Google Security Operations에 데이터 수집 개요
다음에서 지원:
Google SecOps
SIEM
다음 다이어그램에서 보안 데이터를 Google Security Operations로 전송하는 방법과 Google Security Operations에서 해당 데이터를 처리하고 Google Security Operations 사용자 인터페이스를 사용하여 분석을 준비하는 방식을 보여줍니다.
고객 보안 데이터를 Google Security Operations로 전달 및 처리
Google Security Operations는 고객 보안 데이터를 다음과 같이 처리합니다.
- 내부 데이터 전달 서비스(예: Google Security Operations Forwarder) 또는 표준 보안 프로토콜(예: SFTP)은 원시 보안 데이터를 직접 Google Security Operations에 전송합니다. 보안 데이터는 Google Security Operations로 전송되는 동안에 암호화됩니다.
- Google Security Operations는 Amazon S3 또는 Google Cloud와 같은 클라우드 서비스에 저장된 보안 데이터를 검색합니다. 데이터는 Google Security Operations로 전송되는 동안에 암호화됩니다.
- Google Security Operations는 보안 데이터를 논리적으로 분리하고 암호화된 형식으로 계정에 저장합니다. 고객과 제품을 지원, 개발, 유지보수하는 데 필요한 제한된 수의 Google 직원만 데이터에 액세스할 수 있습니다.
- Google Security Operations에서 원시 보안 데이터를 파싱하고 유효성을 검사하므로 데이터를 더 쉽게 처리하고 표시할 수 있습니다.
- Google Security Operations는 간편하게 검색할 수 있도록 데이터 색인을 생성합니다.
- 유효성 검사 및 파싱이 완료되면 Google Security Operations에서 서드 파티 피드(예: DHS 위협 피드) 및 Google Security Operations의 내부 위협 분석 도구와 시스템을 대상으로 보안 데이터를 검사합니다.
- Google Security Operations는 파싱되고 색인이 생성된 데이터를 암호화된 형태로 각 계정 내에 저장합니다.
- 사용자는 계정에 로그인하여 보안 데이터를 검색하고 검토합니다.
- Google Security Operations는 보안 데이터와 VirusTotal 멀웨어 데이터베이스 사이에서 일치 항목을 검색합니다. 애셋 뷰와 같은 Google Security Operations 이벤트 뷰에서 VT 컨텍스트를 클릭하여 VirusTotal의 정보를 표시합니다. 보안 데이터는 VirusTotal과 공유되지 않습니다.