Importa Google Cloud i dati in Google Security Operations

In questa pagina viene descritto come attivare e disattivare Google Cloud l'importazione dei dati in Google SecOps. In questo modo puoi archiviare, cercare ed esaminare le informazioni di sicurezza aggregate per la tua azienda, anche per mesi o periodi più lunghi, in conformità al periodo di conservazione dei dati.

Panoramica

Esistono due opzioni per inviare i dati Google Cloud a Google SecOps. La scelta dell'opzione giusta dipende dal tipo di log.

Opzione 1: importazione diretta

In Google Cloud può essere configurato un filtro Cloud Logging speciale per inviare tipi di log specifici a Google SecOps in tempo reale. Questi log vengono generati dai servizi Google Cloud . I log vengono raccolti a partire dal momento in cui viene configurato il filtro. I log generati prima della configurazione non sono inclusi. Questo inoltro in tempo reale si applica a Cloud Logging, ai metadati degli asset cloud e ai risultati di Security Command Center Premium.

Google Security Operations acquisisce solo i tipi di log supportati. I tipi di log disponibili includono:

• Cloud Audit Logs
• Cloud NAT
• Cloud DNS
• Cloud Next Generation Firewall
• Cloud Intrusion Detection System
• Cloud Load Balancing
• Cloud SQL
• Log eventi di Windows
• Syslog Linux
• Linux Sysmon
• Zeek
• Google Kubernetes Engine
• Audit Daemon (auditd)
• Apigee
• reCAPTCHA Enterprise
• Log di Cloud Run (GCP_RUN)
• Google Cloud Provvedimenti per comportamento illecito

Per informazioni dettagliate sui filtri dei log specifici e su altri dettagli sull'importazione, vedi Esportare i log Google Cloud in Google SecOps.

Puoi anche inviare Google Cloud i metadati degli asset utilizzati per l'arricchimento del contesto. Per maggiori dettagli, vedi Esportare i metadati degli asset in Google SecOps. Google Cloud

Opzione 2: Google Cloud Storage

Cloud Logging può instradare i log a Cloud Storage da Google SecOps in base a una pianificazione.

Per informazioni dettagliate su come configurare Cloud Storage per Google SecOps, consulta Gestione dei feed: Cloud Storage.

Prima di iniziare

Prima di poter importare Google Cloud i dati in un'istanza di Google SecOps, devi completare i seguenti passaggi:

1. Concedi i seguenti ruoli IAM (Identity and Access Management) a livello organizzativo per accedere alla sezione Google SecOps:

   • Amministratore del servizio Chronicle (roles/chroniclesm.admin): ruolo IAM per l'esecuzione di tutte le attività.
   • Visualizzatore servizi Chronicle (roles/chroniclesm.viewer): ruolo IAM per visualizzare solo lo stato dell'importazione.
   • Editor amministratore del Centro sicurezza (roles/securitycenter.adminEditor): necessario per abilitare l'importazione dei metadati di Cloud Asset.

2. Se prevedi di abilitare i metadati degli asset cloud, devi eseguire l'onboarding dell'organizzazione in Security Command Center. Per saperne di più, consulta la Panoramica dell'attivazione a livello di organizzazione.

Concessione dei ruoli IAM

Puoi concedere i ruoli IAM richiesti utilizzando la console Google Cloud o gcloud CLI.

Per concedere ruoli IAM utilizzando la console Google Cloud , completa i seguenti passaggi:

1. Accedi all'organizzazione Google Cloud a cui vuoi connetterti e vai alla schermata IAM utilizzando Prodotti > IAM e amministrazione > IAM.

2. Nella schermata IAM, seleziona l'utente e fai clic su Modifica membro.

3. Nella schermata Modifica autorizzazioni, fai clic su Aggiungi un altro ruolo e cerca Google SecOps per trovare i ruoli IAM.

4. Dopo aver assegnato i ruoli, fai clic su Salva.

Per concedere ruoli IAM utilizzando Google Cloud CLI, completa i seguenti passaggi:

1. Esegui gcloud init per verificare di aver eseguito l'accesso all'organizzazione e al progetto corretti.

2. Per concedere il ruolo IAM Amministratore di servizio Chronicle utilizzando gcloud, esegui questo comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.admin
   

   Sostituisci quanto segue:

   • ORGANIZATION_ID: l'ID numerico dell'organizzazione.
   • USER_EMAIL: l'indirizzo email dell'utente.

3. Per concedere il ruolo IAM Visualizzatore servizi Chronicle utilizzando gcloud, esegui questo comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.viewer
   

4. Per concedere il ruolo Editor amministratore di Security Center utilizzando gcloud, esegui questo comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/securitycenter.adminEditor`
   

Abilita l'importazione diretta da Google Cloud

I passaggi per abilitare l'importazione diretta da Google Cloud variano a seconda della proprietà del progetto a cui è associata l'istanza Google SecOps.

• Se è associato a un progetto di tua proprietà e gestione, segui i passaggi descritti in Configurare l'importazione quando il progetto è di proprietà del cliente. Questo approccio ti consente di configurare l'importazione dati da più di un Google Cloud organizzazione.

• Se è associato a un progetto di cui Google Cloud è proprietario e che gestisce, segui i passaggi descritti in Configurare l'importazione per un progetto gestito da Google.

Dopo aver configurato l'importazione diretta, i tuoi dati Google Cloud vengono inviati a Google SecOps. Puoi utilizzare le funzionalità di analisi di Google SecOps per esaminare i problemi relativi alla sicurezza.

Configurare l'importazione quando il progetto è di proprietà del cliente

Segui questi passaggi se possiedi il progetto Google Cloud .

Puoi configurare l'importazione diretta da più organizzazioni utilizzando la stessa pagina di configurazione a livello di progetto. Per creare una nuova configurazione e modificarne una esistente, segui questi passaggi.

Quando esegui la migrazione di un'istanza Google SecOps esistente in modo che venga associata a un progetto di tua proprietà e se l'importazione diretta è stata configurata prima della migrazione, viene eseguita anche la migrazione della configurazione dell'importazione diretta.

1. Vai alla pagina Google SecOps > Impostazioni di importazione nella console Google Cloud .
   Vai alla pagina Google SecOps
2. Seleziona il progetto associato alla tua istanza Google SecOps.

3. Nel menu Organizzazione, seleziona l'organizzazione da cui verranno esportati i log. Il menu mostra le organizzazioni a cui hai l'autorizzazione di accedere. L'elenco può includere organizzazioni non collegate all'istanza Google SecOps. Non puoi configurare un'organizzazione che invia dati a un'altra istanza Google SecOps.

   

4. Nella sezione Impostazione di importazione di Google Cloud, fai clic sul pulsante di attivazione/disattivazione Invio di dati a Google Security Operations per consentire l'invio dei log a Google SecOps.

5. Seleziona una o più delle seguenti opzioni per definire il tipo di dati inviati a Google SecOps:

   • Google Cloud Logging: per ulteriori informazioni su questa opzione, consulta la sezione Esportare Google Cloud i log.
   • Metadati delle risorse cloud: per saperne di più su questa opzione, consulta Esportare i metadati delle risorse. Google Cloud
   • Risultati di Security Center Premium: per saperne di più su questa opzione, vedi Esportare i risultati di Security Center Premium.

6. Nella sezione Impostazioni filtro di esportazione dei clienti, configura i filtri di esportazione per personalizzare i dati di Cloud Logging inviati a Google SecOps. Consulta i tipi di log diGoogle Cloud supportati per l'esportazione.

7. Per importare i log da un'altra organizzazione nella stessa istanza di Google SecOps, seleziona l'organizzazione dal menu Organizzazione e poi ripeti i passaggi per definire il tipo di dati da esportare e i filtri di esportazione. Nel menu Organizzazione vedrai elencate più organizzazioni.

8. Per esportare i dati di Sensitive Data Protection (precedentemente chiamati dati di Google Cloud Data Loss Prevention) in Google SecOps, consulta Esportare i dati di Sensitive Data Protection.

Configura l'importazione per un progetto gestito da Google

Se Google Cloud è proprietario del progetto, procedi nel seguente modo per configurare l'importazione diretta dalla tua organizzazione Google Cloud nell'istanza di Google SecOps:

1. Vai alla scheda Google SecOps > Panoramica > Importazione nella console Google Cloud . Vai alla scheda Importazione di Google SecOps
2. Fai clic sul pulsante Gestisci impostazioni di importazione dell'organizzazione.
3. Se viene visualizzato il messaggio Pagina non visualizzabile per i progetti, seleziona un'organizzazione e fai clic su Seleziona.
4. Inserisci il codice di accesso una tantum nel campo Codice di accesso una tantum a Google SecOps.
5. Seleziona la casella Accetto i termini e le condizioni di Google SecOps relativi all'utilizzo dei miei Google Cloud dati.
6. Fai clic su Connetti Google SecOps.
7. Vai alla scheda Impostazioni di importazione globali per l'organizzazione.

8. Seleziona il tipo di dati da inviare attivando una o più delle seguenti opzioni:

   • Google Cloud Logging: per saperne di più su questa opzione, consulta Esportare Google Cloud i log.
   • Metadati di Cloud Asset. Per saperne di più su questa opzione, vedi Esportare Google Cloud i metadati delle risorse.
   • Risultati di Security Center Premium: per saperne di più su questa opzione, vedi Esportare i risultati di Security Center Premium.

9. Vai alla scheda Impostazioni filtro esportazione.

10. Nella sezione Impostazioni filtro di esportazione dei clienti, configura i filtri di esportazione per personalizzare i dati di Cloud Logging inviati a Google SecOps. Consulta i tipi di log diGoogle Cloud supportati per l'esportazione.

11. Per esportare i dati di Sensitive Data Protection (precedentemente chiamati dati di Google Cloud Data Loss Prevention) in Google SecOps, consulta Esportare i dati di Sensitive Data Protection.

Esportare i log di Google Cloud

Dopo aver attivato Cloud Logging, puoi esportare i dati dei log per i tipi di logGoogle Cloud supportati nella tua istanza Google SecOps.

Per esportare i log in Google SecOps, imposta il pulsante di attivazione/disattivazione Attiva log di Cloud su Attivato. Google Cloud

Tipi di log supportati per l'esportazione

Puoi personalizzare il filtro di esportazione dei log da esportare in Google SecOps. Includi o escludi i tipi di log aggiungendo o rimuovendo i filtri di esportazione supportati, elencati in questa sezione.

Puoi esportare i seguenti tipi di log Google Cloud nella tua istanza Google SecOps. Il seguente elenco è organizzato in base al tipo di log e all'etichetta di importazione Google SecOps corrispondente:

• Audit log di Cloud (GCP_CLOUDAUDIT):

  Sono inclusi i log di attività di amministrazione, accesso, eventi di sistema, Access Transparency e accesso negato in base ai criteri.

  • log_id("cloudaudit.googleapis.com/activity") (esportato dal filtro predefinito)
  • log_id("cloudaudit.googleapis.com/system_event") (esportato dal filtro predefinito)
  • log_id("cloudaudit.googleapis.com/policy")
  • log_id("cloudaudit.googleapis.com/access_transparency")

• Log di Cloud NAT (GCP_CLOUD_NAT):

  • log_id("compute.googleapis.com/nat_flows")

• Log di Cloud DNS (GCP_DNS):

  • log_id("dns.googleapis.com/dns_queries") (esportato dal filtro predefinito)

• Log di Cloud Next Generation Firewall (GCP_FIREWALL):

  • log_id("compute.googleapis.com/firewall")

• GCP_IDS:

  • log_id("ids.googleapis.com/threat")
  • log_id("ids.googleapis.com/traffic")

• GCP_LOADBALANCING:

  Sono inclusi i log di Google Cloud Armor e Cloud Load Balancing.

  • log_id("requests")

• GCP_CLOUDSQL:

  • log_id("cloudsql.googleapis.com/mysql-general.log")
  • log_id("cloudsql.googleapis.com/mysql.err")
  • log_id("cloudsql.googleapis.com/postgres.log")
  • log_id("cloudsql.googleapis.com/sqlagent.out")
  • log_id("cloudsql.googleapis.com/sqlserver.err")

• NIX_SYSTEM:

  • log_id("syslog")
  • log_id("authlog")
  • log_id("securelog")
  • log_id("osconfig.googleapis.com/patch_job")

• LINUX_SYSMON:

  • log_id("sysmon.raw")

• WINEVTLOG:

  • log_id("winevt.raw")
  • log_id("windows_event_log")

• BRO_JSON:

  • log_id("zeek_json_streaming_conn")
  • log_id("zeek_json_streaming_dhcp")
  • log_id("zeek_json_streaming_dns")
  • log_id("zeek_json_streaming_http")
  • log_id("zeek_json_streaming_ssh")
  • log_id("zeek_json_streaming_ssl")

• KUBERNETES_NODE:

  • log_id("events")
  • log_id("stdout")
  • log_id("stderr")

• AUDITD:

  • log_id("audit_log")

• GCP_APIGEE_X:

  • log_id("apigee.googleapis.com/ingress_instance")
  • log_id("apigee.googleapis.com")
  • log_id("apigee-logs")
  • log_id("apigee")
  • logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"

• GCP_RECAPTCHA_ENTERPRISE:

  • log_id("recaptchaenterprise.googleapis.com/assessment")
  • log_id("recaptchaenterprise.googleapis.com/annotation")

• GCP_RUN:

  • log_id("run.googleapis.com/stderr")
  • log_id("run.googleapis.com/stdout")
  • log_id("run.googleapis.com/requests")
  • log_id("run.googleapis.com/varlog/system")

• GCP_NGFW_ENTERPRISE:

  • log_id("networksecurity.googleapis.com/firewall_threat")

• GCP_ABUSE_EVENTS:

  • log_id("abuseevent.googleapis.com/abuseevent")

Personalizzare le impostazioni del filtro di esportazione

Per impostazione predefinita, Cloud Audit Logs (attività di amministrazione ed eventi di sistema) e di Cloud DNS vengono inviati alla tua istanza di Google SecOps. Tuttavia, puoi personalizzare il filtro di esportazione per includere o escludere tipi specifici di log.

Per definire un filtro personalizzato per i log:

1. Identifica i log per il filtro personalizzato utilizzando lo strumento di definizione dell'ambito dei log.

2. Nella sezione Filtro log generato automaticamente che segue lo strumento di definizione dell'ambito dei log, copia il codice del filtro log personalizzato generato.

3. Vai alla pagina Google SecOps nella console Google Cloud e seleziona un progetto.
   Vai alla pagina Google SecOps
   

4. Avvia Esplora log utilizzando il link nella scheda Esporta impostazioni filtro.

5. Copia la nuova query nel campo Query e fai clic su Esegui query per testarla.

6. Copia la nuova query nel campo Query di Esplora log e poi fai clic su Esegui query per testarla.

7. Verifica che i log corrispondenti visualizzati in Esplora log siano esattamente quelli che intendi esportare in Google SecOps. Quando il filtro è pronto, copialo nella sezione Impostazioni del filtro di esportazione personalizzato per Google SecOps.

8. Torna alla sezione Impostazioni del filtro di esportazione personalizzato nella pagina Google SecOps.

9. Fai clic sull'icona Modifica nel campo Filtro di esportazione, quindi incolla il filtro copiato nel campo.

10. Fai clic su Salva.

    • Se viene visualizzato il seguente messaggio di errore: "Il filtro fornito potrebbe consentire tipi di log non supportati", è possibile che nel filtro di esportazione sia incluso un tipo di log non supportato. Rimuovi il tipo di log non supportato dal filtro di esportazione. Includi solo i tipi di log elencati in: Google Cloud tipi di log supportati per l'esportazione.

    • Se il salvataggio va a buon fine, il nuovo filtro personalizzato viene applicato a tutti i nuovi log esportati nell'istanza Google SecOps.

    • (Facoltativo) Per reimpostare il filtro di esportazione sulla versione predefinita, salva una copia del filtro personalizzato e poi fai clic su Reimposta su predefinito.

Ottimizzare i filtri di Cloud Audit Logs

I log di accesso ai dati scritti da Cloud Audit Logs possono produrre un volume elevato di dati senza molto valore per il rilevamento delle minacce. Se scegli di inviare questi log a Google SecOps, devi filtrare quelli generati da attività di routine.

Il seguente filtro di esportazione acquisisce i log di accesso ai dati ed esclude gli eventi ad alto volume, come le operazioni di lettura ed elenco di Cloud Storage e Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select"  
  AND NOT protoPayload.methodName =~ "^google\.spanner\.v1\.Spanner\.(ExecuteStreamingSql|BeginTransaction|Commit)$" )

Per saperne di più sull'ottimizzazione dei log degli accessi ai dati generati da Cloud Audit Logs, consulta Gestire il volume degli audit log di accesso ai dati.

Esempi di filtri di esportazione

I seguenti esempi di filtri di esportazione illustrano come includere o escludere determinati tipi di log dall'esportazione nell'istanza Google SecOps.

Esempio di filtro di esportazione: includi tipi di log aggiuntivi

Il seguente filtro di esportazione esporta i log di Access Transparency oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Esempio di filtro di esportazione: includi log aggiuntivi di un progetto specifico

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi da un progetto specifico, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione: includi log aggiuntivi da una cartella specifica

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi da una cartella specifica, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione: escludi i log di un progetto specifico

Il seguente filtro di esportazione esporta i log predefiniti dell'intera organizzazione Google Cloud , ad eccezione di un progetto specifico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Esportare i metadati degli asset Google Cloud

Puoi esportare i metadati delle risorse da Cloud Asset Inventory a Google SecOps. Google Cloud Questi metadati degli asset vengono estratti da Cloud Asset Inventory e sono costituiti da informazioni sui tuoi asset, risorse e identità, tra cui:

• Ambiente
• Località
• Zona
• Modelli hardware
• Relazioni di controllo dell'accesso tra risorse e identità

I seguenti tipi di Google Cloud metadati degli asset verranno esportati nell'istanza Google SecOps:

• GCP_BIGQUERY_CONTEXT
• GCP_COMPUTE_CONTEXT
• GCP_IAM_CONTEXT
• GCP_IAM_ANALYSIS
• GCP_STORAGE_CONTEXT
• GCP_CLOUD_FUNCTIONS_CONTEXT
• GCP_SQL_CONTEXT
• GCP_NETWORK_CONNECTIVITY_CONTEXT
• GCP_RESOURCE_MANAGER_CONTEXT

Di seguito sono riportati alcuni esempi di metadati delle risorse Google Cloud :

• Nome applicazione: Google-iamSample/0.1
• Nome progetto: projects/my-project

Per esportare i metadati delle risorse in Google SecOps, imposta il pulsante di attivazione/disattivazione Metadati di Cloud Asset su Attivato. Google Cloud

Per ulteriori informazioni sull'esportazione di log di contesto specifici e sul loro inserimento in Google SecOps, consulta Configurazione e inserimento del parser predefinito e cerca "contesto" o "analisi".

Esportare i risultati di Security Command Center

Puoi esportare i risultati di Event Threat Detection di Security Command Center Premium e tutti gli altri risultati in Google SecOps.

Per ulteriori informazioni sui risultati di ETD, consulta la panoramica di Event Threat Detection.

Per esportare i risultati di Security Command Center Premium in Google SecOps, imposta il pulsante di attivazione/disattivazione Risultati di Security Command Center Premium su Attivato.

Esportare i dati di Sensitive Data Protection

Puoi esportare i tuoi dati di Protezione dei dati sensibili in Google SecOps.

Per importare i metadati degli asset di Sensitive Data Protection (DLP_CONTEXT), esegui le seguenti operazioni:

1. Attiva l' Google Cloud importazione dei dati completando la sezione precedente di questo documento.
2. Configura Sensitive Data Protection per profilare i dati.
3. Imposta la configurazione della scansione in modo da pubblicare i profili di dati su Google SecOps.

Per informazioni dettagliate sulla creazione di profili di dati per i dati BigQuery, consulta la documentazione di Sensitive Data Protection.

Disattiva l'importazione dei dati di Google Cloud

I passaggi per disattivare l'importazione diretta dei dati da Google Cloud variano a seconda della configurazione di Google SecOps. Scegli una delle opzioni seguenti:

• Se la tua istanza di Google SecOps è associata a un progetto di tua proprietà e gestione, segui questi passaggi:

  1. Seleziona il progetto associato alla tua istanza Google SecOps.
  2. Nella console Google Cloud , vai alla scheda Importazione in Google SecOps.
     Vai alla pagina Google SecOps
  3. Nel menu Organizzazione, seleziona l'organizzazione da cui vengono esportati i log.
  4. Imposta l'opzione di attivazione/disattivazione Invio di dati a Google Security Operations su Disattivata.
  5. Se hai configurato l'esportazione dei dati da più organizzazioni e vuoi disattivarle, segui questi passaggi per ogni organizzazione.

• Se la tua istanza di Google SecOps è associata a un progetto di cui Google Cloud è proprietaria e che gestisce, segui questi passaggi:

  1. Vai alla pagina Google SecOps > Inserimento nella console Google Cloud .
     Vai alla pagina Google SecOps
  2. Nel menu delle risorse, seleziona l'organizzazione associata alla tua istanza di Google SecOps e da cui stai importando i dati.
  3. Seleziona la casella Voglio disconnettermi da Google SecOps e interrompere l'invio dei log in Google SecOps. Google Cloud
  4. Fai clic su Disconnetti Google SecOps.

Controllare la velocità di importazione

Quando la velocità di importazione dati per un tenant raggiunge una determinata soglia, Google Security Operations limita la velocità di importazione per i nuovi feed di dati per impedire che un'origine con una velocità di importazione elevata influisca sulla velocità di importazione di un'altra origine dati. In questo caso, si verifica un ritardo, ma non vengono persi dati. Il volume di importazione e la cronologia di utilizzo del tenant determinano la soglia.

Puoi richiedere un aumento del limite di frequenza contattando l'assistenza clienti Google Cloud.

Risoluzione dei problemi

• Se le relazioni tra risorse e identità non sono presenti nell'istanza Google SecOps, disattiva e riattiva l'importazione diretta dei dati di log in Google SecOps.
• I metadati delle risorseGoogle Cloud vengono importati periodicamente in Google SecOps. Attendi diverse ore prima che le modifiche vengano visualizzate nelle API e nella UI di Google SecOps.

• Quando aggiungi un tipo di log al filtro di esportazione, potresti visualizzare il messaggio "Il filtro fornito potrebbe consentire tipi di log non supportati".

  Soluzione alternativa: includi nel filtro di esportazione solo i tipi di log visualizzati nel seguente elenco: tipi di logGoogle Cloud supportati per l'esportazione.

Passaggi successivi

• Apri l'istanza Google SecOps utilizzando l'URL specifico del cliente fornito dal tuo rappresentante Google SecOps.
• Scopri di più su Google SecOps.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.