Google SecOps 資料擷取

支援的國家/地區:

Google Security Operations 會擷取客戶記錄、將資料標準化,並偵測安全快訊。提供自助式功能,可進行資料擷取、威脅偵測、警示和案件管理。Google SecOps 也能接收其他 SIEM 系統的快訊並進行分析。

Google SecOps 記錄擷取

Google SecOps 擷取服務是所有資料的閘道。

Google SecOps 會透過下列系統擷取資料:

  • Google Cloud:Google SecOps 會直接從 Google Cloud 機構擷取資料,這是所有標準 Google Cloud 記錄 (例如稽核、VPC 流程、DNS 和防火牆) 的主要方法。 這是將遙測資料匯入 Google SecOps 最具成本效益且成效卓越的方式。 Google Cloud 詳情請參閱「將資料擷取 Google Cloud 至 Google SecOps」。

  • Bindplane 代理程式:這是受管理的代理程式,可從地端環境和伺服器 (Windows 或 Linux) 收集記錄。Bindplane 是一種遙測管道,可從任何來源收集、精簡及匯出記錄至 Google SecOps,因此可彈性收集其他方法無法處理的不同類型記錄。 您可以使用此工具處理地端資料,例如防火牆記錄、Windows 和 Linux 記錄,或是先預先處理 (例如精簡或篩選) 雲端資料,再擷取至 Google SecOps。您也可以使用 Bindplane OP 管理控制台管理這個代理程式。詳情請參閱「使用 Bindplane 代理程式」。

  • 資料動態饋給:資料動態饋給主要用於雲端記錄,第三方記錄已匯總至物件儲存空間 (例如 Cloud Storage 或 Amazon S3),或第三方支援「推送」式方法 (例如 Webhook)。資料動態饋給也提供現成的支援,可與預先定義的一組 API 整合。使用資料動態饋給,取得雲端記錄 (例如 EDR 或任何 SaaS 應用程式),以及預先定義為直接 API 的特定整合項目。資料動態饋給會將記錄直接傳送至 Google SecOps 擷取服務。詳情請參閱動態饋給管理說明文件。資料動態饋給支援大小上限為 4 MB 的記錄行。

  • 擷取 API:如果應用程式是自訂、高用量或自行開發,且不適用於其他方法,請使用擷取 API。相較於其他擷取方法,這個方法的使用難度略高。詳情請參閱「Ingestion API」。

  • 轉送站:轉送站已終止支援。Google 建議改用 Bindplane 代理程式。

剖析器會將顧客系統中的記錄轉換為統合資料模型 (UDM)。Google SecOps 中的下游系統會使用 UDM 提供其他功能,包括規則和 UDM 搜尋。

如要進一步瞭解資料擷取生命週期,包括端對端資料流程和延遲,以及這些因素如何影響最近擷取的資料能否用於查詢和分析,請參閱「瞭解搜尋資料的可用性」。

Google SecOps 擷取作業類型

Google SecOps 可以擷取記錄和快訊,但僅支援單一事件快訊。您可以使用 UDM 搜尋功能,找出已擷取和內建的 Google SecOps 快訊。

Google SecOps 支援下列類型的資料擷取:

原始記錄

Google SecOps 會使用轉送器、擷取 API、資料動態饋給,或直接從 Google Cloud擷取原始記錄。

如要擷取原始記錄,請使用單行 JSON 酬載。例如:{ "firstName": "Alex", "lastName": "N", "age": 30, "isStudent": false, "address": { "streetAddress": "1800 Amphibious Blvd", "city": "Anytown", "state": "CA", "postalCode": "94045" }, "phoneNumbers": [ { "type": "home", "number": "800-555-0199" }, { "type": "mobile", "number": "800-554-0199" } ], "hobbies": ["reading", "hiking", "cooking"]}

如果提交多行酬載,系統會將每一行解讀為個別的記錄項目。

其他 SIEM 系統的快訊

Google SecOps 可以從其他 SIEM 系統、EDR 或票證系統擷取快訊,方法如下:

  1. 使用 Google SecOps 連接器或 Google SecOps Webhook 接收快訊。
  2. 擷取與每個快訊相關聯的事件,並建立相應的偵測結果。
  3. 處理擷取的事件和偵測結果。

您可以建立偵測引擎規則,找出擷取事件中的模式,並產生額外的偵測結果。

資料擷取流程

下圖說明安全性資料如何傳送至 Google SecOps,以及系統如何處理這些資料,以便在介面中進行分析。

資料流向和處理方式:Google SecOps

在 Google SecOps 中處理客戶安全資料

Google SecOps 會依下列方式處理您的安全性資料:

  1. 從 Amazon S3 或Google Cloud等雲端服務擷取安全性資料。Google SecOps 會加密傳輸中的資料。
  2. 將加密的安全性資料分開儲存在帳戶中。只有您和少數 Google 人員能存取,用於產品支援、開發和維護。
  3. 剖析及驗證原始安全性資料,方便處理及查看。
  4. 為資料建立索引,方便快速搜尋。
  5. 儲存帳戶中已剖析及建立索引的資料。
  6. 提供安全存取權,讓使用者搜尋及查看安全性資料。
  7. 將您的安全性資料與 VirusTotal 惡意軟體資料庫進行比較,找出相符項目。在 Google SecOps 事件檢視畫面 (例如資產檢視畫面) 中,按一下「VT Context」即可查看 VirusTotal 資訊。Google SecOps 不會與 VirusTotal 分享您的安全性資料。

需要其他協助嗎?向社群成員和 Google SecOps 專業人員尋求答案。