Diese Seite wurde von der Cloud Translation API übersetzt.

Google SecOps-Daten in BigQuery

Unterstützt in:

Google SecOps SIEM

Google SecOps bietet einen verwalteten Data Lake mit normalisierten und mit Threat Intelligence angereicherten Telemetriedaten, indem Daten nach BigQuery exportiert werden. Damit haben Sie folgende Möglichkeiten:

Ad-hoc-Abfragen direkt in BigQuery ausführen
Sie können Ihre eigenen Business-Intelligence-Tools wie Looker oder Microsoft Power BI verwenden, um Dashboards, Berichte und Analysen zu erstellen.
Google SecOps-Daten mit Drittanbieter-Datasets zusammenführen
Analysen mit Data Science- oder Machine Learning-Tools ausführen
Berichte mit vordefinierten Standard- und benutzerdefinierten Dashboards erstellen

Google SecOps exportiert die folgenden Datenkategorien nach BigQuery:

UDM-Ereignisdatensätze:UDM-Datensätze, die aus Logdaten erstellt wurden, die von Kunden aufgenommen wurden. Diese Datensätze werden mit Aliasinformationen angereichert.
Regelabgleich (Erkennungen): Instanzen, in denen eine Regel mit einem oder mehreren Ereignissen übereinstimmt.
IoC-Übereinstimmungen: Artefakte (z. B. Domains, IP-Adressen) aus Ereignissen, die mit IoC-Feeds (Indicator of Compromise) übereinstimmen. Dazu gehören Übereinstimmungen mit globalen Feeds und kundenspezifischen Feeds.
Aufnahmemesswerte:Dazu gehören Statistiken wie die Anzahl der aufgenommenen Logzeilen, die Anzahl der aus Logs erstellten Ereignisse, die Anzahl der Logfehler, die darauf hinweisen, dass Logs nicht geparst werden konnten, und der Status von Google SecOps-Forwardern. Weitere Informationen finden Sie unter BigQuery-Schema für Aufnahmemesswerte.
Entitätsdiagramm und Entitätsbeziehungen: Hier wird die Beschreibung von Entitäten und ihren Beziehungen zu anderen Entitäten gespeichert.

Übersicht über die Tabellen

Google SecOps erstellt das Dataset datalake in BigQuery und die folgenden Tabellen:

entity_enum_value_to_name_mapping: Für aufgezählte Typen in der Tabelle entity_graph werden die numerischen Werte den Stringwerten zugeordnet.
entity_graph: Speichert Daten zu UDM-Entitäten.
events: Speichert Daten zu UDM-Ereignissen.
ingestion_metrics: Speichert Statistiken zur Aufnahme und Normalisierung von Daten aus bestimmten Aufnahmequellen wie Google SecOps-Forwardern, Feeds und der Ingestion API.
ioc_matches: Speichert IOC-Übereinstimmungen, die für UDM-Ereignisse gefunden wurden.
job_metadata: Eine interne Tabelle, die zum Nachverfolgen des Exports von Daten nach BigQuery verwendet wird.
rule_detections: Speichert Erkennungen, die von Regeln zurückgegeben werden, die in Google SecOps ausgeführt werden.
rulesets: Speichert Informationen zu von Google SecOps kuratierten Erkennungen, einschließlich der Kategorie, zu der jeder Regelsatz gehört, ob er aktiviert ist und des aktuellen Benachrichtigungsstatus.
udm_enum_value_to_name_mapping: Ordnet für aufgezählte Typen in der Tabelle „events“ die numerischen Werte den Stringwerten zu.
udm_events_aggregates: Speichert aggregierte Daten, die nach Stunde der normalisierten Ereignisse zusammengefasst werden.

Auf Daten in BigQuery zugreifen

Sie können Abfragen direkt in BigQuery ausführen oder Ihr eigenes Business-Intelligence-Tool wie Looker oder Microsoft Power BI mit BigQuery verbinden.

Verwenden Sie entweder die Google SecOps-Befehlszeile oder die Google SecOps BigQuery Access API, um den Zugriff auf die BigQuery-Instanz zu aktivieren. Sie können eine E‑Mail-Adresse für einen Nutzer oder eine Gruppe angeben, deren Inhaber Sie sind. Wenn Sie den Zugriff auf eine Gruppe konfigurieren, verwenden Sie die Gruppe, um zu verwalten, welche Teammitglieder auf die BigQuery-Instanz zugreifen können.

Wenn Sie Looker oder ein anderes Business Intelligence-Tool mit BigQuery verbinden möchten, wenden Sie sich an Ihren Google SecOps-Ansprechpartner, um Dienstkontoanmeldedaten zu erhalten, mit denen Sie eine Anwendung mit dem Google SecOps-BigQuery-Dataset verbinden können. Dem Dienstkonto wird die IAM-Rolle „BigQuery-Datenbetrachter“ (roles/bigquery.dataViewer) und „BigQuery-Jobbetrachter“ (roles/bigquery.jobUser) zugewiesen.

Nächste Schritte

Weitere Informationen zu den folgenden Schemas:
- events
- ingestion_metrics
Informationen zum Zugriff auf und zum Ausführen von Abfragen in BigQuery finden Sie unter Interaktive und Batch-Abfragejobs ausführen.
Informationen zum Abfragen partitionierter Tabellen finden Sie unter Partitionierte Tabellen abfragen.
Informationen zum Verbinden von Looker mit BigQuery finden Sie in der Looker-Dokumentation unter Verbindung zu BigQuery herstellen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten