Descripción general de la administración de feeds
En esta página, se proporciona una descripción general de la administración de feeds de SecOps de Google. Puedes crear y administrar feeds con la IU de administración de feeds o la API de administración de feeds.
La IU de administración de feeds se basa en la API de administración de feeds. Puedes usar los feeds de datos de Google SecOps para transferir datos de registros a tu instancia de Google SecOps desde las siguientes fuentes:
- Servicios de Cloud Storage compatibles con Google SecOps, como Google Cloud Storage y Amazon S3
- Fuentes de datos de terceros compatibles con Google SecOps y a las que se accede a través de la API, como Microsoft 365
- Archivos a los que se puede acceder directamente con solicitudes HTTP(S)
- Fuentes que admiten la transferencia push de HTTPS, como webhooks, Pub/Sub y Amazon Data Firehose. Puedes enviar registros con un extremo HTTPS desde estas fuentes.
Cada feed que creas se compone de un tipo de fuente de datos y un tipo de registro. Google Cloud Storage, las APIs de terceros y los archivos accesibles por HTTP son ejemplos de tipos de fuentes. Para cada tipo de fuente de datos que admite Google SecOps, Google SecOps también admite tipos de registros específicos. Por ejemplo, para el tipo de fuente de Google Cloud Storage, Google SecOps admite el tipo de registro de Carbon Black y muchos otros. La lista de tipos de registros admitidos varía según el tipo de fuente.
Cuando creas un feed, especificas el tipo de fuente, el tipo de registro, los permisos requeridos, los detalles de autenticación y otra información que se basa en el tipo de registro. Como parte de su diseño de seguridad, Google SecOps almacena las credenciales del usuario (por ejemplo, las credenciales que proporcionas para que un feed de Google SecOps pueda transferir datos de registro desde una API de terceros) en Secret Manager.
Si Google SecOps proporciona un analizador predeterminado para el tipo de registro, los datos de registro transferidos se almacenan en el formato del modelo de datos unificado (UDM) de Google SecOps y en el formato de registro sin procesar.
Tipos de fuentes y registros admitidos
Google SecOps admite los siguientes tipos de fuentes:
| Tipo de fuente del feed | Descripción |
|---|---|
| API de terceros | Transfiere datos desde una API de terceros. |
| Pub/Sub | Transfiere datos con una suscripción push de Pub/Sub. |
| Google Cloud Storage | Transfiere datos desde un bucket de Google Cloud Storage. |
| Amazon Data Firehose | Transfiere datos con Amazon Data Firehose. |
| Amazon S3 | Transfiere datos desde un bucket de Amazon Simple Storage Service. |
| Amazon SQS | Ingiere datos de una cola de Amazon Simple Queue Service cuyas entradas apuntan a archivos almacenados en S3. |
| Azure Blobstore | Transfiere datos desde Azure Blob Storage. |
| HTTP(S) | Ingiere datos de archivos a los que se puede acceder con una solicitud HTTP(S). No uses este tipo de fuente para interactuar con APIs de terceros. Usa el tipo de fuente de feed API para las APIs de terceros compatibles con Google SecOps. |
| Webhook | Transfiere datos con un webhook HTTPS. |
Existen varias formas de ver una lista de los tipos de registros admitidos:
IU de Google SecOps: Para obtener información sobre cómo ver la lista de tipos de registros admitidos para cada tipo de fuente, consulta Cómo agregar un feed.
Documentación de referencia de la API: Para ver una lista de los tipos de registros admitidos para los feeds de la API de terceros, consulta Configuración por tipo de registro.
API de Feed Schema: Para ver los tipos de registros de cualquier tipo de fuente, también puedes usar la API de Feed Schema.
¿Qué sigue?
- Obtén más información para crear y administrar feeds con la IU de administración de feeds.
- Obtén información para crear y administrar feeds con la API de Feed management.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.