Se usó la API de Cloud Translation para traducir esta página.

Transferencia de datos de Google SecOps

Compatible con:

Google SecOps SIEM

Google Security Operations transfiere los registros de los clientes, normaliza los datos y detecta alertas de seguridad. Proporciona funciones de autoservicio para la transferencia de datos, la detección de amenazas, las alertas y la administración de casos. Google SecOps también puede recibir alertas de otros sistemas SIEM y analizarlas.

Transferencia de registros de Google SecOps

El servicio de transferencia de Google SecOps actúa como una puerta de enlace para todos los datos.

Google SecOps ingiere datos con los siguientes sistemas:

Reenviadores: Son agentes remotos instalados en los extremos del cliente que envían datos al servicio de transferencia de SecOps de Google. Para obtener detalles sobre cómo instalar los retransmisores de Linux y Windows, consulta Instala y configura el retransmisor.
Agente de BindPlane: El agente de BindPlane recopila registros de varias fuentes y los envía a Google SecOps. Puedes administrar este agente con la consola de administración de Bindplane OP opcional. Para obtener más información, consulta Cómo usar el agente de Bindplane.
APIs de transferencia: Google SecOps proporciona APIs de transferencia públicas que te permiten enviar datos directamente. Para obtener más información, consulta la API de Ingestion.
Google Cloud: Google SecOps recupera datos directamente de tu organización de Google Cloud . Para obtener más información, consulta Transfiere datos a Google SecOps. Google Cloud
Feeds de datos: Los feeds de datos recuperan datos de ubicaciones externas estáticas (como Amazon S3) y APIs de terceros (como Okta). Estos feeds de datos envían registros directamente al servicio de transferencia de datos de Google SecOps. Para obtener más información, consulta la documentación sobre la administración de feeds.

Los feeds de datos admiten líneas de registro de hasta 4 MB.

Los analizadores convierten los registros de los sistemas del cliente en un modelo de datos unificado (UDM). Los sistemas posteriores dentro de las SecOps de Google usan el UDM para proporcionar capacidades adicionales, incluidas las reglas y la búsqueda de UDM. Las Operaciones de seguridad de Google pueden transferir registros y alertas, pero solo admiten alertas de un solo evento. Puedes usar la búsqueda de UDM para encontrar alertas integradas y transferidas de Google SecOps.

Comprende el proceso de transferencia de datos de Google SecOps

Google SecOps admite los siguientes tipos de transferencia de datos:

Registros sin procesar

Google SecOps ingiere registros sin procesar con reenviadores, la API de ingesta, feeds de datos o directamente desde Google Cloud.

Alertas de otros sistemas SIEM

Google SecOps puede transferir alertas de otros sistemas SIEM, EDR o de tickets, de la siguiente manera:

Recibe alertas a través de conectores o Webhooks de Google SecOps.
Ingiere los eventos asociados con cada alerta y crea una detección correspondiente.
Procesa los eventos y las detecciones que se hayan transferido.

Puedes crear reglas del motor de detección para identificar patrones en los eventos ingeridos y generar detecciones adicionales.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.