Présentation de la gestion des flux

Compatible avec:

Cette page présente la gestion des flux Google SecOps. Vous pouvez créer et gérer des flux à l'aide de l'interface utilisateur de gestion des flux ou de l'API de gestion des flux.

L'UI de gestion des flux est basée sur l'API de gestion des flux. Vous pouvez utiliser des flux de données Google SecOps pour ingérer des données de journal dans votre instance Google SecOps à partir des sources suivantes:

  • Services de stockage cloud compatibles avec Google SecOps, tels que Google Cloud Storage et Amazon S3
  • Sources de données tierces compatibles avec Google SecOps et accessibles via une API, telles que Microsoft 365
  • Fichiers accessibles directement à l'aide de requêtes HTTP(S)
  • Sources compatibles avec l'ingestion push HTTPS, telles que les webhooks, Pub/Sub et Amazon Data Firehose. Vous pouvez transférer des journaux à l'aide d'un point de terminaison HTTPS à partir de ces sources.

Chaque flux que vous créez est composé d'un type de source de données et d'un type de journal. Google Cloud Storage, les API tierces et les fichiers accessibles en HTTP sont des exemples de types de sources. Pour chaque type de source de données compatible avec Google SecOps, Google SecOps est également compatible avec des types de journaux spécifiques. Par exemple, pour le type de source Google Cloud Storage, Google SecOps est compatible avec le type de journal Carbon Black et de nombreux autres. La liste des types de journaux compatibles varie selon le type de source.

Lorsque vous créez un flux, vous spécifiez le type de source, le type de journal, les autorisations requises, les informations d'authentification et d'autres informations basées sur le type de journal. Dans le cadre de sa conception de sécurité, Google SecOps stocke les identifiants utilisateur (par exemple, les identifiants que vous fournissez pour qu'un flux Google SecOps puisse ingérer des données de journal provenant d'une API tierce) dans Secret Manager.

Si Google SecOps fournit un analyseur par défaut pour le type de journal, les données de journal ingérées sont stockées à la fois au format Unified Data Model (UDM) de Google SecOps et au format de journal brut.

Types de sources et de journaux compatibles

Google SecOps est compatible avec les types de sources suivants:

Type de source de flux Description
API tierce Ingérer des données à partir d'une API tierce
Pub/Sub Ingérez des données à l'aide d'un abonnement push Pub/Sub.
Google Cloud Storage Ingérer des données à partir d'un bucket Google Cloud Storage
Amazon Data Firehose Ingérez des données à l'aide d'Amazon Data Firehose.
Amazon S3 Ingérer des données à partir d'un bucket Amazon Simple Storage Service
Amazon SQS Ingérer des données à partir d'une file d'attente Amazon Simple Queue Service dont les entrées pointent vers des fichiers stockés dans S3
Azure Blobstore Ingérez des données à partir d'Azure Blob Storage.
HTTP(S) Ingérer des données à partir de fichiers accessibles via une requête HTTP(S). N'utilisez pas ce type de source pour interagir avec des API tierces. Utilisez le type de source de flux API pour les API tierces compatibles avec Google SecOps.
Webhook Ingérez les données à l'aide d'un webhook HTTPS.

Il existe plusieurs façons d'afficher la liste des types de journaux compatibles:

  • Interface utilisateur Google SecOps: pour savoir comment afficher la liste des types de journaux compatibles pour chaque type de source, consultez Ajouter un flux.

  • Documentation de référence de l'API: pour afficher la liste des types de journaux acceptés pour les flux d'API tiers, consultez la section Configuration par type de journal.

  • API Feed Schema: pour afficher les types de journaux pour n'importe quel type de source, vous pouvez également utiliser l'API Feed Schema.

Étape suivante