Dati Google SecOps in BigQuery

Supportato in:

Google SecOps fornisce un data lake gestito di dati di telemetria normalizzati e arricchiti con informazioni sulle minacce esportando i dati in BigQuery. In questo modo potrai:

  • Esegui query ad hoc direttamente in BigQuery.
  • Utilizza i tuoi strumenti di business intelligence, come Looker o Microsoft Power BI, per creare dashboard, report e analisi.
  • Combina i dati di Google SecOps con set di dati di terze parti.
  • Esegui analisi utilizzando strumenti di data science o machine learning.
  • Genera report utilizzando dashboard predefinite e personalizzate.

Google SecOps esporta in BigQuery le seguenti categorie di dati:

  • Record di eventi UDM:record UDM creati dai dati di log inseriti dai clienti. Questi record sono arricchiti con informazioni sugli alias.
  • Corrispondenze delle regole (rilevamenti): istanze in cui una regola corrisponde a uno o più eventi.
  • Corrispondenze IoC: artefatti (ad esempio domini, indirizzi IP) provenienti da eventi che corrispondono ai feed degli indicatori di compromissione (IoC). Sono incluse le corrispondenze dei feed globali e di quelli specifici per i clienti.
  • Metriche di importazione:includono statistiche, ad esempio il numero di righe di log importate, il numero di eventi prodotti dai log, il numero di errori di log che indicano che i log non sono stati analizzati e lo stato dei forwarder Google SecOps. Per ulteriori informazioni, vedi Schema BigQuery delle metriche di importazione.
  • Grafico delle entità e relazioni tra entità: memorizza la descrizione delle entità e le loro relazioni con altre entità.

Panoramica delle tabelle

Google SecOps crea il set di dati datalake in BigQuery e le seguenti tabelle:

  • entity_enum_value_to_name_mapping: per i tipi enumerati nella tabella entity_graph, mappa i valori numerici ai valori stringa.
  • entity_graph: memorizza i dati sulle entità UDM.
  • events: archivia i dati sugli eventi UDM.
  • ingestion_metrics: memorizza le statistiche relative all'importazione e alla normalizzazione dei dati provenienti da fonti di importazione specifiche, come i forwarder Google SecOps, i feed e l'API Ingestion.
  • ioc_matches: memorizza le corrispondenze IOC trovate rispetto agli eventi UDM.
  • job_metadata: una tabella interna utilizzata per monitorare l'esportazione dei dati in BigQuery.
  • rule_detections: memorizza i rilevamenti restituiti dalle regole eseguite in Google SecOps.
  • rulesets: memorizza informazioni sui rilevamenti curati di Google SecOps, inclusi la categoria a cui appartiene ogni insieme di regole, se è abilitato e lo stato attuale degli avvisi.
  • udm_enum_value_to_name_mapping: per i tipi enumerati nella tabella degli eventi, mappa i valori numerici ai valori stringa.
  • udm_events_aggregates: memorizza i dati aggregati riepilogati per ora degli eventi normalizzati.

Accedere ai dati in BigQuery

Puoi eseguire query direttamente in BigQuery o connettere il tuo strumento di business intelligence, come Looker o Microsoft Power BI, a BigQuery.

Per abilitare l'accesso all'istanza BigQuery, utilizza l'interfaccia a riga di comando Google SecOps o l'API Google SecOps BigQuery Access. Puoi fornire un indirizzo email per un utente o un gruppo di tua proprietà. Se configuri l'accesso a un gruppo, utilizza il gruppo per gestire i membri del team che possono accedere all'istanza BigQuery.

Per connettere Looker o un altro strumento di business intelligence a BigQuery, contatta il tuo rappresentante di Google SecOps per ottenere le credenziali delaccount di serviziot che ti consentono di connettere un'applicazione al set di dati BigQuery di Google SecOps. L'account di servizio avrà il ruolo IAM BigQuery Data Viewer (roles/bigquery.dataViewer) e il ruolo BigQuery Job Viewer (roles/bigquery.jobUser).

Passaggi successivi

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.