi Google Cloud Anda, yang merupakan metode utama untuk semua log standar Google Cloud (misalnya, Audit, Aliran VPC, DNS, dan Firewall). Cara ini adalah cara yang paling hemat biaya dan berperforma tinggi untuk memasukkan telemetri ke Google SecOps. Google Cloud Untuk mengetahui informasi selengkapnya, lihat Menyerap Google Cloud data ke Google SecOps.

  • Agen BindPlane: Agen ini adalah agen terkelola untuk mengumpulkan log dari lingkungan dan server lokal (Windows atau Linux). Bindplane adalah pipeline telemetri yang dapat mengumpulkan, memproses, dan mengekspor log dari sumber mana pun ke Google SecOps, sehingga memberikan fleksibilitas dalam mengumpulkan berbagai jenis log yang tidak berfungsi dengan metode lain. Anda dapat menggunakannya untuk data lokal, seperti log Firewall, log Windows dan Linux, atau untuk data cloud yang ingin Anda praproses (misalnya, perbaiki atau filter) sebelum diserap ke Google SecOps. Anda juga dapat mengelola agen ini menggunakan konsol Bindplane OP Management. Untuk mengetahui informasi selengkapnya, lihat Menggunakan agen BindPlane.

  • Feed data: Feed data terutama digunakan untuk log berbasis cloud yang log pihak ketiganya sudah digabungkan ke dalam penyimpanan objek, seperti Cloud Storage atau Amazon S3, atau saat pihak ketiga mendukung metode berbasis 'push', seperti webhook. Feed data juga menyediakan dukungan langsung untuk serangkaian integrasi berbasis API yang telah ditentukan sebelumnya. Gunakan Feed data untuk log berbasis cloud seperti EDR atau aplikasi SaaS apa pun dan untuk integrasi tertentu yang telah ditentukan sebelumnya sebagai Direct API. Feed data mengirim log langsung ke layanan penyerapan Google SecOps. Untuk mengetahui informasi selengkapnya, lihat dokumentasi pengelolaan feed. Feed data mendukung baris log berukuran hingga 4 MB.

  • API Penyerapan: Gunakan API Penyerapan untuk aplikasi kustom, bervolume tinggi, atau buatan sendiri yang tidak sesuai dengan metode lain. Metode ini sedikit lebih rumit digunakan daripada metode penyerapan lainnya. Untuk mengetahui informasi selengkapnya, lihat Ingestion API.

  • Penerus: Penerus kini tidak lagi didukung. Sebaiknya gunakan agen Bindplane.

Parser mengonversi log dari sistem pelanggan menjadi Model Data Terpadu (UDM). Sistem hilir dalam Google SecOps menggunakan UDM untuk memberikan kemampuan tambahan, termasuk aturan dan penelusuran UDM.

Lihat Memahami ketersediaan data untuk penelusuran untuk mengetahui detail lengkap siklus proses penyerapan data, termasuk alur dan latensi data end-to-end, serta pengaruh faktor-faktor ini terhadap ketersediaan data yang baru diserap untuk kueri dan analisis.

Jenis penyerapan Google SecOps

Google SecOps dapat memproses log dan notifikasi, tetapi hanya mendukung notifikasi peristiwa tunggal. Anda dapat menggunakan penelusuran UDM untuk menemukan pemberitahuan SecOps Google yang telah di-ingest dan bawaan.

Google SecOps mendukung jenis penyerapan data berikut:

Log mentah

Google SecOps menyerap log mentah menggunakan forwarder, API penyerapan, feed data, atau langsung dari Google Cloud.

Gunakan payload JSON satu baris untuk penyerapan log mentah. Contoh, { "firstName": "Alex", "lastName": "N", "age": 30, "isStudent": false, "address": { "streetAddress": "1800 Amphibious Blvd", "city": "Anytown", "state": "CA", "postalCode": "94045" }, "phoneNumbers": [ { "type": "home", "number": "800-555-0199" }, { "type": "mobile", "number": "800-554-0199" } ], "hobbies": ["reading", "hiking", "cooking"]}

Jika Anda mengirimkan payload multi-baris, sistem akan menafsirkan setiap baris sebagai entri log terpisah.

Pemberitahuan dari sistem SIEM lain

Google SecOps dapat menyerap pemberitahuan dari sistem SIEM, EDR, atau sistem tiket lainnya, sebagai berikut:

  1. Menerima pemberitahuan menggunakan konektor Google SecOps atau webhook Google SecOps.
  2. Lakukan penyerapan peristiwa yang terkait dengan setiap pemberitahuan dan buat deteksi yang sesuai.
  3. Memproses peristiwa dan deteksi yang di-ingest.

Anda dapat membuat aturan mesin deteksi untuk mengidentifikasi pola dalam peristiwa yang di-ingest dan menghasilkan deteksi tambahan.

Alur penyerapan data

Diagram berikut menggambarkan cara data keamanan Anda mengalir ke Google SecOps dan cara sistem memproses data tersebut untuk analisis di antarmuka.

Alur dan pemrosesan data ke Google SecOps

Memproses data keamanan pelanggan di Google SecOps

Google SecOps memproses data keamanan Anda sebagai berikut:

  1. Mengambil data keamanan dari layanan cloud seperti Amazon S3 atau Google Cloud. Google SecOps mengenkripsi data ini saat dalam pengiriman.
  2. Memisahkan dan menyimpan data keamanan terenkripsi Anda di akun Anda. Akses terbatas untuk Anda dan sejumlah kecil personel Google untuk dukungan, pengembangan, dan pemeliharaan produk.
  3. Mengurai dan memvalidasi data keamanan mentah, sehingga lebih mudah diproses dan dilihat.
  4. Mengindeks data untuk penelusuran cepat.
  5. Menyimpan data yang diuraikan dan diindeks dalam akun Anda.
  6. Menawarkan akses yang aman bagi pengguna untuk menelusuri dan meninjau data keamanan mereka.
  7. Membandingkan data keamanan Anda dengan database malware VirusTotal untuk mengidentifikasi kecocokan. Di tampilan peristiwa Google SecOps, seperti tampilan Aset, klik Konteks VT untuk melihat informasi VirusTotal. Google SecOps tidak membagikan data keamanan Anda kepada VirusTotal.

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.