Información general sobre la gestión de feeds
En esta página se ofrece una descripción general de la gestión de feeds de Google SecOps. Puede crear y gestionar feeds mediante la interfaz de gestión de feeds o la API de gestión de feeds.
La interfaz de gestión de feeds se basa en la API de gestión de feeds. Puedes usar feeds de datos de Google SecOps para ingerir datos de registro en tu instancia de Google SecOps desde las siguientes fuentes:
- Servicios de almacenamiento en la nube compatibles con Google SecOps, como Google Cloud Storage y Amazon S3
- Fuentes de datos de terceros compatibles con Google SecOps a las que se accede a través de APIs, como Microsoft 365
- Archivos a los que se puede acceder directamente mediante solicitudes HTTP(S)
- Fuentes que admiten la ingestión push de HTTPS, como webhooks, Pub/Sub y Amazon Data Firehose. Puedes enviar registros mediante un endpoint HTTPS desde estas fuentes.
Cada feed que cree se compone de un tipo de fuente de datos y un tipo de registro. Google Cloud Storage, las APIs de terceros y los archivos accesibles por HTTP son ejemplos de tipos de origen. Google SecOps admite tipos de registros específicos para cada tipo de fuente de datos que admite. Por ejemplo, en el caso del tipo de fuente Google Cloud Storage, Google SecOps admite el tipo de registro de Carbon Black y muchos otros. La lista de tipos de registros admitidos varía en función del tipo de fuente.
Cuando creas un feed, especificas el tipo de fuente, el tipo de registro, los permisos necesarios, los detalles de autenticación y otra información en función del tipo de registro. Como parte de su diseño de seguridad, Google SecOps almacena las credenciales de usuario (por ejemplo, las que proporcionas para que un feed de Google SecOps pueda ingerir datos de registro de una API de terceros) en Secret Manager.
Si Google SecOps proporciona un analizador predeterminado para el tipo de registro, los datos de registro ingeridos se almacenan tanto en el formato del modelo de datos unificado (UDM) de Google SecOps como en el formato de registro sin procesar.
Tipos de fuentes y de registros admitidos
Google SecOps admite los siguientes tipos de fuentes:
| Tipo de fuente del feed | Descripción |
|---|---|
| API de terceros | Ingiere datos de una API de terceros. |
| Pub/Sub | Ingiere datos mediante una suscripción push de Pub/Sub. |
| Google Cloud Storage | Ingiere datos de un segmento de Google Cloud Storage. |
| Amazon Data Firehose | Ingiere datos con Amazon Data Firehose. |
| Amazon S3 | Ingerir datos de un segmento de Amazon Simple Storage Service. |
| Amazon SQS | Ingiere datos de una cola de Amazon Simple Queue Service cuyas entradas apuntan a archivos almacenados en S3 |
| Azure Blobstore | Ingiere datos de Azure Blob Storage. |
| HTTP o HTTPS | Ingiere datos de archivos a los que se puede acceder mediante una solicitud HTTP(S). No
utilices este tipo de fuente para interactuar con APIs de terceros. Usa el tipo de fuente de API
para las APIs de terceros compatibles con Google SecOps. |
| Webhook | Ingerir datos mediante un webhook HTTPS. |
Hay varias formas de ver una lista de tipos de registros admitidos:
Interfaz de usuario de Google SecOps: para obtener información sobre cómo ver la lista de tipos de registro admitidos para cada tipo de fuente, consulta Añadir un feed.
Documentación de referencia de la API: para ver una lista de los tipos de registro admitidos para las fuentes de la API de terceros, consulta Configuración por tipo de registro.
API Feed Schema: para ver los tipos de registro de cualquier tipo de fuente, también puedes usar la API Feed Schema.
Siguientes pasos
- Consulte cómo crear y gestionar feeds con la interfaz de gestión de feeds.
- Consulte cómo crear y gestionar feeds con la API Feed Management.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.