Datos de Google SecOps en BigQuery

Google SecOps proporciona un lago de datos gestionado de telemetría normalizada y enriquecida con información sobre amenazas mediante la exportación de datos a BigQuery. Esto te permite hacer lo siguiente:

• Ejecuta consultas ad hoc directamente en BigQuery.
• Usa tus propias herramientas de inteligencia empresarial, como Looker o Microsoft Power BI, para crear paneles de control, informes y analíticas.
• Combina datos de Google SecOps con conjuntos de datos de terceros.
• Realiza análisis con herramientas de ciencia de datos o aprendizaje automático.
• Generar informes con paneles de control predeterminados y personalizados.

Google SecOps exporta las siguientes categorías de datos a BigQuery:

• Registros de eventos de UDM: registros de UDM creados a partir de los datos de registro que han insertado los clientes. Estos registros se enriquecen con información de alias.
• Coincidencias de reglas (detecciones): instancias en las que una regla coincide con uno o varios eventos.
• Coincidencias de IoC: artefactos (por ejemplo, dominios o direcciones IP) de eventos que coinciden con feeds de indicadores de compromiso (IoC). Esto incluye las coincidencias de feeds globales y de feeds específicos de clientes.
• Métricas de ingesta: incluyen estadísticas, como el número de líneas de registro ingeridas, el número de eventos producidos a partir de los registros, el número de errores de registro que indican que no se han podido analizar los registros y el estado de los reenviadores de Google SecOps. Para obtener más información, consulta el esquema de BigQuery de las métricas de ingestión.
• Gráfico de entidades y relaciones entre entidades: almacena la descripción de las entidades y sus relaciones con otras entidades.

Descripción general de las tablas

Google SecOps crea el conjunto de datos datalake en BigQuery y las siguientes tablas:

• entity_enum_value_to_name_mapping: en el caso de los tipos enumerados de la tabla entity_graph, asigna los valores numéricos a los valores de cadena.
• entity_graph: almacena datos sobre entidades de UDM.
• events: almacena datos sobre eventos de UDM.
• ingestion_metrics: almacena estadísticas relacionadas con la ingestión y la normalización de datos de fuentes de ingestión específicas, como los reenviadores de Google SecOps, los feeds y la API Ingestion.
• ioc_matches: almacena las coincidencias de IOC encontradas en los eventos de UDM.
• job_metadata: una tabla interna que se usa para monitorizar la exportación de datos a BigQuery.
• rule_detections: almacena las detecciones devueltas por las reglas ejecutadas en Google SecOps.
• rulesets: almacena información sobre las detecciones seleccionadas de Google SecOps, incluida la categoría a la que pertenece cada conjunto de reglas, si está habilitado y el estado de las alertas.
• udm_enum_value_to_name_mapping: en el caso de los tipos enumerados de la tabla de eventos, asigna los valores numéricos a los valores de cadena.
• udm_events_aggregates: almacena datos agregados resumidos por hora de eventos normalizados.

Acceder a los datos de BigQuery

Puedes ejecutar consultas directamente en BigQuery o conectar tu propia herramienta de inteligencia empresarial, como Looker o Microsoft Power BI, a BigQuery.

Para habilitar el acceso a la instancia de BigQuery, usa la API Google SecOps BigQuery Access. Puedes proporcionar una dirección de correo electrónico de un usuario o de un grupo que te pertenezca. Si configuras el acceso a un grupo, úsalo para gestionar qué miembros del equipo pueden acceder a la instancia de BigQuery.

Para conectar Looker u otra herramienta de inteligencia empresarial a BigQuery, ponte en contacto con tu representante de Google SecOps para obtener las credenciales de la cuenta de servicio que te permitan conectar una aplicación al conjunto de datos de BigQuery de Google SecOps. La cuenta de servicio tendrá los roles de gestión de identidades y accesos Lector de datos de BigQuery (roles/bigquery.dataViewer) y Lector de tareas de BigQuery (roles/bigquery.jobUser).

Siguientes pasos

• Consulte más información sobre los siguientes esquemas:
  • events
  • ingestion_metrics
• Para obtener información sobre cómo acceder a BigQuery y ejecutar consultas en esta herramienta, consulta Ejecutar tareas de consulta interactivas y por lotes.
• Para obtener información sobre cómo consultar tablas con particiones, consulta Consultar tablas con particiones.
• Para obtener información sobre cómo conectar Looker a BigQuery, consulte la documentación de Looker sobre cómo conectarse a BigQuery.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.