Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare l'esportazione dei dati in BigQuery in un progetto Google Cloud autonomo

Google Security Operations ti consente di esportare i dati del modello di dati unificato (UDM) in un progetto di tua proprietà e gestione. Puoi utilizzare esclusivamente un progetto autogestito collegato alla tua istanza Google SecOps e configurare in modo indipendente le autorizzazioni IAM senza fare affidamento su Google.

Google SecOps esporta le seguenti categorie di dati nel progetto BigQuery:

udm_events: dati di log normalizzati nello schema UDM.
udm_events_aggregates: dati aggregati che vengono riassunti per ogni ora di eventi normalizzati.
entity_graph: il grafico delle entità contiene tre dimensioni (dati contestuali, dati derivati e contesto globale). Tutti i dati contestuali e i dati dedotti, nonché parte dei dati di contesto globale, sono dati scritti e archiviati come UDM.
rule_detections: rilevamenti restituiti dalle regole eseguite in Google SecOps.
ioc_matches: corrispondenze IOC trovate in base agli eventi UDM.
ingestion_metrics: metriche relative alla pipeline di importazione e normalizzazione.
udm_enum_value_to_name_mapping: mappa i valori enumerati ai nomi dei campi UDM (esportati per impostazione predefinita).
entity_enum_value_to_name_mapping: mappa i valori enumerati ai nomi dei campi delle entità (esportati per impostazione predefinita).

Periodo di conservazione

Se sei un cliente esistente e attivi questa funzionalità, i dati BigQuery esportati nel tuo progetto gestito da Google rimangono nel rispettivo progetto per il periodo di conservazione specificato.

Il periodo di conservazione inizia dalla data dell'esportazione dei dati più antica:

Il periodo di conservazione per l'esportazione in BigQuery è configurabile in base all'origine dati e può essere impostato su un periodo di conservazione massimo equivalente al periodo di conservazione dei log predefinito in Google SecOps.
Se non viene specificato alcun periodo di conservazione, il comportamento predefinito è continuare a esportare i dati senza pulizia o eliminazione definitiva, per limitare il periodo di conservazione. In questo caso, puoi creare direttamente criteri di conservazione personalizzati per il bucket Cloud Storage, dove i dati vengono esportati nel progetto Bring Your Own Project (BYOP) per il consumo come tabella esterna in BigQuery.

Migrazione dei dati per i clienti esistenti

Se sei già un cliente, i dati del progetto gestito da Google esistente non vengono migrati al progetto autonomo. Poiché non è stata eseguita la migrazione dei dati, questi si trovano in due progetti distinti. Per eseguire query sui dati in un intervallo di tempo che include la data di attivazione del progetto autonomo, devi completare una delle seguenti azioni:

Utilizza una singola query che unisce i dati di entrambi i progetti.
Esegui due query separate sui rispettivi progetti, una per i dati precedenti alla data di attivazione del progetto autogestito e una per i dati successivi. Alla scadenza del periodo di conservazione del progetto gestito da Google, i dati vengono eliminati. Dopodiché potrai eseguire query solo sui dati all'interno del tuo Google Cloud progetto.

Autorizzazioni necessarie per esportare i dati

Per accedere ai dati BigQuery, esegui le query all'interno di BigQuery. Assegna i seguenti ruoli IAM a qualsiasi utente che ha bisogno di accedere:

Visualizzatore dati BigQuery (roles/bigquery.dataViewer)
Utente job BigQuery (roles/bigquery.jobUser)
Visualizzatore oggetti Storage (roles/storage.objectViewer) Puoi anche assegnare i ruoli a livello di set di dati. Per ulteriori informazioni, consulta Ruoli e autorizzazioni IAM di BigQuery.

Avvia l'esportazione dei dati di BigQuery nel tuo progetto autonomo

Crea un Google Cloud progetto in cui vuoi esportare i dati. Per saperne di più, vedi Configurare un Google Cloud progetto per Google SecOps.

Nota: il progetto autonomo deve essere collegato all'istanza Google SecOps. Una volta attivata questa funzionalità, non puoi ripristinare un progetto gestito da Google.
Collega il progetto autonomo all'istanza Google SecOps per stabilire una connessione tra Google SecOps e il progetto autonomo. Per ulteriori informazioni, vedi Collegare Google Security Operations ai Google Cloud servizi. Dopo che il rappresentante di Google SecOps ha attivato l'esportazione per i dati selezionati, inizia la procedura di esportazione dei dati.
Per verificare che i dati vengano esportati nel tuo progetto autonomo, controlla le tabelle nel set di dati datalake in BigQuery.

Puoi scrivere query ad hoc sui dati di Google SecOps archiviati nelle tabelle BigQuery. Puoi anche creare analisi più avanzate utilizzando altri strumenti di terze parti integrati con BigQuery.

Tutte le risorse create nel tuo progetto Google Cloud autonomo per abilitare le esportazioni, inclusi il bucket Cloud Storage e le tabelle BigQuery, si trovano nella stessa regione di Google SecOps.

Se ricevi un errore come Unrecognized name: <field_name> at [<some_number>:<some_number>] quando esegui query su BigQuery, significa che il campo a cui stai tentando di accedere non è nel tuo set di dati e che lo schema viene generato dinamicamente durante il processo di esportazione.

Per ulteriori informazioni sui dati di Google SecOps in BigQuery, consulta Dati di Google SecOps in BigQuery.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.