Integrar o BigQuery com o Google SecOps
Neste documento, explicamos como integrar o BigQuery ao Google Security Operations (Google SecOps).
Versão da integração: 15.0
Essa integração usa um ou mais componentes de código aberto. Faça o download de uma cópia compactada do código-fonte dessa integração em um bucket do Cloud Storage.
Casos de uso
Na plataforma Google SecOps, a integração do BigQuery pode ajudar você a resolver os seguintes casos de uso:
Enriquecimento de inteligência de ameaças:enriqueça automaticamente os alertas de segurança com dados de inteligência de ameaças armazenados no BigQuery para avaliar a gravidade e a credibilidade de possíveis ameaças.
Por exemplo, é possível configurar o Google SecOps para consultar uma tabela do BigQuery com endereços IP maliciosos conhecidos sempre que um endereço IP suspeito acionar um alerta. O Google SecOps verifica se há uma correspondência na tabela do BigQuery e recupera mais contexto, como famílias de malware associadas.
Análise de comportamento do usuário:identifique atividades anômalas analisando registros históricos de atividades armazenados no BigQuery para detectar ameaças internas e contas comprometidas.
Por exemplo, é possível configurar o Google SecOps para consultar o BigQuery em busca de tentativas de login fora da geolocalização normal de um usuário e acionar uma resposta a incidentes automatizada para uma atividade suspeita detectada.
Análise de data lake de segurança:use os recursos de consulta do BigQuery para analisar grandes volumes de dados de segurança de várias fontes agregadas em um data lake e melhorar a busca de ameaças e a investigação de incidentes.
Por exemplo, é possível configurar o Google SecOps para consultar o BigQuery em busca de todos os eventos relacionados a um hash de arquivo específico em vários registros de ferramentas de segurança armazenados no data lake.
Retenção de dados de segurança de longo prazo:use o armazenamento do BigQuery para reter grandes volumes de registros de segurança por períodos estendidos e oferecer suporte a análises históricas, relatórios de compliance e investigações forenses.
Por exemplo, é possível configurar o Google SecOps para arquivar automaticamente os dados de incidentes resolvidos no BigQuery para armazenamento de longo prazo e ajudar a garantir a disponibilidade dos dados para auditorias ou investigações futuras.
Antes de começar
Para usar a integração, você precisa de uma conta de serviço Google Cloud .
Criar e configurar uma conta de serviço
Para integrar o BigQuery ao Google SecOps, você pode usar uma conta de serviço atual ou criar uma nova. Para orientações sobre como criar uma conta de serviço, consulte Criar contas de serviço.
Se você não usar um e-mail de identidade da carga de trabalho para configurar a integração, crie uma chave de conta de serviço em JSON depois de criar uma conta de serviço. Você precisa fornecer todo o conteúdo do arquivo de chave JSON baixado ao configurar os parâmetros de integração.
Por motivos de segurança, recomendamos que você use endereços de e-mail de identidade da carga de trabalho em vez de chaves JSON da conta de serviço. Para mais informações sobre as identidades de carga de trabalho, consulte Identidades para cargas de trabalho.
Parâmetros de integração
A integração do BigQuery exige os seguintes parâmetros:
| Parâmetros | Descrição |
|---|---|
Account Type |
Opcional. O tipo de conta do BigQuery. Forneça o valor definido no parâmetro O valor padrão é |
Project ID |
Opcional. O ID do projeto da conta do BigQuery. Forneça o valor definido no parâmetro |
Private Key ID |
Opcional. O ID da chave privada da conta do BigQuery. Forneça o valor definido no parâmetro |
Private Key |
Opcional. A chave privada da conta do BigQuery. Forneça o valor definido no parâmetro |
Client Email |
Opcional. O endereço de e-mail do cliente da conta do BigQuery. Forneça o valor definido no parâmetro |
Client ID |
Opcional. O ID do cliente da conta do BigQuery. Forneça o valor definido no parâmetro |
Auth URI |
Opcional. O URI de autenticação da conta do BigQuery. Forneça o valor definido no parâmetro O valor padrão é |
Token URI |
Opcional. O URI do token da conta do BigQuery. Forneça o valor definido no parâmetro O valor padrão é |
Auth Provider X509 URL |
Opcional. O URL X.509 do provedor de autenticação da conta do BigQuery. Forneça o valor definido no parâmetro O valor padrão é |
Client X509 URL |
Opcional. O URL X.509 do cliente da conta do BigQuery. Forneça o valor definido no parâmetro O valor padrão é |
Service Account Json File Content |
Opcional. O conteúdo do arquivo JSON da chave da conta de serviço. É possível configurar esse parâmetro, o parâmetro Para configurar esse parâmetro, forneça todo o conteúdo do arquivo JSON da chave da conta de serviço que você baixou ao criar uma conta de serviço. Se você configurar esse parâmetro, a integração vai ignorar outros parâmetros de conexão. |
Workload Identity Email |
Opcional. O endereço de e-mail do cliente da sua conta de serviço. É possível configurar esse parâmetro ou o Se você definir esse parâmetro, configure
o parâmetro Para representar contas de serviço com a federação de identidade da carga de trabalho,
conceda o papel |
Quota Project ID |
Opcional. O ID do projeto Google Cloud que você usa para
APIs Google Cloud e faturamento. Para usar esse parâmetro, conceda o papel Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto da sua conta de serviço do Google Cloud . |
Verify SSL |
Opcional. Se selecionada, a integração valida o certificado SSL ao se conectar a Google Cloud. Essa opção é selecionada por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes na Sua mesa de trabalho e Realizar uma ação manual.
Ping
Use a ação Ping para testar a conectividade com o BigQuery.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully connected to the Google BigQuery server with
the provided connection parameters! |
A ação foi concluída. |
Failed to connect to the Google BigQuery server! Error is
ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Executar consulta personalizada
Use a ação Executar consulta personalizada para executar consultas personalizadas no BigQuery.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Executar consulta personalizada exige os seguintes parâmetros:
| Parâmetros | Descrição |
|---|---|
Query |
Obrigatório. A consulta SQL a ser executada. |
Max Results To Return |
Opcional. O número de resultados a serem retornados para cada resposta. O valor padrão é |
Saídas de ação
A ação Executar consulta personalizada fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Executar consulta personalizada:
{
"Airport_Code": "CODE",
"Airport_Name": "NAME",
"Time_Label": "2015/05",
"Time_Month": 5,
"Time_Month_Name": "May",
"Time_Year": 2015,
"Statistics___of_Delays_Carrier": 351,
"Statistics___of_Delays_Late_Aircraft": 546,
"Statistics___of_Delays_National_Aviation_System": 292,
"Statistics___of_Delays_Security": 2,
"Statistics___of_Delays_Weather": 100,
"Statistics_Carriers_Names": "Example Air Lines Inc., Example Airlines Co.",
"Statistics_Carriers_Total": 3,
"Statistics_Flights_Cancelled": 88,
"Statistics_Flights_Delayed": 1289,
"Statistics_Flights_Diverted": 32,
"Statistics_Flights_On_Time": 6182,
"Statistics_Flights_Total": 7591,
"Statistics_Minutes_Delayed_Carrier": 19332,
"Statistics_Minutes_Delayed_Late_Aircraft": 34376,
"Statistics_Minutes_Delayed_National_Aviation_System": 12346,
"Statistics_Minutes_Delayed_Security": 48,
"Statistics_Minutes_Delayed_Total": 76163,
"Statistics_Minutes_Delayed_Weather": 100061
}
Mensagens de saída
A ação Executar consulta personalizada pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully executed query in Google BigQuery! |
A ação foi concluída. |
Error executing action "Run Custom Query". Reason:
ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Executar consulta personalizada:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Executar consulta SQL
Use a ação Executar consulta SQL para executar consultas no BigQuery.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Executar consulta SQL exige os seguintes parâmetros:
| Parâmetros | Descrição |
|---|---|
Dataset Name |
Obrigatório. O nome do conjunto de dados a ser usado ao executar consultas. |
Query |
Obrigatório. A consulta SQL a ser executada. |
Max Results To Return |
Opcional. O número de resultados a serem retornados para cada resposta. O valor padrão é |
Saídas de ação
A ação Executar consulta SQL fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação Executar consulta SQL:
{
"Airport_Code": "CODE",
"Airport_Name": "NAME",
"Time_Label": "2015/05",
"Time_Month": 5,
"Time_Month_Name": "May",
"Time_Year": 2015,
"Statistics___of_Delays_Carrier": 351,
"Statistics___of_Delays_Late_Aircraft": 546,
"Statistics___of_Delays_National_Aviation_System": 292,
"Statistics___of_Delays_Security": 2,
"Statistics___of_Delays_Weather": 100,
"Statistics_Carriers_Names": "Example Airlines Inc.,Example Airlines Co.",
"Statistics_Carriers_Total": 3,
"Statistics_Flights_Cancelled": 88,
"Statistics_Flights_Delayed": 1289,
"Statistics_Flights_Diverted": 32,
"Statistics_Flights_On_Time": 6182,
"Statistics_Flights_Total": 7591,
"Statistics_Minutes_Delayed_Carrier": 19332,
"Statistics_Minutes_Delayed_Late_Aircraft": 34376,
"Statistics_Minutes_Delayed_National_Aviation_System": 12346,
"Statistics_Minutes_Delayed_Security": 48,
"Statistics_Minutes_Delayed_Total": 76163,
"Statistics_Minutes_Delayed_Weather": 100061
}
Mensagens de saída
A ação Executar consulta SQL pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully executed query in the BigQuery dataset
DATASET_NAME. |
A ação foi concluída. |
Error executing action "Run SQL Query". Reason:
ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Executar consulta SQL:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.