Carregamento de dados do Google SecOps

Suportado em:

O Google Security Operations carrega registos de clientes, normaliza os dados e deteta alertas de segurança. Oferece funcionalidades de self-service para carregamento de dados, deteção de ameaças, alertas e gestão de registos. O Google SecOps também pode receber alertas de outros sistemas SIEM e analisá-los.

Carregamento de registos do Google SecOps

O serviço de carregamento do Google SecOps atua como uma porta de entrada para todos os dados.

O Google SecOps carrega dados através dos seguintes sistemas:

  • Google Cloud: o Google SecOps obtém dados diretamente da sua Google Cloud organização, que é o método principal para todos os registos Google Cloud padrão (por exemplo, auditoria, fluxo de VPC, DNS e firewall). É a forma mais rentável e com melhor desempenho de importar Google Cloud telemetria para o Google SecOps. Para mais informações, consulte o artigo Carregue Google Cloud dados para o Google SecOps.

  • Agente Bindplane: este é um agente gerido para recolher registos de ambientes e servidores no local (Windows ou Linux). O Bindplane é um pipeline de telemetria que pode recolher, refinar e exportar registos de qualquer origem para o Google SecOps e, por isso, oferece flexibilidade na recolha de diferentes tipos de registos que não funcionam com outros métodos. Pode usá-lo para dados no local, como registos de firewall, registos do Windows e do Linux, ou para dados na nuvem que quer pré-processar (por exemplo, refinar ou filtrar) antes de os carregar para o Google SecOps. Também pode gerir este agente através da consola de gestão do Bindplane OP. Para mais informações, consulte o artigo Use o agente Bindplane.

  • Feeds de dados: os feeds de dados são usados principalmente para registos baseados na nuvem, em que os registos de terceiros já estão agregados numa loja de objetos, como o Cloud Storage ou o Amazon S3, ou quando o terceiro suporta métodos baseados em "push", como o webhook. Os feeds de dados também oferecem suporte imediato para um conjunto predefinido de integrações baseadas em API. Use feeds de dados para registos baseados na nuvem, como ECRs ou qualquer aplicação SaaS, e para as integrações específicas predefinidas como API direta. Os feeds de dados enviam registos diretamente para o serviço de carregamento do Google SecOps. Para mais informações, consulte a documentação de gestão de feeds. Os feeds de dados suportam linhas de registo com um tamanho máximo de 4 MB.

  • APIs de carregamento: use a API Ingestion para aplicações personalizadas, de grande volume ou desenvolvidas internamente que não se enquadram noutros métodos. Este método é ligeiramente mais complexo de usar do que outros métodos de carregamento. Para mais informações, consulte a API Ingestion.

  • Encaminhadores: o encaminhador chegou ao fim de vida. A Google recomenda que use o agente Bindplane.

Os analisadores convertem registos de sistemas de clientes num modelo de dados unificado (UDM). Os sistemas a jusante no Google SecOps usam o UDM para oferecer capacidades adicionais, incluindo regras e pesquisa do UDM.

Consulte o artigo Compreenda a disponibilidade de dados para a pesquisa para ver detalhes completos do ciclo de vida da ingestão de dados, incluindo o fluxo de dados e a latência completos, e como estes fatores afetam a disponibilidade de dados ingeridos recentemente para consulta e análise.

Tipos de carregamento do Google SecOps

O Google SecOps pode carregar registos e alertas, mas só suporta alertas de evento único. Pode usar a pesquisa UDM para encontrar alertas do Google SecOps carregados e incorporados.

O Google SecOps suporta os seguintes tipos de carregamento de dados:

Registos não processados

O Google SecOps carrega registos não processados através de encaminhadores, da API de carregamento, de feeds de dados ou diretamente a partir de Google Cloud.

Use um payload JSON de linha única para o carregamento de registos não processados. Por exemplo, { "firstName": "Alex", "lastName": "N", "age": 30, "isStudent": false, "address": { "streetAddress": "1800 Amphibious Blvd", "city": "Anytown", "state": "CA", "postalCode": "94045" }, "phoneNumbers": [ { "type": "home", "number": "800-555-0199" }, { "type": "mobile", "number": "800-554-0199" } ], "hobbies": ["reading", "hiking", "cooking"]}

Se enviar um payload de várias linhas, o sistema interpreta cada linha como uma entrada de registo separada.

Alertas de outros sistemas SIEM

O Google SecOps pode carregar alertas de outros sistemas SIEM, EDRs ou sistemas de emissão de pedidos, da seguinte forma:

  1. Receba alertas através dos conetores do Google SecOps ou dos webhooks do Google SecOps.
  2. Ingerir os eventos associados a cada alerta e criar uma deteção correspondente.
  3. Processar os eventos carregados e as deteções.

Pode criar regras do motor de deteção para identificar padrões nos eventos carregados e gerar deteções adicionais.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.