Integre o BigQuery com o Google SecOps

Este documento explica como integrar o BigQuery com o Google Security Operations (Google SecOps).

Versão da integração: 15.0

Esta integração usa um ou mais componentes de código aberto. Pode transferir uma cópia comprimida do código-fonte desta integração a partir de um contentor do Cloud Storage.

Exemplos de utilização

Na plataforma Google SecOps, a integração do BigQuery pode ajudar a resolver os seguintes exemplos de utilização:

• Enriquecimento de informações sobre ameaças: enriqueça automaticamente os alertas de segurança com dados de informações sobre ameaças armazenados no BigQuery para avaliar a gravidade e a credibilidade de potenciais ameaças.

  Por exemplo, pode configurar o Google SecOps para consultar uma tabela do BigQuery que contenha endereços IP maliciosos conhecidos sempre que um endereço IP suspeito acionar um alerta. O SecOps da Google verifica se existe uma correspondência na tabela do BigQuery e obtém contexto adicional, como famílias de software malicioso associadas.

• Análise do comportamento do utilizador: identifique a atividade anómala do utilizador analisando os registos de atividade do utilizador históricos armazenados no BigQuery para detetar ameaças internas e contas comprometidas.

  Por exemplo, pode configurar o Google SecOps para consultar o BigQuery quanto a tentativas de início de sessão fora da geolocalização habitual de um utilizador e acionar uma resposta a incidentes automatizada para uma atividade suspeita detetada.

• Análise de lagos de dados de segurança: use as capacidades de consulta do BigQuery para analisar grandes volumes de dados de segurança de várias origens agregados num lago de dados para melhorar a deteção de ameaças e a investigação de incidentes.

  Por exemplo, pode configurar o Google SecOps para consultar o BigQuery para todos os eventos relacionados com um hash de ficheiro específico em vários registos de ferramentas de segurança armazenados no data lake.

• Retenção de dados de segurança a longo prazo: use o armazenamento do BigQuery para reter grandes volumes de registos de segurança durante períodos prolongados para suportar a análise do histórico, os relatórios de conformidade e as investigações forenses.

  Por exemplo, pode configurar o Google SecOps para arquivar automaticamente os dados de incidentes resolvidos no BigQuery para armazenamento a longo prazo e ajudar a garantir a disponibilidade dos dados para futuras auditorias ou investigações.

Antes de começar

Para usar a integração, precisa de uma Google Cloud conta de serviço.

Crie e configure uma conta de serviço

Para integrar o BigQuery com o Google SecOps, pode usar uma conta de serviço existente ou criar uma nova. Para ver orientações sobre como criar uma conta de serviço, consulte o artigo Crie contas de serviço.

Se não usar um email de identidade da carga de trabalho para configurar a integração, crie uma chave de conta de serviço em JSON depois de criar uma conta de serviço. Tem de fornecer o conteúdo completo do ficheiro de chave JSON transferido quando configurar os parâmetros de integração.

Por motivos de segurança, recomendamos que use endereços de email da identidade da carga de trabalho em vez de chaves JSON de contas de serviço. Para mais informações sobre as identidades de cargas de trabalho, consulte o artigo Identidades para cargas de trabalho.

Parâmetros de integração

A integração do BigQuery requer os seguintes parâmetros:

Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.

Ações

Para mais informações sobre ações, consulte os artigos Responda a ações pendentes a partir de O seu espaço de trabalho e Realize uma ação manual.

Tchim-tchim

Use a ação Ping para testar a conetividade ao BigQuery.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Ping fornece os seguintes resultados:

Mensagens de saída

A ação Ping pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:

Executar consulta personalizada

Use a ação Executar consulta personalizada para executar consultas personalizadas no BigQuery.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Executar consulta personalizada requer os seguintes parâmetros:

Resultados da ação

A ação Executar consulta personalizada fornece os seguintes resultados:

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Executar consulta personalizada:

{
    "Airport_Code": "CODE",
    "Airport_Name": "NAME",
    "Time_Label": "2015/05",
    "Time_Month": 5,
    "Time_Month_Name": "May",
    "Time_Year": 2015,
    "Statistics___of_Delays_Carrier": 351,
    "Statistics___of_Delays_Late_Aircraft": 546,
    "Statistics___of_Delays_National_Aviation_System": 292,
    "Statistics___of_Delays_Security": 2,
    "Statistics___of_Delays_Weather": 100,
    "Statistics_Carriers_Names": "Example Air Lines Inc., Example Airlines Co.",
    "Statistics_Carriers_Total": 3,
    "Statistics_Flights_Cancelled": 88,
    "Statistics_Flights_Delayed": 1289,
    "Statistics_Flights_Diverted": 32,
    "Statistics_Flights_On_Time": 6182,
    "Statistics_Flights_Total": 7591,
    "Statistics_Minutes_Delayed_Carrier": 19332,
    "Statistics_Minutes_Delayed_Late_Aircraft": 34376,
    "Statistics_Minutes_Delayed_National_Aviation_System": 12346,
    "Statistics_Minutes_Delayed_Security": 48,
    "Statistics_Minutes_Delayed_Total": 76163,
    "Statistics_Minutes_Delayed_Weather": 100061
}

Mensagens de saída

A ação Executar consulta personalizada pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Executar consulta personalizada:

Executar consulta SQL

Use a ação Executar consulta SQL para executar consultas no BigQuery.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Executar consulta SQL requer os seguintes parâmetros:

Resultados da ação

A ação Executar consulta SQL fornece os seguintes resultados:

Resultado JSON

O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Executar consulta SQL:

{
    "Airport_Code": "CODE",
    "Airport_Name": "NAME",
    "Time_Label": "2015/05",
    "Time_Month": 5,
    "Time_Month_Name": "May",
    "Time_Year": 2015,
    "Statistics___of_Delays_Carrier": 351,
    "Statistics___of_Delays_Late_Aircraft": 546,
    "Statistics___of_Delays_National_Aviation_System": 292,
    "Statistics___of_Delays_Security": 2,
    "Statistics___of_Delays_Weather": 100,
    "Statistics_Carriers_Names": "Example Airlines Inc.,Example Airlines Co.",
    "Statistics_Carriers_Total": 3,
    "Statistics_Flights_Cancelled": 88,
    "Statistics_Flights_Delayed": 1289,
    "Statistics_Flights_Diverted": 32,
    "Statistics_Flights_On_Time": 6182,
    "Statistics_Flights_Total": 7591,
    "Statistics_Minutes_Delayed_Carrier": 19332,
    "Statistics_Minutes_Delayed_Late_Aircraft": 34376,
    "Statistics_Minutes_Delayed_National_Aviation_System": 12346,
    "Statistics_Minutes_Delayed_Security": 48,
    "Statistics_Minutes_Delayed_Total": 76163,
    "Statistics_Minutes_Delayed_Weather": 100061
}

Mensagens de saída

A ação Executar consulta SQL pode devolver as seguintes mensagens de saída:

Resultado do script

A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Executar consulta SQL:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.