Transferencia de datos de Google SecOps
Google Security Operations ingiere registros de los clientes, normaliza los datos y detecta alertas de seguridad. Google SecOps proporciona funciones de autoservicio relacionadas con la transferencia de datos, la detección de amenazas, las alertas y la administración de casos. Google SecOps también puede ingerir alertas de otros sistemas SIEM. Estas alertas se incorporan a tu cuenta de Google SecOps, donde se pueden analizar.
Transferencia de registros de Google SecOps
El servicio de transferencia de Google SecOps actúa como una puerta de enlace para todos los datos. Google SecOps transfiere datos con los siguientes sistemas:
Servidores de reenvío: Los servidores de reenvío de Google SecOps son agentes remotos instalados en los extremos de los clientes. Los reenvíadores envían datos al servicio de transferencia de Google SecOps. Para obtener más información, consulta cómo instalar los reenviadores de Linux o Windows.
Agente de BindPlane: El agente de BindPlane recopila registros de varias fuentes y los envía a Google SecOps. Este agente se puede administrar con la consola de administración de Bindplane OP opcional. Para obtener más información, consulta Cómo usar el agente de BindPlane.
APIs de transferencia: Google SecOps tiene APIs de transferencia públicas, y los clientes pueden enviar datos directamente a estas APIs. Para obtener más información, consulta la API de Ingestion.
Google Cloud: Google SecOps puede extraer datos directamente de tu cuenta de Google Cloud . Para obtener más información, consulta Cómo transferir datos a Google SecOps. Google Cloud
Feeds de datos: Google SecOps admite un conjunto de feeds de datos que pueden extraer datos de ubicaciones externas estáticas (por ejemplo, Amazon S3) y APIs de terceros (por ejemplo, Okta). Estos feeds de datos envían registros directamente al servicio de transferencia de datos de Google SecOps. Para obtener más información, consulta la documentación sobre la administración de feeds.
Los analizadores de SecOps de Google procesan aún más los datos ingeridos, lo que convierte los registros sin procesar de los sistemas del cliente en un modelo de datos unificado (UDM) que los sistemas posteriores dentro de SecOps de Google pueden usar para proporcionar capacidades adicionales, incluidas las reglas y la búsqueda en el UDM. Google SecOps puede transferir tanto registros como alertas. En el caso de las alertas, Google SecOps solo puede transferir alertas de un solo evento. Google SecOps no admite la transferencia de alertas de varios eventos. La Búsqueda en UDM se puede usar para buscar alertas incorporadas y alertas de Google SecOps.
Proceso de transferencia de datos de Google SecOps
El modo de transferencia de datos de Google SecOps incluye los siguientes tipos de transferencia de datos:
Transferencia de registros sin procesar a Google SecOps: Los registros sin procesar se transfieren con los reenvíadores de Google SecOps, la API de transferencia, directamente desde Google Cloudo con un feed de datos.
Ingesta de alertas generadas por otros SIEM: Las alertas generadas en otros SIEM se ingieren de la siguiente manera:
- Google SecOps ingiere alertas de otros sistemas SIEM, EDR o de tickets a través de los conectores o los webhooks de Google SecOps.
- Google SecOps transfiere los eventos asociados a las alertas y crea una detección correspondiente.
- Google SecOps procesa las alertas y los eventos transferidos.
Los clientes pueden crear reglas del motor de detección para identificar patrones en los eventos incorporados y generar detecciones adicionales.
Limitaciones
Los feeds de datos tienen un tamaño máximo de línea de registro de 4 MB.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.