Diese Seite wurde von der Cloud Translation API übersetzt.

Datenexport in BigQuery in einem selbstverwalteten Google Cloud -Projekt konfigurieren

Mit Google Security Operations können Sie UDM-Daten (Unified Data Model) in ein selbstverwaltetes Projekt exportieren, das Ihnen gehört und das Sie verwalten. Sie können Ihr eigenes Google Cloud Projekt mit Ihrer Google SecOps-Instanz verknüpfen und IAM-Berechtigungen unabhängig verwalten, ohne dass von Google verwaltete Einstellungen erforderlich sind. Sie können die Funktion Bring Your Own BigQuery (BYOBQ) auch aktivieren und konfigurieren, indem Sie SIEM-Einstellungen > Datenexport auswählen.

Google SecOps exportiert die folgenden Datenkategorien in Ihr BigQuery-Projekt:

udm_events: Logdaten, die in das UDM-Schema normalisiert wurden.
udm_events_aggregates: Aggregierte Daten, die nach jeder Stunde normalisierter Ereignisse zusammengefasst werden.
entity_graph: Der Entity-Graph hat drei Dimensionen: Kontextdaten, abgeleitete Daten und globaler Kontext. Alle Kontextdaten und abgeleiteten Daten sowie ein Teil der globalen Kontextdaten werden als UDM-Daten geschrieben und gespeichert.
rule_detections: Erkennungen, die von Regeln zurückgegeben werden, die in Google SecOps ausgeführt werden.
ioc_matches: IOC-Übereinstimmungen, die für UDM-Ereignisse gefunden werden.
ingestion_metrics: Messwerte für die Pipeline für die Aufnahme und Normalisierung (werden standardmäßig exportiert).
udm_enum_value_to_name_mapping: ordnet Enum-Werte UDM-Feldnamen zu (standardmäßig exportiert).
entity_enum_value_to_name_mapping: ordnet Enum-Werte Entitätsfeldnamen zu (wird standardmäßig exportiert).

Aufbewahrungsdauer

Wenn Sie bereits Kunde sind, wird durch den von Ihnen festgelegten Aufbewahrungszeitraum bestimmt, wie lange die exportierten Daten für Ihr BigQuery-Projekt im von Google verwalteten Projekt verbleiben.

Die Aufbewahrungsfrist beginnt mit dem Datum des ältesten exportierten Datensatzes. Sie können für jede Datenquelle einen separaten Aufbewahrungszeitraum konfigurieren, der maximal dem Standardaufbewahrungszeitraum für Logs in Google SecOps entspricht.

Wenn kein Aufbewahrungszeitraum angegeben ist, werden Daten standardmäßig weiterhin exportiert, ohne dass sie bereinigt oder dauerhaft gelöscht werden.

In diesem Fall können Sie die Aufbewahrungsdauer auf Unbegrenzt festlegen:

Klicken Sie auf SIEM-Einstellungen > Datenexport.
Wählen Sie in der Tabelle Datenexport in der Spalte Aufbewahrungszeitraum für den entsprechenden Datentyp Unbegrenzt aus der Liste aus.

Anschließend können Sie in Ihrem Google Cloud Storage-Bucket eine Regel für den Objektlebenszyklus einrichten, um Objekte nach Bedarf zu löschen.

Datenmigration für Bestandskunden

Wenn Sie ein bestehender Kunde sind, werden Ihre Daten aus dem vorhandenen von Google verwalteten Projekt nicht in das selbstverwaltete Projekt migriert. Da keine Daten migriert werden, befinden sich Ihre Daten in zwei separaten Projekten. Wenn Sie die Daten für einen Zeitraum abfragen möchten, der das Aktivierungsdatum des selbstverwalteten Projekts umfasst, müssen Sie eine der folgenden Aktionen ausführen:

Verwenden Sie eine einzelne Abfrage, mit der Daten aus beiden Projekten zusammengeführt werden.
Führen Sie zwei separate Abfragen für die jeweiligen Projekte aus: eine für Daten vor dem Aktivierungsdatum des selbstverwalteten Projekts und eine für Daten danach. Wenn der Aufbewahrungszeitraum für Ihr von Google verwaltetes Projekt abläuft, werden die entsprechenden Daten gelöscht. Danach können Sie nur noch Daten abfragen, die sich in Ihrem Google Cloud-Projekt befinden.

Erforderliche Berechtigungen zum Exportieren von Daten

Wenn Sie auf Ihre BigQuery-Daten zugreifen möchten, müssen Sie Ihre Abfragen in BigQuery ausführen. Weisen Sie allen Nutzern, die Zugriff benötigen, die folgenden IAM-Rollen zu:

BigQuery-Datenbetrachter (roles/bigquery.dataViewer)
BigQuery-Jobnutzer (roles/bigquery.jobUser)
Storage-Objekt-Betrachter (roles/storage.objectViewer) Sie können Rollen auch auf Dataset-Ebene zuweisen. Weitere Informationen finden Sie unter BigQuery-IAM-Rollen und -Berechtigungen.

BigQuery-Datenexport in Ihr selbstverwaltetes Projekt starten

Erstellen Sie ein Google Cloud Projekt, in das Sie Ihre Daten exportieren möchten. Weitere Informationen finden Sie unter Google Cloud -Projekt für Google SecOps konfigurieren.

Hinweis :Das selbstverwaltete Projekt muss mit der Google SecOps-Instanz verknüpft sein. Nach der Aktivierung dieser Funktion können Sie nicht mehr zu einem von Google verwalteten Projekt zurückkehren.
Verknüpfen Sie Ihr selbstverwaltetes Projekt mit Ihrer Google SecOps-Instanz, um eine Verbindung zwischen Google SecOps und Ihrem selbstverwalteten Projekt herzustellen. Weitere Informationen finden Sie unter Google Security Operations mit Google Cloud -Diensten verknüpfen. Sie können die Funktion Bring Your Own BigQuery (BYOBQ) auch aktivieren und konfigurieren, indem Sie SIEM-Einstellungen > Datenexport auswählen.
Wenn Sie prüfen möchten, ob die Daten in Ihr selbst verwaltetes Projekt exportiert wurden, sehen Sie sich die Tabellen im Dataset datalake in BigQuery an.

Sie können Ad-hoc-Abfragen für Google SecOps-Daten schreiben, die in BigQuery-Tabellen gespeichert sind. Sie können auch erweiterte Analysen mit anderen Drittanbietertools erstellen, die in BigQuery eingebunden sind.

Alle Ressourcen, die in Ihrem selbstverwalteten Google Cloud Projekt zum Aktivieren von Exporten erstellt werden, einschließlich Cloud Storage-Bucket und BigQuery-Tabellen, befinden sich in derselben Region wie Google SecOps.

Wenn Sie beim Abfragen von BigQuery einen Fehler wie Unrecognized name: <field_name> at [<some_number>:<some_number>] erhalten, bedeutet das, dass das Feld, auf das Sie zugreifen möchten, nicht in Ihrem Dataset enthalten ist, da Ihr Schema während des Exportvorgangs dynamisch generiert wird.

Weitere Informationen zu Google SecOps-Daten in BigQuery finden Sie unter Google SecOps-Daten in BigQuery.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten