Data Google SecOps di BigQuery

Didukung di:

Google SecOps menyediakan data lake terkelola yang berisi telemetri yang dinormalisasi dan diperkaya dengan informasi terkait ancaman keamanan dengan mengekspor data ke BigQuery. Hal ini memungkinkan Anda melakukan hal berikut:

  • Jalankan kueri ad-hoc langsung di BigQuery.
  • Gunakan alat business intelligence Anda sendiri, seperti Looker atau Microsoft Power BI, untuk membuat dasbor, laporan, dan analisis.
  • Gabungkan data Google SecOps dengan set data pihak ketiga.
  • Jalankan analisis menggunakan alat ilmu data atau machine learning.
  • Jalankan laporan menggunakan dasbor default standar dan dasbor kustom yang telah ditentukan sebelumnya.

Google SecOps mengekspor kategori data berikut ke BigQuery:

  • Catatan peristiwa UDM: Catatan UDM yang dibuat dari data log yang di-ingest oleh pelanggan. Data ini dilengkapi dengan informasi alias.
  • Kecocokan aturan (deteksi): instance saat aturan cocok dengan satu atau beberapa peristiwa.
  • Kecocokan IoC: artefak (misalnya, domain, alamat IP) dari peristiwa yang cocok dengan feed Indikator Gangguan (IoC). Hal ini mencakup kecocokan dari feed global dan feed khusus pelanggan.
  • Metrik penyerapan: mencakup statistik, seperti jumlah baris log yang diserap, jumlah peristiwa yang dihasilkan dari log, jumlah error log yang menunjukkan bahwa log tidak dapat diuraikan, dan status penerusan Google SecOps. Untuk mengetahui informasi selengkapnya, lihat Skema BigQuery metrik penyerapan.
  • Grafik entitas dan hubungan entitas: menyimpan deskripsi entitas dan hubungannya dengan entitas lain.

Ringkasan tabel

Google SecOps membuat set data datalake di BigQuery dan tabel berikut:

  • entity_enum_value_to_name_mapping: untuk jenis yang di-enum di tabel entity_graph, memetakan nilai numerik ke nilai string.
  • entity_graph: menyimpan data tentang entity UDM.
  • events: menyimpan data tentang peristiwa UDM.
  • ingestion_metrics: menyimpan statistik terkait penyerapan dan normalisasi data dari sumber penyerapan tertentu, seperti penerusan Google SecOps, feed, dan Ingestion API.
  • ioc_matches: menyimpan kecocokan IOC yang ditemukan terhadap peristiwa UDM.
  • job_metadata: tabel internal yang digunakan untuk melacak ekspor data ke BigQuery.
  • rule_detections: menyimpan deteksi yang ditampilkan oleh aturan yang dijalankan di Google SecOps.
  • rulesets: menyimpan informasi tentang deteksi pilihan Google SecOps, termasuk kategori setiap set aturan, apakah diaktifkan, dan status pemberitahuan saat ini.
  • udm_enum_value_to_name_mapping: Untuk jenis yang di-enum di tabel events, memetakan nilai numerik ke nilai string.
  • udm_events_aggregates: menyimpan data gabungan yang diringkas menurut jam peristiwa yang dinormalisasi.

Mengakses data di BigQuery

Anda dapat menjalankan kueri secara langsung di BigQuery atau menghubungkan alat business intelligence Anda sendiri, seperti Looker atau Microsoft Power BI, ke BigQuery.

Untuk mengaktifkan akses ke instance BigQuery, gunakan Google SecOps CLI atau Google SecOps BigQuery Access API. Anda dapat memberikan alamat email untuk pengguna atau grup yang Anda miliki. Jika Anda mengonfigurasi akses ke grup, gunakan grup tersebut untuk mengelola anggota tim yang dapat mengakses instance BigQuery.

Untuk menghubungkan Looker atau alat business intelligence lain ke BigQuery, hubungi perwakilan SecOps Google Anda untuk mendapatkan kredensial akun layanan yang memungkinkan Anda menghubungkan aplikasi ke set data BigQuery SecOps Google. Akun layanan akan memiliki peran IAM BigQuery Data Viewer (roles/bigquery.dataViewer) dan peran BigQuery Job Viewer (roles/bigquery.jobUser).

Langkah berikutnya

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.