Cette page a été traduite par l'API Cloud Translation.

Ingestion de données Google SecOps

Compatible avec :

Google SecOps SIEM

Google Security Operations ingère les journaux des clients, normalise les données et détecte les alertes de sécurité. Google SecOps fournit des fonctionnalités en libre-service pour l'ingestion de données, la détection des menaces, les alertes et la gestion des cas. Google SecOps peut également ingérer des alertes provenant d'autres systèmes SIEM. Ces alertes sont ingérées dans votre compte Google SecOps, où elles peuvent être analysées.

Ingestion des journaux Google SecOps

Le service d'ingestion Google SecOps sert de passerelle pour toutes les données. Google SecOps ingère les données à l'aide des systèmes suivants :

Relais : les relais Google SecOps sont des agents distants installés sur les points de terminaison des clients. Les répartiteurs envoient les données au service d'ingestion Google SecOps. Pour en savoir plus, consultez la section sur l'installation des transmetteurs Linux ou Windows.
Agent BindPlane : l'agent BindPlane collecte les journaux provenant de diverses sources et les envoie à Google SecOps. Cet agent peut être géré à l'aide de la console de gestion Bindplane OP facultative. Pour en savoir plus, consultez Utiliser l'agent BindPlane.
API d'ingestion : Google SecOps dispose d'API d'ingestion publiques. Les clients peuvent envoyer des données directement à ces API. Pour en savoir plus, consultez l'API Ingestion.
Google Cloud : Google SecOps peut extraire des données directement de votre compte Google Cloud . Pour en savoir plus, consultez Ingérer des données Google Cloud dans Google SecOps.
Flux de données : Google SecOps est compatible avec un ensemble de flux de données qui peuvent extraire des données à partir d'emplacements externes statiques (par exemple, Amazon S3) et d'API tierces (par exemple, Okta). Ces flux de données envoient les journaux directement au service d'ingestion Google SecOps. Pour en savoir plus, consultez la documentation sur la gestion des flux.

Les données ingérées sont ensuite traitées par les analyseurs Google SecOps, qui convertissent les journaux bruts des systèmes clients en modèle de données unifié (UDM, Unified Data Model). Les systèmes en aval de Google SecOps peuvent utiliser ce modèle pour fournir des fonctionnalités supplémentaires, y compris les règles et la recherche UDM. Google SecOps peut ingérer à la fois des journaux et des alertes. Pour les alertes, Google SecOps ne peut ingérer que les alertes à événement unique. Google SecOps n'est pas compatible avec l'ingestion d'alertes multi-événements. La recherche UDM permet de rechercher à la fois les alertes ingérées et les alertes Google SecOps.

Processus d'ingestion Google SecOps

Le mode d'ingestion Google SecOps inclut les types d'ingestion de données suivants :

Ingestion des journaux bruts dans Google SecOps : les journaux bruts sont ingérés à l'aide des forwarders Google SecOps, de l'API d'ingestion, directement à partir de Google Cloudou à l'aide d'un flux de données.
Ingestion des alertes générées par d'autres SIEM : les alertes générées dans d'autres SIEM sont ingérées comme suit :
1. Google SecOps ingère les alertes des autres systèmes SIEM, EDR ou de gestion des tickets à l'aide des connecteurs ou des webhooks Google SecOps.
2. Google SecOps ingère les événements associés aux alertes et crée une détection correspondante.
3. Google SecOps traite les alertes et les événements ingérés.
Les clients peuvent créer des règles de moteur de détection pour identifier des schémas dans les événements ingérés et générer des détections supplémentaires.

Remarque : Les règles Detection Engine n'identifient pas les schémas dans les alertes ingérées à partir de Google SecOps.

Limites

La taille maximale d'une ligne de journal dans les flux de données est de 4 Mo.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.