Google SecOps-Datenaufnahme

Unterstützt in:

Google Security Operations nimmt Logs von Kunden auf, normalisiert die Daten und erkennt Sicherheitswarnungen. Google SecOps bietet Selfservice-Funktionen für die Datenaufnahme, Bedrohungserkennung, Benachrichtigungen und Fallverwaltung. Google SecOps kann auch Benachrichtigungen aus anderen SIEM-Systemen aufnehmen. Diese Benachrichtigungen werden in Ihr Google SecOps-Konto aufgenommen, wo sie analysiert werden können.

Google SecOps-Logaufnahme

Der Google SecOps-Aufnahmedienst fungiert als Gateway für alle Daten. Google SecOps nimmt Daten über die folgenden Systeme auf:

  • Forwarder: Google SecOps-Forwarder sind Remote-Agents, die an Kundenendpunkten installiert werden. Die Forwarder senden Daten an den Google SecOps-Aufnahmedienst. Weitere Informationen finden Sie unter Linux-Forwarder installieren oder Windows-Forwarder installieren.

  • BindPlane-Agent: Der BindPlane-Agent erfasst Logs aus verschiedenen Quellen und sendet sie an Google SecOps. Dieser Agent kann über die optionale Bindplane OP-Verwaltungskonsole verwaltet werden. Weitere Informationen finden Sie unter BindPlane-Agent verwenden.

  • Aufnahme-APIs: Google SecOps bietet öffentliche Aufnahme-APIs und Kunden können Daten direkt an diese APIs senden. Weitere Informationen finden Sie unter Ingestion API.

  • Google Cloud: Google SecOps kann Daten direkt aus Ihrem Google Cloud -Konto abrufen. Weitere Informationen finden Sie unter Google Cloud -Daten in Google SecOps aufnehmen.

  • Datenfeeds: Google SecOps unterstützt eine Reihe von Datenfeeds, mit denen Daten aus statischen externen Quellen (z. B. Amazon S3) und Drittanbieter-APIs (z. B. Okta) abgerufen werden können. Über diese Datenfeeds werden Logs direkt an den Google SecOps-Aufnahmedienst gesendet. Weitere Informationen finden Sie in der Dokumentation zur Feedverwaltung.

Die aufgenommenen Daten werden von den Google SecOps-Parsern weiterverarbeitet. Dabei werden die Rohlogs aus Kundensystemen in ein einheitliches Datenmodell (Unified Data Model, UDM) konvertiert, das von nachgelagerten Systemen in Google SecOps verwendet werden kann, um zusätzliche Funktionen wie Regeln und UDM-Suche bereitzustellen. Google SecOps kann sowohl Logs als auch Benachrichtigungen aufnehmen. Für Benachrichtigungen kann Google SecOps nur Benachrichtigungen mit einzelnen Ereignissen aufnehmen. Google SecOps unterstützt die Aufnahme von Benachrichtigungen mit mehreren Ereignissen nicht. Mit UDM Search können Sie sowohl nach aufgenommenen als auch nach Google SecOps-Benachrichtigungen suchen.

Google SecOps-Aufnahmeprozess

Der Google SecOps-Aufnahmemodus umfasst die folgenden Arten der Datenaufnahme:

  • Aufnahme von Rohlogs in Google SecOps: Rohlogs werden über die Google SecOps-Forwarder, die Ingestion API, direkt von Google Cloudoder über einen Datenfeed aufgenommen.

  • Aufnahme von Benachrichtigungen, die von anderen SIEMs generiert wurden: Benachrichtigungen, die in anderen SIEMs generiert wurden, werden so aufgenommen:

    1. In Google SecOps werden Benachrichtigungen aus den anderen SIEM-Systemen, EDRs oder Ticketsystemen über Google SecOps-Connectors oder Google SecOps-Webhooks aufgenommen.
    2. Google SecOps nimmt die mit den Benachrichtigungen verknüpften Ereignisse auf und erstellt eine entsprechende Erkennung.
    3. Google SecOps verarbeitet die Benachrichtigungen und die aufgenommenen Ereignisse.

    Kunden können Regeln für die Erkennungs-Engine erstellen, um Muster in aufgenommenen Ereignissen zu erkennen und zusätzliche Erkennungen zu generieren.

Beschränkungen

Die maximale Größe von Logzeilen in Datenfeeds beträgt 4 MB.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten