Cette page a été traduite par l'API Cloud Translation.

Données Google SecOps dans BigQuery

Compatible avec :

Google SecOps SIEM

Google SecOps fournit un lac de données géré de télémétrie normalisée et enrichie en renseignements sur les menaces en exportant les données vers BigQuery. Vous pouvez ainsi effectuer les opérations suivantes :

Exécutez des requêtes ponctuelles directement dans BigQuery.
Utilisez vos propres outils d'informatique décisionnelle, tels que Looker ou Microsoft Power BI, pour créer des tableaux de bord, des rapports et des analyses.
Associez les données Google SecOps à des ensembles de données tiers.
Exécutez des analyses à l'aide d'outils de data science ou de machine learning.
Exécutez des rapports à l'aide de tableaux de bord par défaut prédéfinis et de tableaux de bord personnalisés.

Google SecOps exporte les catégories de données suivantes vers BigQuery :

Enregistrements d'événements UDM : enregistrements UDM créés à partir des données de journaux ingérées par les clients. Ces enregistrements sont enrichis avec des informations sur les alias.
Correspondances de règles (détections) : instances où une règle correspond à un ou plusieurs événements.
Correspondances IoC : artefacts (par exemple, domaines, adresses IP) provenant d'événements correspondant aux flux d'indicateurs de compromission (IoC). Cela inclut les correspondances avec les flux mondiaux et ceux spécifiques aux clients.
Les métriques d'ingestion incluent des statistiques telles que le nombre de lignes de journaux ingérées, le nombre d'événements produits à partir des journaux, le nombre d'erreurs de journaux indiquant que les journaux n'ont pas pu être analysés et l'état des redirecteurs Google SecOps. Pour en savoir plus, consultez la page Schéma BigQuery des métriques d'ingestion.
Graphique d'entités et relations entre entités : stocke la description des entités et de leurs relations avec d'autres entités.

Présentation des tables

Google SecOps crée l'ensemble de données datalake dans BigQuery et les tables suivantes :

entity_enum_value_to_name_mapping : pour les types énumérés dans le tableau entity_graph, mappe les valeurs numériques aux valeurs de chaîne.
entity_graph : stocke les données sur les entités UDM.
events : stocke les données sur les événements UDM.
ingestion_metrics : stocke les statistiques liées à l'ingestion et à la normalisation des données provenant de sources d'ingestion spécifiques, telles que les forwarders Google SecOps, les flux et l'API Ingestion.
ioc_matches : stocke les correspondances IoC trouvées par rapport aux événements UDM.
job_metadata : table interne utilisée pour suivre l'exportation des données vers BigQuery.
rule_detections : stocke les détections renvoyées par les règles exécutées dans Google SecOps.
rulesets : stocke des informations sur les détections sélectionnées de Google SecOps, y compris la catégorie à laquelle appartient chaque ensemble de règles, s'il est activé et l'état actuel des alertes.
udm_enum_value_to_name_mapping : pour les types énumérés dans la table "events", mappe les valeurs numériques aux valeurs de chaîne.
udm_events_aggregates : stocke les données agrégées résumées par heure des événements normalisés.

Accéder aux données dans BigQuery

Vous pouvez exécuter des requêtes directement dans BigQuery ou connecter votre propre outil de business intelligence, tel que Looker ou Microsoft Power BI, à BigQuery.

Pour activer l'accès à l'instance BigQuery, utilisez l'interface de ligne de commande Google SecOps ou l'API Google SecOps BigQuery Access. Vous pouvez fournir l'adresse e-mail d'un utilisateur ou d'un groupe dont vous êtes propriétaire. Si vous configurez l'accès à un groupe, utilisez-le pour gérer les membres de l'équipe qui peuvent accéder à l'instance BigQuery.

Pour connecter Looker ou un autre outil de informatique décisionnelle à BigQuery, contactez votre représentant Google SecOps afin d'obtenir les identifiants du compte de service qui vous permettront de connecter une application à l'ensemble de données Google SecOps BigQuery. Le compte de service disposera des rôles IAM Lecteur de données BigQuery (roles/bigquery.dataViewer) et Lecteur de job BigQuery (roles/bigquery.jobUser).

Étapes suivantes

En savoir plus sur les schémas suivants :
- events
- ingestion_metrics
Pour savoir comment accéder aux requêtes et les exécuter dans BigQuery, consultez Exécuter des tâches de requête interactives et par lot.
Pour savoir comment interroger des tables partitionnées, consultez Interroger des tables partitionnées.
Pour savoir comment connecter Looker à BigQuery, consultez la documentation Looker sur la connexion à BigQuery.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.