Esta página se ha traducido con Cloud Translation API.

Ingestión de datos de Google SecOps

Disponible en:

SecOps de Google SIEM

Google Security Operations ingiere los registros de los clientes, normaliza los datos y detecta alertas de seguridad. Ofrece funciones de autoservicio para la ingestión de datos, la detección de amenazas, las alertas y la gestión de casos. Google SecOps también puede recibir alertas de otros sistemas SIEM y analizarlas.

Ingestión de registros de Google SecOps

El servicio de ingestión de Google SecOps actúa como pasarela para todos los datos.

Google SecOps ingiere datos mediante los siguientes sistemas:

Reenviadores: agentes remotos instalados en los endpoints de los clientes que envían datos al servicio de ingestión de Google SecOps. Para obtener información sobre cómo instalar los reenviadores de Linux y Windows, consulta el artículo Instalar y configurar el reenviador.
Agente de Bindplane: el agente de Bindplane recoge registros de varias fuentes y los envía a Google SecOps. Puedes gestionar este agente con la consola de gestión de Bindplane OP opcional. Para obtener más información, consulta Usar el agente Bindplane.
APIs de ingestión: Google SecOps proporciona APIs de ingestión públicas que le permiten enviar datos directamente. Para obtener más información, consulte la API Ingestion.
Google Cloud: Google SecOps obtiene datos directamente de tu Google Cloud organización. Para obtener más información, consulta Ingerir Google Cloud datos en Google SecOps.
Feeds de datos: los feeds de datos obtienen datos de ubicaciones externas estáticas (como Amazon S3) y APIs de terceros (como Okta). Estos feeds de datos envían registros directamente al servicio de ingestión de Google SecOps. Para obtener más información, consulta la documentación sobre gestión de feeds.

Los feeds de datos admiten líneas de registro de hasta 4 MB.

Los analizadores convierten los registros de los sistemas de los clientes en un modelo de datos unificado (UDM). Los sistemas posteriores de Google SecOps usan el UDM para ofrecer funciones adicionales, como reglas y búsquedas en el UDM. Google SecOps puede ingerir tanto registros como alertas, pero solo admite alertas de un solo evento. Puedes usar la búsqueda de UDM para encontrar alertas de Google SecOps tanto ingeridas como integradas.

Información sobre el proceso de ingesta de Google SecOps

Google SecOps admite los siguientes tipos de ingestión de datos:

Registros sin procesar

Google SecOps ingiere registros sin procesar mediante reenviadores, la API de ingesta, feeds de datos o directamente desde Google Cloud.

Alertas de otros sistemas SIEM

Google SecOps puede ingerir alertas de otros sistemas SIEM, EDR o de gestión de incidencias de la siguiente manera:

Recibe alertas mediante conectores de Google SecOps o webhooks de Google SecOps.
Ingiere los eventos asociados a cada alerta y crea una detección correspondiente.
Procesa tanto los eventos insertados como las detecciones.

Puedes crear reglas de motor de detección para identificar patrones en los eventos insertados y generar detecciones adicionales.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.