Integra BigQuery con Google SecOps

Questo documento spiega come integrare BigQuery con Google Security Operations (Google SecOps).

Versione integrazione: 15.0

Questa integrazione utilizza uno o più componenti open source. Puoi scaricare una copia compressa del codice sorgente di questa integrazione da un bucket Cloud Storage.

Casi d'uso

Nella piattaforma Google SecOps, l'integrazione di BigQuery può aiutarti a risolvere i seguenti casi d'uso:

• Arricchimento delle informazioni sulle minacce: arricchisci automaticamente gli avvisi di sicurezza con dati sulle minacce informatiche archiviati in BigQuery per valutare la gravità e la credibilità di potenziali minacce.

  Ad esempio, puoi configurare Google SecOps per eseguire query su una tabella BigQuery contenente indirizzi IP dannosi noti ogni volta che un indirizzo IP sospetto attiva un avviso. Google SecOps verifica la presenza di una corrispondenza nella tabella BigQuery e recupera un contesto aggiuntivo, ad esempio le famiglie di malware associate.

• Analisi del comportamento degli utenti:identifica l'attività anomala degli utenti analizzando i log storici dell&#39attività utentei archiviati in BigQuery per rilevare minacce interne e account compromessi.

  Ad esempio, puoi configurare Google SecOps per eseguire query BigQuery per i tentativi di accesso al di fuori della solita geolocalizzazione di un utente e attivare una risposta automatica agli incidenti per un'attività sospetta rilevata.

• Analisi del data lake di sicurezza:utilizza le funzionalità di query di BigQuery per analizzare grandi volumi di dati di sicurezza provenienti da varie fonti aggregati in un data lake per migliorare la ricerca delle minacce e l'analisi degli incidenti.

  Ad esempio, puoi configurare Google SecOps per eseguire query su BigQuery per tutti gli eventi correlati a un hash di file specifico nei log di più strumenti di sicurezza archiviati nel data lake.

• Conservazione a lungo termine dei dati di sicurezza:utilizza l'archiviazione BigQuery per conservare grandi volumi di log di sicurezza per periodi di tempo prolungati per supportare l'analisi storica, i report di conformità e le indagini forensi.

  Ad esempio, puoi configurare Google SecOps per archiviare automaticamente i dati degli incident risolti in BigQuery per l'archiviazione a lungo termine e contribuire a garantire la disponibilità dei dati per audit o indagini futuri.

Prima di iniziare

Per utilizzare l'integrazione, devi disporre di un account di servizio Google Cloud .

Crea e configura un account di servizio

Per integrare BigQuery con Google SecOps, puoi utilizzare un account di servizio esistente o crearne uno nuovo. Per indicazioni sulla creazione di un account di servizio, vedi Creare service account.

Se non utilizzi un'email dell'identità del workload per configurare l'integrazione, crea una chiave dell'account di servizio in JSON dopo aver creato un account di servizio. Quando configuri i parametri di integrazione, devi fornire l'intero contenuto del file di chiave JSON scaricato.

Per motivi di sicurezza, ti consigliamo di utilizzare indirizzi email di identità del workload anziché chiavi JSON account di servizio. Per saperne di più sulle identità dei workload, consulta Identità per i workload.

Parametri di integrazione

L'integrazione di BigQuery richiede i seguenti parametri:

Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.

Azioni

Per maggiori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania ed Eseguire un'azione manuale.

Dindin

Utilizza l'azione Ping per testare la connettività a BigQuery.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Messaggi di output

L'azione Ping può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:

Esegui query personalizzata

Utilizza l'azione Esegui query personalizzata per eseguire query personalizzate in BigQuery.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Esegui query personalizzata richiede i seguenti parametri:

Output dell'azione

L'azione Esegui query personalizzata fornisce i seguenti output:

Risultato JSON

Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Esegui query personalizzata:

{
    "Airport_Code": "CODE",
    "Airport_Name": "NAME",
    "Time_Label": "2015/05",
    "Time_Month": 5,
    "Time_Month_Name": "May",
    "Time_Year": 2015,
    "Statistics___of_Delays_Carrier": 351,
    "Statistics___of_Delays_Late_Aircraft": 546,
    "Statistics___of_Delays_National_Aviation_System": 292,
    "Statistics___of_Delays_Security": 2,
    "Statistics___of_Delays_Weather": 100,
    "Statistics_Carriers_Names": "Example Air Lines Inc., Example Airlines Co.",
    "Statistics_Carriers_Total": 3,
    "Statistics_Flights_Cancelled": 88,
    "Statistics_Flights_Delayed": 1289,
    "Statistics_Flights_Diverted": 32,
    "Statistics_Flights_On_Time": 6182,
    "Statistics_Flights_Total": 7591,
    "Statistics_Minutes_Delayed_Carrier": 19332,
    "Statistics_Minutes_Delayed_Late_Aircraft": 34376,
    "Statistics_Minutes_Delayed_National_Aviation_System": 12346,
    "Statistics_Minutes_Delayed_Security": 48,
    "Statistics_Minutes_Delayed_Total": 76163,
    "Statistics_Minutes_Delayed_Weather": 100061
}

Messaggi di output

L'azione Esegui query personalizzata può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Esegui query personalizzata:

Esegui query SQL

Utilizza l'azione Esegui query SQL per eseguire query in BigQuery.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Esegui query SQL richiede i seguenti parametri:

Output dell'azione

L'azione Esegui query SQL fornisce i seguenti output:

Risultato JSON

L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Esegui query SQL:

{
    "Airport_Code": "CODE",
    "Airport_Name": "NAME",
    "Time_Label": "2015/05",
    "Time_Month": 5,
    "Time_Month_Name": "May",
    "Time_Year": 2015,
    "Statistics___of_Delays_Carrier": 351,
    "Statistics___of_Delays_Late_Aircraft": 546,
    "Statistics___of_Delays_National_Aviation_System": 292,
    "Statistics___of_Delays_Security": 2,
    "Statistics___of_Delays_Weather": 100,
    "Statistics_Carriers_Names": "Example Airlines Inc.,Example Airlines Co.",
    "Statistics_Carriers_Total": 3,
    "Statistics_Flights_Cancelled": 88,
    "Statistics_Flights_Delayed": 1289,
    "Statistics_Flights_Diverted": 32,
    "Statistics_Flights_On_Time": 6182,
    "Statistics_Flights_Total": 7591,
    "Statistics_Minutes_Delayed_Carrier": 19332,
    "Statistics_Minutes_Delayed_Late_Aircraft": 34376,
    "Statistics_Minutes_Delayed_National_Aviation_System": 12346,
    "Statistics_Minutes_Delayed_Security": 48,
    "Statistics_Minutes_Delayed_Total": 76163,
    "Statistics_Minutes_Delayed_Weather": 100061
}

Messaggi di output

L'azione Esegui query SQL può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Esegui query SQL:

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.