Dados do Google SecOps no BigQuery

Compatível com:

O Google SecOps fornece um data lake gerido de telemetria normalizada e enriquecida com informações sobre ameaças através da exportação de dados para o BigQuery. Isto permite-lhe fazer o seguinte:

  • Executar consultas ad hoc diretamente no BigQuery.
  • Use as suas próprias ferramentas de Business Intelligence, como o Looker ou o Microsoft Power BI, para criar painéis de controlo, relatórios e estatísticas.
  • Junte dados do Google SecOps com conjuntos de dados de terceiros.
  • Executar análises com ferramentas de ciência de dados ou aprendizagem automática.
  • Execute relatórios com painéis de controlo predefinidos e painéis de controlo personalizados.

O Google SecOps exporta as seguintes categorias de dados para o BigQuery:

  • Registos de eventos da UDM: registos da UDM criados a partir de dados de registo carregados pelos clientes. Estes registos são enriquecidos com informações de pseudónimos.
  • Correspondências de regras (deteções): instâncias em que uma regra corresponde a um ou mais eventos.
  • Correspondências de IoC: artefactos (por exemplo, domínios, endereços IP) de eventos que correspondem a feeds de indicadores de comprometimento (IoC). Isto inclui correspondências de feeds globais e feeds específicos do cliente.
  • Métricas de carregamento: incluem estatísticas, como o número de linhas de registo carregadas, o número de eventos produzidos a partir de registos, o número de erros de registo que indicam que não foi possível analisar os registos e o estado dos encaminhadores do Google SecOps. Para mais informações, consulte o artigo Esquema do BigQuery das métricas de carregamento.
  • Grafo de entidades e relações de entidades: armazena a descrição das entidades e das respetivas relações com outras entidades.

Vista geral das tabelas

O Google SecOps cria o conjunto de dados datalake no BigQuery e as seguintes tabelas:

  • entity_enum_value_to_name_mapping: para tipos enumerados na tabela entity_graph, mapeia os valores numéricos para os valores de string.
  • entity_graph: armazena dados sobre entidades do UDM.
  • events: armazena dados sobre eventos da UDM.
  • ingestion_metrics: armazena estatísticas relacionadas com o carregamento e a normalização de dados de origens de carregamento específicas, como encaminhadores do Google SecOps, feeds e a API Ingestion.
  • ioc_matches: armazena as correspondências de IOC encontradas em relação aos eventos de UDM.
  • job_metadata: uma tabela interna usada para acompanhar a exportação de dados para o BigQuery.
  • rule_detections: armazena as deteções devolvidas pelas regras executadas no Google SecOps.
  • rulesets: armazena informações sobre deteções preparadas do Google SecOps, incluindo a categoria a que cada conjunto de regras pertence, se está ativado e o estado de alerta atual.
  • udm_enum_value_to_name_mapping: para tipos enumerados na tabela events, mapeia os valores numéricos para os valores de string.
  • udm_events_aggregates: armazena dados agregados resumidos por hora de eventos normalizados.

Aceda aos dados no BigQuery

Pode executar consultas diretamente no BigQuery ou associar a sua própria ferramenta de inteligência empresarial, como o Looker ou o Microsoft Power BI, ao BigQuery.

Para ativar o acesso à instância do BigQuery, use a API Google SecOps BigQuery Access. Pode indicar um endereço de email de um utilizador ou de um grupo que seja seu. Se configurar o acesso a um grupo, use o grupo para gerir os membros da equipa que podem aceder à instância do BigQuery.

Para associar o Looker ou outra ferramenta de Business Intelligence ao BigQuery, contacte o seu representante do Google SecOps para obter credenciais da conta de serviço que lhe permitam associar uma aplicação ao conjunto de dados do BigQuery do Google SecOps. A conta de serviço tem a função de visualizador de dados do BigQuery do IAM (roles/bigquery.dataViewer) e a função de visualizador de tarefas do BigQuery (roles/bigquery.jobUser).

O que se segue?

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.