Google SecOps-Datenaufnahme

Unterstützt in:

Google Security Operations erfasst Kundenlogs, normalisiert die Daten und erkennt Sicherheitswarnungen. Es bietet Self-Service-Funktionen für die Datenaufnahme, Bedrohungserkennung, Benachrichtigungen und Fallverwaltung. Google SecOps kann auch Warnungen von anderen SIEM-Systemen empfangen und analysieren.

Google SecOps-Logaufnahme

Der Google SecOps-Aufnahmedienst fungiert als Gateway für alle Daten.

Google SecOps nimmt Daten über die folgenden Systeme auf:

  • Forwarder: Remote-Agents, die auf Kundenendpunkten installiert sind und Daten an den Google SecOps-Aufnahmedienst senden. Weitere Informationen zum Installieren von Linux- und Windows-Forwardern finden Sie unter Forwarder installieren und konfigurieren.

  • BindPlane-Agent: Der BindPlane-Agent erfasst Logs aus verschiedenen Quellen und sendet sie an Google SecOps. Sie können diesen Agent mit der optionalen Bindplane OP-Verwaltungskonsole verwalten. Weitere Informationen finden Sie unter Bindplane-Agent verwenden.

  • Ingestion APIs: Google SecOps bietet öffentliche Ingestion APIs, mit denen Sie Daten direkt senden können. Weitere Informationen finden Sie unter Ingestion API.

  • Google Cloud: Google SecOps ruft Daten direkt aus Ihrer Google Cloud -Organisation ab. Weitere Informationen finden Sie unter Google Cloud-Daten in Google SecOps aufnehmen.

  • Datenfeeds: Datenfeeds rufen Daten von statischen externen Standorten (z. B. Amazon S3) und Drittanbieter-APIs (z. B. Okta) ab. Über diese Datenfeeds werden Protokolle direkt an den Google SecOps-Aufnahmedienst gesendet. Weitere Informationen finden Sie in der Dokumentation zur Feedverwaltung.

    Datenfeeds unterstützen Logzeilen mit einer Größe von bis zu 4 MB.

Mit Parsern werden Logs aus Kundensystemen in ein einheitliches Datenmodell (Unified Data Model, UDM) umgewandelt. Downstream-Systeme in Google SecOps verwenden das UDM, um zusätzliche Funktionen bereitzustellen, darunter Regeln und UDM-Suche. Google SecOps kann sowohl Logs als auch Warnungen aufnehmen, unterstützt aber nur Warnungen für einzelne Ereignisse. Mit der UDM-Suche können Sie sowohl nach aufgenommenen als auch nach integrierten Google SecOps-Benachrichtigungen suchen.

Aufnahmeprozess von Google SecOps

Google SecOps unterstützt die folgenden Arten der Datenerfassung:

Rohlogs

Google SecOps erfasst Rohlogs über Forwarder, die Ingestion API, Datenfeeds oder direkt von Google Cloud.

Benachrichtigungen von anderen SIEM-Systemen

Google SecOps kann Warnungen aus anderen SIEM-Systemen, EDRs oder Ticketsystemen aufnehmen:

  1. Benachrichtigungen über Google SecOps-Connectors oder Google SecOps-Webhooks erhalten.
  2. Die mit jeder Benachrichtigung verknüpften Ereignisse werden aufgenommen und eine entsprechende Erkennung wird erstellt.
  3. Sowohl die aufgenommenen Ereignisse als auch die erkannten Ereignisse verarbeiten

Sie können Regeln für die Erkennungs-Engine erstellen, um Muster in den aufgenommenen Ereignissen zu erkennen und zusätzliche Erkennungen zu generieren.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten