Descripción general de la administración de feeds

Se admite en los siguientes países:

En esta página, se proporciona una descripción general de la administración de feeds de SecOps de Google. Puedes crear y administrar feeds con la IU o la API de administración de feeds.

La IU de administración de feeds se compiló en la API de administración de feeds. Puedes usar los feeds de datos de Google SecOps para transferir datos de registro a tu instancia de Google SecOps desde las siguientes fuentes:

  • Servicios de Cloud Storage compatibles con Google SecOps, como Google Cloud Storage y Amazon S3
  • Fuentes de datos de terceros que son compatibles con Google SecOps y a las que se accede a través de la API, como Microsoft 365
  • Archivos a los que se puede acceder directamente con solicitudes HTTP(S)
  • Fuentes que admiten la transferencia de datos mediante HTTPS, como webhooks, Pub/Sub y Amazon Data Firehose. Puedes enviar registros con un extremo HTTPS desde estas fuentes.

Cada feed que creas se compone de un tipo de fuente de datos y un tipo de registro. Google Cloud Storage, las APIs de terceros y los archivos accesibles a través de HTTP son ejemplos de tipos de fuentes. Para cada tipo de fuente de datos que admite Google SecOps, Google SecOps también admite tipos de registro específicos. Por ejemplo, para el tipo de fuente de Google Cloud Storage, Google SecOps admite el tipo de registro de Carbon Black y muchos otros. La lista de tipos de registros compatibles varía según el tipo de fuente.

Cuando creas un feed, debes especificar el tipo de fuente, el tipo de registro, los permisos necesarios, los detalles de autenticación y otra información que se basa en el tipo de registro. Como parte de su diseño de seguridad, Google SecOps almacena las credenciales del usuario (por ejemplo, las credenciales que proporcionas para que un feed de Google SecOps pueda transferir datos de registro desde una API de terceros) en Secret Manager.

Si Google SecOps proporciona un analizador predeterminado para el tipo de registro, los datos de registro transferidos se almacenan en el formato de modelo de datos unificado (UDM) de Google SecOps y en el formato de registro sin procesar.

Tipos de fuentes y tipos de registros admitidos

Google SecOps admite los siguientes tipos de fuentes:

Tipo de fuente de feeds Descripción
API de terceros Transferir datos de una API de terceros
Pub/Sub Transferir datos con una suscripción push de Pub/Sub
Google Cloud Storage Transferir datos de un bucket de Google Cloud Storage
Amazon Data Firehose Transferir datos con Amazon Data Firehose
Amazon S3 Transferir datos de un bucket de Amazon Simple Storage Service
Amazon SQS Transferir datos de una cola de Amazon Simple Queue Service cuyas entradas dirigen a archivos almacenados en S3
Azure Blobstore Transferir datos de Azure Blob Storage
HTTP(S) Transferir datos de archivos a los que se puede acceder mediante una solicitud HTTP(S) No use este tipo de fuente para interactuar con APIs de terceros. Usa el tipo de fuente de feed API para las APIs de terceros compatibles con Google SecOps.
Webhook Transferir datos con un webhook HTTPS

Existen varias formas de ver una lista de los tipos de registros admitidos:

  • IU de Google SecOps: Si deseas obtener información para ver la lista de tipos de registros compatibles para cada tipo de fuente, consulta Cómo agregar un feed.

  • Documentación de referencia de la API: Para ver una lista de los tipos de registros compatibles con los feeds de API de terceros, consulta Configuración por tipo de registro.

  • API de Feed Schema: Para ver los tipos de registro de cualquier tipo de fuente, también puedes usar la API de Feed Schema.

¿Qué sigue?