BigQuery in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie BigQuery in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 15.0
In dieser Integration werden eine oder mehrere Open-Source-Komponenten verwendet. Sie können eine gezippte Kopie des Quellcodes dieser Integration aus einem Cloud Storage-Bucket herunterladen.
Anwendungsfälle
In der Google SecOps-Plattform kann die BigQuery-Integration Ihnen bei den folgenden Anwendungsfällen helfen:
Anreicherung mit Threat Intelligence:Sicherheitswarnungen werden automatisch mit Threat Intelligence-Daten angereichert, die in BigQuery gespeichert sind, um den Schweregrad und die Glaubwürdigkeit potenzieller Bedrohungen zu bewerten.
Sie können Google SecOps beispielsweise so konfigurieren, dass bei jeder Benachrichtigung über eine verdächtige IP-Adresse eine BigQuery-Tabelle mit bekannten schädlichen IP-Adressen abgefragt wird. Google SecOps sucht in der BigQuery-Tabelle nach einer Übereinstimmung und ruft zusätzlichen Kontext wie zugehörige Malware-Familien ab.
Analyse des Nutzerverhaltens:Analysieren Sie in BigQuery gespeicherte Protokolle mit Nutzeraktivitäten, um anomales Nutzerverhalten zu erkennen und Insider-Bedrohungen und kompromittierte Konten zu ermitteln.
Sie können Google SecOps beispielsweise so konfigurieren, dass BigQuery nach Anmeldeversuchen außerhalb des üblichen geografischen Standorts eines Nutzers durchsucht wird und eine automatische Reaktion auf Vorfälle für erkannte verdächtige Aktivitäten ausgelöst wird.
Analyse von Security Data Lakes:Nutzen Sie die BigQuery-Abfragefunktionen, um große Mengen an Sicherheitsdaten aus verschiedenen Quellen zu analysieren, die in einem Data Lake zusammengefasst sind, um die Suche nach Bedrohungen und die Untersuchung von Vorfällen zu verbessern.
Sie können Google SecOps beispielsweise so konfigurieren, dass BigQuery nach allen Ereignissen im Zusammenhang mit einem bestimmten Dateihash in den Protokollen mehrerer Sicherheitstools durchsucht wird, die im Data Lake gespeichert sind.
Langfristige Aufbewahrung von Sicherheitsdaten:Mit dem BigQuery-Speicher können Sie große Mengen an Sicherheitslogs über einen längeren Zeitraum aufbewahren, um historische Analysen, Compliance-Berichte und forensische Untersuchungen zu unterstützen.
Sie können Google SecOps beispielsweise so konfigurieren, dass Daten zu behobenen Vorfällen automatisch in BigQuery archiviert werden. So können Sie sie langfristig speichern und die Datenverfügbarkeit für zukünftige Audits oder Untersuchungen sicherstellen.
Hinweise
Um die Integration nutzen zu können, benötigen Sie ein Google Cloud -Dienstkonto.
Dienstkonto erstellen und konfigurieren
Wenn Sie BigQuery in Google SecOps einbinden möchten, können Sie ein vorhandenes Dienstkonto verwenden oder ein neues erstellen. Eine Anleitung zum Erstellen eines Dienstkontos finden Sie unter Dienstkonten erstellen.
Wenn Sie keine E-Mail-Adresse für die Workload Identity verwenden, um die Integration zu konfigurieren, erstellen Sie einen Dienstkontoschlüssel im JSON-Format, nachdem Sie ein Dienstkonto erstellt haben. Sie müssen den vollständigen Inhalt der heruntergeladenen JSON-Schlüsseldatei angeben, wenn Sie die Integrationsparameter konfigurieren.
Aus Sicherheitsgründen empfehlen wir, E-Mail-Adressen für Workload Identity anstelle von JSON-Schlüsseln für Dienstkonten zu verwenden. Weitere Informationen zu den Workload Identitys finden Sie unter Identitäten für Workloads.
Integrationsparameter
Für die BigQuery-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Account Type |
Optional. Der Typ des BigQuery-Kontos. Geben Sie den Wert an, der im Parameter Der Standardwert ist |
Project ID |
Optional. Die Projekt-ID des BigQuery-Kontos. Geben Sie den Wert an, der im Parameter |
Private Key ID |
Optional. Die ID des privaten Schlüssels des BigQuery-Kontos. Geben Sie den Wert an, der im Parameter |
Private Key |
Optional. Der private Schlüssel des BigQuery-Kontos. Geben Sie den Wert an, der im Parameter |
Client Email |
Optional. Die Client-E-Mail-Adresse des BigQuery-Kontos. Geben Sie den Wert an, der im Parameter |
Client ID |
Optional. Die Client-ID des BigQuery-Kontos. Geben Sie den Wert an, der im Parameter |
Auth URI |
Optional. Der Authentifizierungs-URI des BigQuery-Kontos. Geben Sie den Wert an, der im Parameter Der Standardwert ist |
Token URI |
Optional. Der Token-URI des BigQuery-Kontos. Geben Sie den Wert an, der im Parameter Der Standardwert ist |
Auth Provider X509 URL |
Optional. Die X.509-URL des Authentifizierungsanbieters des BigQuery-Kontos. Geben Sie den Wert an, der im Parameter Der Standardwert ist |
Client X509 URL |
Optional. Die X.509-Client-URL des BigQuery-Kontos. Geben Sie den Wert an, der im Parameter Der Standardwert ist |
Service Account Json File Content |
Optional. Der Inhalt der JSON-Datei des Dienstkontoschlüssels. Sie können diesen Parameter oder den Parameter Geben Sie zum Konfigurieren dieses Parameters den vollständigen Inhalt der JSON-Datei des Dienstkontoschlüssels an, die Sie beim Erstellen eines Dienstkontos heruntergeladen haben. Wenn Sie diesen Parameter konfigurieren, werden andere Verbindungsparameter von der Integration ignoriert. |
Workload Identity Email |
Optional. Die Client-E‑Mail-Adresse Ihres Dienstkontos. Sie können diesen Parameter oder den Parameter Wenn Sie diesen Parameter festlegen, konfigurieren Sie den Parameter Um die Identität von Dienstkonten mit der Workload Identity Federation zu übernehmen, weisen Sie Ihrem Dienstkonto die Rolle |
Quota Project ID |
Optional. Die Google Cloud -Projekt-ID, die Sie für Google Cloud -APIs und die Abrechnung verwenden. Für diesen Parameter müssen Sie Ihrem Dienstkonto die Rolle Wenn Sie keinen Wert für diesen Parameter festlegen, ruft die Integration die Projekt-ID aus Ihrem Google Cloud Dienstkonto ab. |
Verify SSL |
Optional. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zu Google Cloudvalidiert. Standardmäßig ausgewählt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Auf ausstehende Aktionen in „Mein Arbeitsbereich“ reagieren und Manuelle Aktion ausführen.
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu BigQuery zu testen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully connected to the Google BigQuery server with
the provided connection parameters! |
Aktion erfolgreich. |
Failed to connect to the Google BigQuery server! Error is
ERROR_REASON |
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Benutzerdefinierte Abfrage ausführen
Mit der Aktion Benutzerdefinierte Abfrage ausführen können Sie benutzerdefinierte Abfragen in BigQuery ausführen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Benutzerdefinierte Abfrage ausführen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Query |
Erforderlich. Die auszuführende SQL-Abfrage. |
Max Results To Return |
Optional. Die Anzahl der Ergebnisse, die für jede Antwort zurückgegeben werden sollen. Der Standardwert ist |
Aktionsausgaben
Die Aktion Benutzerdefinierte Abfrage ausführen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Benutzerdefinierte Abfrage ausführen empfangen wird:
{
"Airport_Code": "CODE",
"Airport_Name": "NAME",
"Time_Label": "2015/05",
"Time_Month": 5,
"Time_Month_Name": "May",
"Time_Year": 2015,
"Statistics___of_Delays_Carrier": 351,
"Statistics___of_Delays_Late_Aircraft": 546,
"Statistics___of_Delays_National_Aviation_System": 292,
"Statistics___of_Delays_Security": 2,
"Statistics___of_Delays_Weather": 100,
"Statistics_Carriers_Names": "Example Air Lines Inc., Example Airlines Co.",
"Statistics_Carriers_Total": 3,
"Statistics_Flights_Cancelled": 88,
"Statistics_Flights_Delayed": 1289,
"Statistics_Flights_Diverted": 32,
"Statistics_Flights_On_Time": 6182,
"Statistics_Flights_Total": 7591,
"Statistics_Minutes_Delayed_Carrier": 19332,
"Statistics_Minutes_Delayed_Late_Aircraft": 34376,
"Statistics_Minutes_Delayed_National_Aviation_System": 12346,
"Statistics_Minutes_Delayed_Security": 48,
"Statistics_Minutes_Delayed_Total": 76163,
"Statistics_Minutes_Delayed_Weather": 100061
}
Ausgabemeldungen
Die Aktion Benutzerdefinierte Abfrage ausführen kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully executed query in Google BigQuery! |
Aktion erfolgreich. |
Error executing action "Run Custom Query". Reason:
ERROR_REASON |
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Benutzerdefinierte Abfrage ausführen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
SQL-Abfrage ausführen
Mit der Aktion SQL-Abfrage ausführen können Sie Abfragen in BigQuery ausführen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion SQL-Abfrage ausführen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Dataset Name |
Erforderlich. Der Name des Datasets, das beim Ausführen von Abfragen verwendet werden soll. |
Query |
Erforderlich. Die auszuführende SQL-Abfrage. |
Max Results To Return |
Optional. Die Anzahl der Ergebnisse, die für jede Antwort zurückgegeben werden sollen. Der Standardwert ist |
Aktionsausgaben
Die Aktion SQL-Abfrage ausführen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion SQL-Abfrage ausführen empfangen wird:
{
"Airport_Code": "CODE",
"Airport_Name": "NAME",
"Time_Label": "2015/05",
"Time_Month": 5,
"Time_Month_Name": "May",
"Time_Year": 2015,
"Statistics___of_Delays_Carrier": 351,
"Statistics___of_Delays_Late_Aircraft": 546,
"Statistics___of_Delays_National_Aviation_System": 292,
"Statistics___of_Delays_Security": 2,
"Statistics___of_Delays_Weather": 100,
"Statistics_Carriers_Names": "Example Airlines Inc.,Example Airlines Co.",
"Statistics_Carriers_Total": 3,
"Statistics_Flights_Cancelled": 88,
"Statistics_Flights_Delayed": 1289,
"Statistics_Flights_Diverted": 32,
"Statistics_Flights_On_Time": 6182,
"Statistics_Flights_Total": 7591,
"Statistics_Minutes_Delayed_Carrier": 19332,
"Statistics_Minutes_Delayed_Late_Aircraft": 34376,
"Statistics_Minutes_Delayed_National_Aviation_System": 12346,
"Statistics_Minutes_Delayed_Security": 48,
"Statistics_Minutes_Delayed_Total": 76163,
"Statistics_Minutes_Delayed_Weather": 100061
}
Ausgabemeldungen
Die Aktion SQL-Abfrage ausführen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully executed query in the BigQuery dataset
DATASET_NAME. |
Aktion erfolgreich. |
Error executing action "Run SQL Query". Reason:
ERROR_REASON |
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion SQL-Abfrage ausführen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten