Se usó la API de Cloud Translation para traducir esta página.

Datos de SecOps de Google en BigQuery

Compatible con:

Google SecOps SIEM

Google SecOps proporciona un data lake administrado de telemetría normalizada y enriquecida con inteligencia sobre amenazas a través de la exportación de datos a BigQuery. Esto te permite hacer lo siguiente:

Ejecuta consultas ad hoc directamente en BigQuery.
Usa tus propias herramientas de inteligencia empresarial, como Looker o Microsoft Power BI, para crear paneles, informes y análisis.
Unir los datos de Google SecOps con conjuntos de datos de terceros
Ejecuta análisis con herramientas de ciencia de datos o aprendizaje automático.
Ejecuta informes con paneles predeterminados y personalizados.

Google SecOps exporta las siguientes categorías de datos a BigQuery:

Registros de eventos de UDM: Son registros de UDM creados a partir de los datos de registro que los clientes transfieren. Estos registros se enriquecen con información de alias.
Coincidencias de reglas (detecciones): Son las instancias en las que una regla coincide con uno o más eventos.
Coincidencias de IoC: Son artefactos (por ejemplo, dominios o direcciones IP) de eventos que coinciden con los feeds de indicadores de compromiso (IoC). Esto incluye las coincidencias con los feeds globales y los feeds específicos del cliente.
Las métricas de transferencia incluyen estadísticas, como la cantidad de líneas de registro transferidas, la cantidad de eventos producidos a partir de los registros, la cantidad de errores de registro que indican que no se pudieron analizar los registros y el estado de los reenvíos de Google SecOps. Para obtener más información, consulta Esquema de BigQuery de las métricas de transferencia.
Gráfico de entidades y relaciones entre entidades: Almacena la descripción de las entidades y sus relaciones con otras entidades.

Descripción general de las tablas

Google SecOps crea el conjunto de datos datalake en BigQuery y las siguientes tablas:

entity_enum_value_to_name_mapping: Para los tipos enumerados en la tabla entity_graph, asigna los valores numéricos a los valores de cadena.
entity_graph: Almacena datos sobre las entidades del UDM.
events: Almacena datos sobre los eventos del UDM.
ingestion_metrics: Almacena estadísticas relacionadas con la transferencia y la normalización de datos de fuentes de transferencia específicas, como los reenviadores de Google SecOps, los feeds y la API de Ingestion.
ioc_matches: Almacena las coincidencias de IOC encontradas en los eventos de UDM.
job_metadata: Es una tabla interna que se usa para hacer un seguimiento de la exportación de datos a BigQuery.
rule_detections: Almacena las detecciones que muestran las reglas que se ejecutan en Google SecOps.
rulesets: Almacena información sobre las detecciones seleccionadas de Google SecOps, incluida la categoría a la que pertenece cada conjunto de reglas, si está habilitado y el estado actual de las alertas.
udm_enum_value_to_name_mapping: Para los tipos enumerados en la tabla de eventos, asigna los valores numéricos a los valores de cadena.
udm_events_aggregates: Almacena datos agregados resumidos por hora de eventos normalizados.

Accede a los datos en BigQuery

Puedes ejecutar consultas directamente en BigQuery o conectar tu propia herramienta de inteligencia empresarial, como Looker o Microsoft Power BI, a BigQuery.

Para habilitar el acceso a la instancia de BigQuery, usa la CLI de Google SecOps o la API de Google SecOps BigQuery Access. Puedes proporcionar una dirección de correo electrónico para un usuario o un grupo que te pertenezca. Si configuras el acceso a un grupo, usa el grupo para administrar qué miembros del equipo pueden acceder a la instancia de BigQuery.

Para conectar Looker o cualquier otra herramienta de inteligencia empresarial a BigQuery, comunícate con tu representante de SecOps de Google para obtener las credenciales de la cuenta de servicio que te permitan conectar una aplicación al conjunto de datos de BigQuery de SecOps de Google. La cuenta de servicio tendrá el rol de IAM de visualizador de datos de BigQuery (roles/bigquery.dataViewer) y el rol de visualizador de trabajos de BigQuery (roles/bigquery.jobUser).

¿Qué sigue?

Obtén más información sobre los siguientes esquemas:
- events
- ingestion_metrics
Para obtener información sobre cómo acceder a BigQuery y ejecutar consultas, consulta Ejecuta trabajos de consultas interactivas y por lotes.
Para obtener información sobre cómo consultar tablas particionadas, consulta Consulta tablas particionadas.
Para obtener información sobre cómo conectar Looker a BigQuery, consulta la documentación de Looker sobre cómo conectarse a BigQuery.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.