このページは Cloud Translation API によって翻訳されました。

BigQuery 内の Google SecOps データ

以下でサポートされています。

Google SecOps SIEM

Google SecOps は、BigQuery にデータをエクスポートすることで、正規化され、脅威インテリジェンスで強化されたテレメトリーデータを管理されたデータレイクとして提供します。これにより、次のことが可能になります。

BigQuery でアドホッククエリを直接実行します。
Looker や Microsoft Power BI などの独自のビジネスインテリジェンスツールを使用して、ダッシュボード、レポート、分析を作成します。
Google SecOps のデータをサードパーティのデータセットと結合します。
データサイエンスツールまたは ML ツールを使用して分析を実行します。
事前定義されたデフォルトのダッシュボードとカスタムダッシュボードを使用して、レポートを実行します。

Google SecOps は、次のカテゴリのデータを BigQuery にエクスポートします。

UDM イベントレコード: お客様が取り込んだログデータから作成された UDM レコード。これらのレコードにはエイリアス情報が追加されます。
ルールの一致（検出）: ルールが 1 つ以上のイベントと一致するインスタンス。
IoC の一致: セキュリティ侵害インジケーター（IoC）フィードに一致するイベントのアーティファクト（ドメイン、IP アドレスなど）。これには、グローバルなフィードとお客様固有のフィードからの一致が含まれます。
取り込み指標: 取り込まれたログ行の数、ログから生成されたイベントの数、ログが解析できなかったことを示すログエラーの数、Google SecOps フォワーダーの状態などの統計情報が含まれます。詳細については、取り込み指標の BigQuery スキーマをご覧ください。
エンティティグラフとエンティティ関係: エンティティの説明と、他のエンティティとの関係を保存します。

テーブルの概要

Google SecOps は BigQuery 上に datalake データセットを構築し、次のテーブルを作成します。

entity_enum_value_to_name_mapping: entity_graph テーブルの列挙型の場合、数値を文字列値にマッピングします。
entity_graph: UDM エンティティに関するデータを保存します。
events: UDM イベントに関するデータを保存します。
ingestion_metrics: Google SecOps 転送、フィード、取り込み API など、特定の取り込み元からのデータの取り込みと正規化に関連する統計情報を保存します。
ioc_matches: UDM イベントに対して検出された IOC マッチを保存します。
job_metadata: BigQuery へのデータのエクスポートを追跡するために使用される内部テーブル。
rule_detections: Google SecOps で実行されるルールによって返された検出結果を保存します。
rulesets: 各ルールセットが属するカテゴリ、カテゴリが有効になっているかどうか、現在のアラートステータスなど、Google SecOps のキュレートされた検出に関する情報を保存します。
udm_enum_value_to_name_mapping: イベントテーブルの列挙型の場合、数値を文字列値にマッピングします。
udm_events_aggregates: 正規化されたイベントの時間ごとに集計されたデータを保存します。

BigQuery のデータにアクセスする

BigQuery でクエリを直接実行することも、Looker や Microsoft Power BI などの独自のビジネスインテリジェンスツールを BigQuery に接続することもできます。

BigQuery インスタンスへのアクセスを有効にするには、Google SecOps CLI または Google SecOps BigQuery Access API を使用します。所有しているユーザーまたはグループのメールアドレスを指定できます。グループへのアクセス権を構成する場合は、グループを使用して、BigQuery インスタンスにアクセスできるチームメンバーを管理します。

Looker や他のビジネスインテリジェンスツールを BigQuery に接続するには、Google SecOps の担当者に連絡して、アプリケーションを Google SecOps BigQuery データセットに接続できるサービスアカウントの認証情報を取得してください。サービスアカウントには、IAM BigQuery データ閲覧者ロール（roles/bigquery.dataViewer）と BigQuery ジョブ閲覧者ロール（roles/bigquery.jobUser）が付与されます。

次のステップ

次のスキーマの詳細を確認する。
- events
- ingestion_metrics
BigQuery でのクエリへのアクセスと実行について、インタラクティブクエリとバッチクエリのジョブの実行で確認する。
パーティション分割テーブルをクエリする方法について、パーティション分割テーブルをクエリするで確認する。
Looker を BigQuery に接続する方法について、BigQuery への接続に関する Looker のドキュメントで確認する。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。