Diese Seite wurde von der Cloud Translation API übersetzt.

Datenexport in BigQuery in einem selbst verwalteten Projekt konfigurieren Google Cloud

Mit Google Security Operations können Sie UDM-Daten (Unified Data Model) in ein selbst verwaltetes Projekt exportieren, das Ihnen gehört und das Sie verwalten. Sie können Ihr eigenes Google Cloud Projekt mit Ihrer Google SecOps-Instanz verknüpfen und IAM-Berechtigungen unabhängig verwalten, ohne von von Google verwalteten Einstellungen abhängig zu sein. Sie können auch die Funktion Bring Your Own BigQuery (BYOBQ) aktivieren und konfigurieren. Wählen Sie dazu SIEM-Einstellungen > Datenexport aus.

Google SecOps exportiert die folgenden Datenkategorien in Ihr BigQuery-Projekt:

udm_events: Logdaten, die im UDM-Schema normalisiert wurden.
udm_events_aggregates: Aggregierte Daten, die jede Stunde normalisierter Ereignisse zusammenfassen.
entity_graph: Das Entitätsdiagramm hat drei Dimensionen: Kontextdaten, abgeleitete Daten und globaler Kontext. Alle Kontextdaten und abgeleiteten Daten sowie ein Teil der globalen Kontextdaten werden als UDM geschrieben und gespeichert.
rule_detections: Erkennungen, die von Regeln zurückgegeben werden, die in Google SecOps ausgeführt werden.
ioc_matches: IOC-Übereinstimmungen, die mit UDM-Ereignissen gefunden werden.
ingestion_metrics: Messwerte im Zusammenhang mit der Datenaufnahme- und ‑normalisierungspipeline (standardmäßig exportiert)
udm_enum_value_to_name_mapping: Ordnet Enum-Werte UDM-Feldnamen zu (standardmäßig exportiert).
entity_enum_value_to_name_mapping: Ordnet Enum-Werte Entitätsfeldnamen zu (standardmäßig exportiert).

Aufbewahrungsdauer

Wenn Sie diese Funktion aktivieren, bleiben die BigQuery-Daten, die in Ihr von Google verwaltetes Projekt exportiert wurden, für den angegebenen Zeitraum im jeweiligen Projekt.

Die Aufbewahrungsfrist beginnt am Datum des frühesten Datenexports:

Die Aufbewahrungsdauer für den BigQuery-Export kann für jede Datenquelle konfiguriert werden. Sie kann auf eine maximale Aufbewahrungsdauer festgelegt werden, die der standardmäßigen Aufbewahrungsdauer von Protokollen in Google SecOps entspricht.
Wenn keine Aufbewahrungsdauer angegeben ist, werden Daten standardmäßig ohne Bereinigung oder Löschen exportiert, um die Aufbewahrungsdauer zu begrenzen. In diesem Fall können Sie direkt benutzerdefinierte Aufbewahrungsrichtlinien für den Cloud Storage-Bucket erstellen, in dem Daten in das BYOP-Projekt exportiert werden, um sie als externe Tabelle in BigQuery zu verwenden.

Datenmigration für Bestandskunden

Wenn Sie bereits Kunde sind, werden Ihre Daten aus dem vorhandenen von Google verwalteten Projekt nicht in das selbst verwaltete Projekt migriert. Da die Daten nicht migriert werden, befinden sie sich in zwei separaten Projekten. Wenn Sie die Daten für einen Zeitraum abrufen möchten, der das Datum der Aktivierung des selbst verwalteten Projekts enthält, müssen Sie eine der folgenden Aktionen ausführen:

Verwenden Sie eine einzelne Abfrage, die Daten aus beiden Projekten zusammenführt.
Führen Sie zwei separate Abfragen für die jeweiligen Projekte aus, eine für Daten vor dem Aktivierungsdatum des selbstverwalteten Projekts und eine für Daten danach. Nach Ablauf der Aufbewahrungsdauer für Ihr von Google verwaltetes Projekt werden diese Daten gelöscht. Danach können Sie nur noch Daten abfragen, die sich in Ihrem Projekt befinden. Google Cloud

Erforderliche Berechtigungen für den Datenexport

Wenn Sie auf Ihre BigQuery-Daten zugreifen möchten, müssen Sie die Abfragen in BigQuery selbst ausführen. Weisen Sie allen Nutzern, die Zugriff benötigen, die folgenden IAM-Rollen zu:

BigQuery-Datenbetrachter (roles/bigquery.dataViewer)
BigQuery-Jobnutzer (roles/bigquery.jobUser)
Storage-Objekt-Betrachter (roles/storage.objectViewer) Sie können Rollen auch auf Datasetebene zuweisen. Weitere Informationen finden Sie unter BigQuery-IAM-Rollen und -Berechtigungen.

BigQuery-Datenexport in Ihr selbst verwaltetes Projekt initiieren

Erstellen Sie ein Google Cloud Projekt, in das Ihre Daten exportiert werden sollen. Weitere Informationen finden Sie unter Google Cloud Projekt für Google SecOps konfigurieren.

Hinweis :Das selbstverwaltete Projekt muss mit der Google SecOps-Instanz verknüpft sein. Wenn diese Funktion aktiviert ist, können Sie nicht mehr zu einem von Google verwalteten Projekt zurückkehren.
Verknüpfen Sie Ihr selbst verwaltetes Projekt mit Ihrer Google SecOps-Instanz, um eine Verbindung zwischen Google SecOps und Ihrem selbst verwalteten Projekt herzustellen. Weitere Informationen finden Sie unter Google Security Operations mit Google Cloud -Diensten verknüpfen. Sie können auch die Funktion Bring Your Own BigQuery (BYOBQ) aktivieren und konfigurieren, indem Sie SIEM-Einstellungen > Datenexport auswählen.
Prüfen Sie in BigQuery in den Tabellen unter dem datalake-Dataset, ob die Daten in Ihr selbst verwaltetes Projekt exportiert wurden.

Sie können Ad-hoc-Abfragen für in BigQuery-Tabellen gespeicherte Google SecOps-Daten schreiben. Sie können auch erweiterte Analysen mit anderen Tools von Drittanbietern erstellen, die in BigQuery eingebunden sind.

Alle Ressourcen, die in Ihrem selbst verwalteten Google Cloud -Projekt zum Ermöglichen von Exporten erstellt wurden, einschließlich Cloud Storage-Bucket und BigQuery-Tabellen, befinden sich in derselben Region wie Google SecOps.

Wenn Sie bei der Abfrage von BigQuery einen Fehler wie Unrecognized name: <field_name> at [<some_number>:<some_number>] erhalten, bedeutet das, dass das Feld, auf das Sie zugreifen möchten, nicht in Ihrem Dataset enthalten ist. Das liegt daran, dass Ihr Schema während des Exportprozesses dynamisch generiert wird.

Weitere Informationen zu Google SecOps-Daten in BigQuery finden Sie unter Google SecOps-Daten in BigQuery.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten