Halaman ini diterjemahkan oleh Cloud Translation API.

Penyerapan data Google SecOps

Didukung di:

Google secops SIEM

Google Security Operations menyerap log dari pelanggan, menormalisasi data, dan mendeteksi pemberitahuan keamanan. Google SecOps menyediakan fitur layanan mandiri terkait penyerapan data, deteksi ancaman, pemberitahuan, dan pengelolaan kasus. Google SecOps juga dapat menyerap pemberitahuan dari sistem SIEM lainnya. Peringatan ini dimasukkan ke akun Google SecOps Anda, tempat peringatan tersebut dapat dianalisis.

Penyerapan log Google SecOps

Layanan penyerapan SecOps Google bertindak sebagai gateway untuk semua data. Google SecOps menyerap data menggunakan sistem berikut:

Penerus: Penerus Google SecOps adalah agen jarak jauh yang diinstal di endpoint pelanggan. Forwarder mengirimkan data ke layanan penyerapan Google SecOps. Untuk mengetahui informasi selengkapnya, lihat cara menginstal penerus Linux atau Windows.
Agen BindPlane: Agen BindPlane mengumpulkan log dari berbagai sumber dan mengirimkannya ke Google SecOps. Agen ini dapat dikelola menggunakan konsol Pengelolaan OP Bindplane opsional. Untuk mengetahui informasi selengkapnya, lihat Menggunakan agen BindPlane.
API Penyerapan: Google SecOps memiliki API penyerapan publik, dan pelanggan dapat mengirim data langsung ke API ini. Untuk mengetahui informasi selengkapnya, lihat Ingestion API.
Google Cloud: Google SecOps dapat menarik data langsung dari akun Google Cloud Anda. Untuk mengetahui informasi selengkapnya, lihat Menyerap Google Cloud data ke Google SecOps.
Feed data: Google SecOps mendukung serangkaian feed data yang dapat menarik data dari lokasi eksternal statis (misalnya, Amazon S3) dan API pihak ketiga (misalnya, Okta). Feed data ini mengirim log langsung ke layanan penyerapan Google SecOps. Untuk mengetahui informasi selengkapnya, lihat dokumentasi pengelolaan feed.

Data yang di-ingest selanjutnya diproses oleh parser SecOps Google, yang mengonversi log mentah dari sistem pelanggan ke Model Data Terpadu (UDM) yang dapat digunakan oleh sistem hilir dalam SecOps Google untuk memberikan kemampuan tambahan, termasuk Aturan dan Penelusuran UDM. Google SecOps dapat menyerap log dan pemberitahuan. Untuk pemberitahuan, Google SecOps hanya dapat menyerap pemberitahuan peristiwa tunggal. Google SecOps tidak mendukung penyerapan pemberitahuan multi-peristiwa. Penelusuran UDM dapat digunakan untuk menelusuri pemberitahuan yang di-ingest dan pemberitahuan Google SecOps.

Proses penyerapan Google SecOps

Mode penyerapan Google SecOps mencakup jenis penyerapan data berikut:

Penyerapan log mentah ke Google SecOps: Log mentah diserap menggunakan penerus Google SecOps, API penyerapan, langsung dari Google Cloud, atau menggunakan feed data.
Penyerapan pemberitahuan yang dihasilkan oleh SIEM lain: Pemberitahuan yang dihasilkan di SIEM lain diserap sebagai berikut:
1. Google SecOps menyerap pemberitahuan dari sistem SIEM, EDR, atau sistem tiket lainnya menggunakan konektor Google SecOps atau webhook Google SecOps.
2. Google SecOps menyerap peristiwa yang terkait dengan pemberitahuan dan membuat deteksi yang sesuai.
3. Google SecOps memproses pemberitahuan dan peristiwa yang di-ingest.
Pelanggan dapat membuat aturan mesin deteksi untuk mengidentifikasi pola dalam peristiwa yang diproses dan menghasilkan deteksi tambahan.

Catatan: Aturan Detection Engine tidak mengidentifikasi pola dalam pemberitahuan yang diproses dari Google SecOps.

Batasan

Feed data memiliki ukuran baris log maksimum sebesar 4 MB.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.