Cette page a été traduite par l'API Cloud Translation.

Ingestion de données Google SecOps

Compatible avec :

Google SecOps SIEM

Google Security Operations ingère les journaux des clients, normalise les données et détecte les alertes de sécurité. Il fournit des fonctionnalités en libre-service pour l'ingestion de données, la détection des menaces, les alertes et la gestion des cas. Google SecOps peut également recevoir des alertes d'autres systèmes SIEM et les analyser.

Ingestion des journaux Google SecOps

Le service d'ingestion Google SecOps sert de passerelle pour toutes les données.

Google SecOps ingère les données à l'aide des systèmes suivants :

Relais : agents à distance installés sur les points de terminaison des clients qui envoient des données au service d'ingestion Google SecOps. Pour savoir comment installer les répartiteurs Linux et Windows, consultez Installer et configurer le répartiteur.
Agent BindPlane : l'agent BindPlane collecte les journaux provenant de différentes sources et les envoie à Google SecOps. Vous pouvez gérer cet agent à l'aide de la console de gestion Bindplane OP facultative. Pour en savoir plus, consultez Utiliser l'agent Bindplane.
API d'ingestion : Google SecOps fournit des API d'ingestion publiques qui vous permettent d'envoyer des données directement. Pour en savoir plus, consultez l'API Ingestion.
Google Cloud : Google SecOps récupère les données directement depuis votre organisation Google Cloud . Pour en savoir plus, consultez Ingérer des données Google Clouddans Google SecOps.
Flux de données : les flux de données récupèrent les données à partir d'emplacements externes statiques (tels qu'Amazon S3) et d'API tierces (telles qu'Okta). Ces flux de données envoient les journaux directement au service d'ingestion Google SecOps. Pour en savoir plus, consultez la documentation sur la gestion des flux.

Les flux de données acceptent les lignes de journaux d'une taille maximale de 4 Mo.

Les analyseurs convertissent les journaux des systèmes clients en Unified Data Model (UDM). Les systèmes en aval de Google SecOps utilisent l'UDM pour fournir des fonctionnalités supplémentaires, y compris des règles et la recherche UDM. Google SecOps peut ingérer à la fois des journaux et des alertes, mais ne prend en charge que les alertes mono-événement. Vous pouvez utiliser la recherche UDM pour trouver les alertes Google SecOps ingérées et intégrées.

Comprendre le processus d'ingestion de Google SecOps

Google SecOps est compatible avec les types d'ingestion de données suivants :

Journaux bruts

Google SecOps ingère les journaux bruts à l'aide de forwarders, de l'API d'ingestion, de flux de données ou directement à partir de Google Cloud.

Alertes provenant d'autres systèmes SIEM

Google SecOps peut ingérer des alertes provenant d'autres systèmes SIEM, EDR ou de gestion des tickets, comme suit :

Recevez des alertes à l'aide des connecteurs Google SecOps ou des Webhooks Google SecOps.
Ingérez les événements associés à chaque alerte et créez une détection correspondante.
Traitez les événements et les détections ingérés.

Vous pouvez créer des règles de moteur de détection pour identifier des modèles dans les événements ingérés et générer des détections supplémentaires.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.