Feed 管理概览

支持的平台:

本页面简要介绍了 Google SecOps Feed 管理。 您可以使用 Feed 管理界面或 Feed 管理 API 创建和管理 Feed。

Feed 管理界面基于 Feed 管理 API 构建而成。您可以使用 Google SecOps 数据 Feed 将日志数据从以下来源注入到 Google SecOps 实例中:

  • Google SecOps 支持的云端存储服务,例如 Google Cloud Storage 和 Amazon S3
  • Google SecOps 支持且通过 API 访问的第三方数据源,例如 Microsoft 365
  • 可直接使用 HTTP(S) 请求访问的文件
  • 支持 HTTPS 推送提取的数据源,例如 webhook、Pub/Sub 和 Amazon Data Firehose。您可以使用这些来源的 HTTPS 端点推送日志。

您创建的每个 Feed 都由数据源类型日志类型组成。Google Cloud Storage、第三方 API 和可通过 HTTP 访问的文件就是来源类型的示例。对于 Google SecOps 支持的每种数据源类型,Google SecOps 还支持特定的日志类型。例如,对于 Google Cloud Storage 来源类型,Google SecOps 支持 Carbon Black 日志类型和许多其他类型。支持的日志类型列表因来源类型而异。

创建 Feed 时,您需要指定来源类型、日志类型、所需权限、身份验证详细信息以及根据日志类型的其他信息。作为其安全设计的一部分,Google SecOps 会在 Secret Manager 中存储用户凭据(例如,您提供的凭据,以便 Google SecOps Feed 可以从第三方 API 注入日志数据)。

如果 Google SecOps 为日志类型提供了默认解析器,则提取的日志数据会同时存储为 Google SecOps 统一数据模型 (UDM) 格式和原始日志格式。

支持的来源类型和日志类型

Google SecOps 支持以下来源类型:

Feed 来源类型 说明
第三方 API 从第三方 API 提取数据。
Pub/Sub 使用 Pub/Sub 推送订阅提取数据。
Google Cloud Storage 从 Google Cloud Storage 存储桶中提取数据。
Amazon Data Firehose 使用 Amazon Data Firehose 提取数据。
Amazon S3 从 Amazon Simple Storage Service 存储桶提取数据。
Amazon SQS 从 Amazon Simple Queue Service 队列提取数据,其中条目指向存储在 S3 中的文件
Azure Blobstore 从 Azure Blob Storage 提取数据。
HTTP(S) 从可通过 HTTP(S) 请求访问的文件中提取数据。请使用此来源类型与第三方 API 互动。对于 Google SecOps 支持的第三方 API,请使用 API Feed 来源类型。
网络钩子 使用 HTTPS 网络钩子提取数据。

您可以通过以下几种方式查看支持的日志类型列表:

  • Google SecOps 界面:如需了解如何查看每个来源类型支持的日志类型列表,请参阅添加 Feed

  • API 参考文档:如需查看第三方 API Feed 支持的日志类型列表,请参阅按日志类型进行配置

  • Feed Schema API:如需查看任何来源类型的日志类型,您还可以使用 Feed Schema API

后续步骤