Halaman ini diterjemahkan oleh Cloud Translation API.

Mengintegrasikan BigQuery dengan Google SecOps

Dokumen ini menjelaskan cara mengintegrasikan BigQuery dengan Google Security Operations (Google SecOps).

Versi integrasi: 15.0

Integrasi ini menggunakan satu atau beberapa komponen open source. Anda dapat mendownload salinan kode sumber integrasi ini yang di-zip dari bucket Cloud Storage.

Kasus penggunaan

Di platform SecOps Google, integrasi BigQuery dapat membantu Anda mengatasi kasus penggunaan berikut:

Pengayaan informasi ancaman: otomatis memperkaya pemberitahuan keamanan dengan data informasi ancaman yang disimpan di BigQuery untuk menilai tingkat keparahan dan kredibilitas potensi ancaman.

Misalnya, Anda dapat mengonfigurasi Google SecOps untuk mengkueri tabel BigQuery yang berisi alamat IP berbahaya yang diketahui setiap kali alamat IP yang mencurigakan memicu pemberitahuan. Google SecOps memeriksa kecocokan dalam tabel BigQuery dan mengambil konteks tambahan seperti keluarga malware terkait.
Analisis perilaku pengguna: mengidentifikasi aktivitas pengguna yang tidak normal dengan menganalisis log aktivitas pengguna historis yang disimpan di BigQuery untuk mendeteksi ancaman dari dalam dan akun yang disusupi.

Misalnya, Anda dapat mengonfigurasi Google SecOps untuk membuat kueri BigQuery terkait upaya login di luar geolokasi biasa pengguna dan memicu respons insiden otomatis untuk aktivitas mencurigakan yang terdeteksi.
Analisis data lake keamanan: gunakan kemampuan kueri BigQuery untuk menganalisis data keamanan dalam volume besar dari berbagai sumber yang digabungkan dalam data lake untuk meningkatkan perburuan ancaman dan penyelidikan insiden.

Misalnya, Anda dapat mengonfigurasi Google SecOps untuk membuat kueri BigQuery untuk semua peristiwa yang terkait dengan hash file tertentu di beberapa log alat keamanan yang disimpan di data lake.
Penyimpanan data keamanan jangka panjang: gunakan penyimpanan BigQuery untuk menyimpan log keamanan dalam jumlah besar selama jangka waktu yang lebih lama untuk mendukung analisis historis, pelaporan kepatuhan, dan investigasi forensik.

Misalnya, Anda dapat mengonfigurasi Google SecOps untuk mengarsipkan data insiden yang telah diselesaikan secara otomatis ke BigQuery untuk penyimpanan jangka panjang dan membantu memastikan ketersediaan data untuk audit atau penyelidikan di masa mendatang.

Sebelum memulai

Untuk menggunakan integrasi, Anda memerlukan akun layanan Google Cloud .

Membuat dan mengonfigurasi akun layanan

Untuk mengintegrasikan BigQuery dengan Google SecOps, Anda dapat menggunakan akun layanan yang ada atau membuat akun layanan baru. Untuk mendapatkan panduan tentang cara membuat akun layanan, lihat Membuat akun layanan.

Jika Anda tidak menggunakan email workload identity untuk mengonfigurasi integrasi, buat kunci akun layanan dalam JSON setelah Anda membuat akun layanan. Anda harus memberikan konten lengkap file kunci JSON yang didownload saat mengonfigurasi parameter integrasi.

Untuk alasan keamanan, sebaiknya gunakan alamat email workload identity, bukan kunci JSON akun layanan. Untuk mengetahui informasi selengkapnya tentang identitas beban kerja, lihat Identitas untuk beban kerja.

Parameter integrasi

Integrasi BigQuery memerlukan parameter berikut:

Parameter	Deskripsi
`Account Type`	Opsional. Jenis akun BigQuery. Berikan nilai yang ditetapkan dalam parameter `type` dari file JSON kunci akun layanan. Nilai defaultnya adalah `service_account`.
`Project ID`	Opsional. ID project akun BigQuery. Berikan nilai yang ditetapkan dalam parameter `project_id` dari file JSON autentikasi.
`Private Key ID`	Opsional. ID kunci pribadi akun BigQuery. Berikan nilai yang ditetapkan dalam parameter `private_key_id` file JSON autentikasi.
`Private Key`	Opsional. Kunci pribadi akun BigQuery. Berikan nilai yang ditetapkan dalam parameter `private_key` dari file JSON autentikasi.
`Client Email`	Opsional. Alamat email klien akun BigQuery. Berikan nilai yang ditetapkan dalam parameter `client_email` dari file JSON autentikasi.
`Client ID`	Opsional. ID klien akun BigQuery. Berikan nilai yang ditetapkan dalam parameter `client_id` dari file JSON autentikasi.
`Auth URI`	Opsional. URI autentikasi akun BigQuery. Berikan nilai yang ditetapkan dalam parameter `auth_uri` file JSON autentikasi. Nilai defaultnya adalah `https://accounts.google.com/o/oauth2/auth`.
`Token URI`	Opsional. URI token akun BigQuery. Berikan nilai yang ditetapkan dalam parameter `token_uri` file JSON autentikasi. Nilai defaultnya adalah `https://oauth2.googleapis.com/token`.
`Auth Provider X509 URL`	Opsional. URL X.509 penyedia autentikasi akun BigQuery. Berikan nilai yang ditetapkan dalam parameter `auth_provider_x509_cert_url` dari file JSON autentikasi. Nilai defaultnya adalah `https://www.googleapis.com/oauth2/v1/certs`.
`Client X509 URL`	Opsional. URL X.509 klien dari akun BigQuery. Berikan nilai yang ditetapkan dalam parameter `client_x509_cert_url` dari file JSON autentikasi. Nilai defaultnya adalah `https://www.googleapis.com/oauth2/v1/certs`.
`Service Account Json File Content`	Opsional. Konten file JSON kunci akun layanan. Anda dapat mengonfigurasi parameter ini atau parameter `Workload Identity Email` atau menetapkan semua parameter integrasi sebelumnya. Untuk mengonfigurasi parameter ini, berikan konten lengkap file JSON kunci akun layanan yang telah Anda download saat membuat akun layanan. Jika Anda mengonfigurasi parameter ini, integrasi akan mengabaikan parameter koneksi lainnya.
`Workload Identity Email`	Opsional. Alamat email klien akun layanan Anda. Anda dapat mengonfigurasi parameter ini atau parameter `Service Account Json File Content`. Jika Anda menetapkan parameter ini, konfigurasi parameter `Quota Project ID`. Untuk meniru identitas akun layanan dengan Workload Identity Federation, berikan peran `Service Account Token Creator` ke akun layanan Anda. Untuk mengetahui detail selengkapnya tentang identitas beban kerja dan cara menggunakannya, lihat Identitas untuk beban kerja.
`Quota Project ID`	Opsional. Google Cloud Project ID yang Anda gunakan untuk Google Cloud API dan penagihan. Parameter ini mengharuskan Anda memberikan peran `Service Usage Consumer` ke akun layanan Anda. Jika Anda tidak menetapkan nilai untuk parameter ini, integrasi akan mengambil project ID dari akun layanan Google Cloud Anda.
`Verify SSL`	Opsional. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke Google Cloud. Dipilih secara default.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Workdesk Anda dan Melakukan tindakan manual.

Ping

Gunakan tindakan Ping untuk menguji konektivitas ke BigQuery.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Ping memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Pesan output

Tindakan Ping dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully connected to the Google BigQuery server with the provided connection parameters! Tindakan berhasil.

Pesan output	Deskripsi pesan
`Successfully connected to the Google BigQuery server with the provided connection parameters!`	Tindakan berhasil.
`Failed to connect to the Google BigQuery server! Error is ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Failed to connect to the Google BigQuery server! Error is
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Menjalankan Kueri Kustom

Gunakan tindakan Jalankan Kueri Kustom untuk menjalankan kueri kustom di BigQuery.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Jalankan Kueri Kustom memerlukan parameter berikut:

Parameter Deskripsi

Parameter	Deskripsi
`Query`	Wajib. Kueri SQL yang akan dijalankan.
`Max Results To Return`	Opsional. Jumlah hasil yang akan ditampilkan untuk setiap respons. Nilai defaultnya adalah `50`.

Query

Wajib.

Kueri SQL yang akan dijalankan.

Max Results To Return

Opsional.

Jumlah hasil yang akan ditampilkan untuk setiap respons.

Nilai defaultnya adalah 50.

Output tindakan

Tindakan Run Custom Query memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Jalankan Kueri Kustom:

{
    "Airport_Code": "CODE",
    "Airport_Name": "NAME",
    "Time_Label": "2015/05",
    "Time_Month": 5,
    "Time_Month_Name": "May",
    "Time_Year": 2015,
    "Statistics___of_Delays_Carrier": 351,
    "Statistics___of_Delays_Late_Aircraft": 546,
    "Statistics___of_Delays_National_Aviation_System": 292,
    "Statistics___of_Delays_Security": 2,
    "Statistics___of_Delays_Weather": 100,
    "Statistics_Carriers_Names": "Example Air Lines Inc., Example Airlines Co.",
    "Statistics_Carriers_Total": 3,
    "Statistics_Flights_Cancelled": 88,
    "Statistics_Flights_Delayed": 1289,
    "Statistics_Flights_Diverted": 32,
    "Statistics_Flights_On_Time": 6182,
    "Statistics_Flights_Total": 7591,
    "Statistics_Minutes_Delayed_Carrier": 19332,
    "Statistics_Minutes_Delayed_Late_Aircraft": 34376,
    "Statistics_Minutes_Delayed_National_Aviation_System": 12346,
    "Statistics_Minutes_Delayed_Security": 48,
    "Statistics_Minutes_Delayed_Total": 76163,
    "Statistics_Minutes_Delayed_Weather": 100061
}

Pesan output

Tindakan Jalankan Kueri Kustom dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully executed query in Google BigQuery! Tindakan berhasil.

Pesan output	Deskripsi pesan
`Successfully executed query in Google BigQuery!`	Tindakan berhasil.
`Error executing action "Run Custom Query". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Error executing action "Run Custom Query". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Jalankan Kueri Kustom:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Menjalankan Kueri SQL

Gunakan tindakan Jalankan Kueri SQL untuk menjalankan kueri di BigQuery.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Run SQL Query memerlukan parameter berikut:

Parameter Deskripsi

Parameter	Deskripsi
`Dataset Name`	Wajib. Nama set data yang akan digunakan saat menjalankan kueri.
`Query`	Wajib. Kueri SQL yang akan dijalankan.
`Max Results To Return`	Opsional. Jumlah hasil yang akan ditampilkan untuk setiap respons. Nilai defaultnya adalah `50`.

Dataset Name

Wajib.

Nama set data yang akan digunakan saat menjalankan kueri.

Query

Wajib.

Kueri SQL yang akan dijalankan.

Max Results To Return

Opsional.

Jumlah hasil yang akan ditampilkan untuk setiap respons.

Nilai defaultnya adalah 50.

Output tindakan

Tindakan Run SQL Query memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Hasil JSON

Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Jalankan Kueri SQL:

{
    "Airport_Code": "CODE",
    "Airport_Name": "NAME",
    "Time_Label": "2015/05",
    "Time_Month": 5,
    "Time_Month_Name": "May",
    "Time_Year": 2015,
    "Statistics___of_Delays_Carrier": 351,
    "Statistics___of_Delays_Late_Aircraft": 546,
    "Statistics___of_Delays_National_Aviation_System": 292,
    "Statistics___of_Delays_Security": 2,
    "Statistics___of_Delays_Weather": 100,
    "Statistics_Carriers_Names": "Example Airlines Inc.,Example Airlines Co.",
    "Statistics_Carriers_Total": 3,
    "Statistics_Flights_Cancelled": 88,
    "Statistics_Flights_Delayed": 1289,
    "Statistics_Flights_Diverted": 32,
    "Statistics_Flights_On_Time": 6182,
    "Statistics_Flights_Total": 7591,
    "Statistics_Minutes_Delayed_Carrier": 19332,
    "Statistics_Minutes_Delayed_Late_Aircraft": 34376,
    "Statistics_Minutes_Delayed_National_Aviation_System": 12346,
    "Statistics_Minutes_Delayed_Security": 48,
    "Statistics_Minutes_Delayed_Total": 76163,
    "Statistics_Minutes_Delayed_Weather": 100061
}

Pesan output

Tindakan Jalankan Kueri SQL dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully executed query in the BigQuery dataset DATASET_NAME. Tindakan berhasil.

Pesan output	Deskripsi pesan
`Successfully executed query in the BigQuery dataset DATASET_NAME.`	Tindakan berhasil.
`Error executing action "Run SQL Query". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Error executing action "Run SQL Query". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Jalankan Kueri SQL:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.