Feed 管理概览
本页面简要介绍了 Google SecOps Feed 管理。 您可以使用 Feed 管理界面或 Feed 管理 API 创建和管理 Feed。
Feed 管理界面基于 Feed 管理 API 构建。您可以使用 Google SecOps 数据 Feed 将日志数据从以下来源注入到 Google SecOps 实例中:
- Google SecOps 支持的 Cloud Storage 服务,例如 Google Cloud Storage 和 Amazon S3
- Google SecOps 支持且可通过 API 访问的第三方数据源,例如 Microsoft 365
- 可使用 HTTP(S) 请求直接访问的文件
- 支持 HTTPS 推送提取的来源,例如 Webhook、Pub/Sub 和 Amazon Data Firehose。您可以使用来自这些来源的 HTTPS 端点推送日志。
您创建的每个 Feed 都由数据源类型和日志类型组成。Google Cloud Storage、第三方 API 和可通过 HTTP 访问的文件都是来源类型的示例。对于 Google SecOps 支持的每种数据源类型,Google SecOps 还支持特定的日志类型。例如,对于 Google Cloud Storage 源类型,Google SecOps 支持 Carbon Black 日志类型和许多其他日志类型。支持的日志类型列表因来源类型而异。
创建 Feed 时,您需要指定来源类型、日志类型、所需权限、身份验证详细信息以及基于日志类型的其他信息。根据其安全设计,Google SecOps 会将用户凭据(例如,您提供的凭据,以便 Google SecOps Feed 可以从第三方 API 注入日志数据)存储在 Secret Manager 中。
如果 Google SecOps 为日志类型提供默认解析器,则注入的日志数据会以 Google SecOps 统一数据模型 (UDM) 格式和原始日志格式存储。
支持的来源类型和日志类型
Google SecOps 支持以下来源类型:
| Feed 来源类型 | 说明 |
|---|---|
| 第三方 API | 从第三方 API 提取数据。 |
| Pub/Sub | 使用 Pub/Sub 推送订阅提取数据。 |
| Google Cloud Storage | 从 Google Cloud Storage 存储桶中提取数据。 |
| Amazon Data Firehose | 使用 Amazon Data Firehose 提取数据。 |
| Amazon S3 | 从 Amazon Simple Storage Service 存储桶中提取数据。 |
| Amazon SQS | 从 Amazon Simple Queue Service 队列(其条目指向存储在 S3 中的文件)中提取数据 |
| Azure Blobstore | 从 Azure Blob Storage 注入数据。 |
| HTTP(S) | 从可通过 HTTP(S) 请求访问的文件中注入数据。请勿使用此来源类型与第三方 API 进行互动。对于 Google SecOps 支持的第三方 API,请使用 API Feed 源类型。 |
| 网络钩子 | 使用 HTTPS 网络钩子提取数据。 |
您可以通过多种方式查看支持的日志类型列表:
Google SecOps 界面:如需了解如何查看每种来源类型的受支持日志类型列表,请参阅添加 Feed。
API 参考文档:如需查看第三方 API Feed 支持的日志类型列表,请参阅按日志类型进行配置。
Feed Schema API:如需查看任何来源类型的日志类型,您还可以使用 Feed Schema API。
后续步骤
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。