Penyerapan data Google SecOps

Didukung di:

Google Security Operations menyerap log pelanggan, menormalisasi data, dan mendeteksi pemberitahuan keamanan. SCC menyediakan fitur layanan mandiri untuk penyerapan data, deteksi ancaman, pemberitahuan, dan pengelolaan kasus. Google SecOps juga dapat menerima pemberitahuan dari sistem SIEM lain dan menganalisisnya.

Penyerapan log Google SecOps

Layanan penyerapan Google SecOps bertindak sebagai gateway untuk semua data.

Google SecOps menyerap data menggunakan sistem berikut:

  • Forwarder: Agen jarak jauh yang diinstal pada endpoint pelanggan yang mengirim data ke layanan penyerapan Google SecOps. Untuk mengetahui detail tentang cara menginstal penerus Linux dan Windows, lihat Menginstal dan mengonfigurasi penerus.

  • Agen Bindplane: Agen Bindplane mengumpulkan log dari berbagai sumber dan mengirimkannya ke Google SecOps. Anda dapat mengelola agen ini menggunakan konsol Pengelolaan OP Bindplane opsional. Untuk mengetahui informasi selengkapnya, lihat Menggunakan agen BindPlane.

  • API Penyerapan: Google SecOps menyediakan API penyerapan publik yang memungkinkan Anda mengirim data secara langsung. Untuk mengetahui informasi selengkapnya, lihat Ingestion API.

  • Google Cloud: Google SecOps mengambil data langsung dari organisasi Google Cloud Anda. Untuk mengetahui informasi selengkapnya, lihat Menyerap Google Cloud data ke Google SecOps.

  • Feed data: Feed data mengambil data dari lokasi eksternal statis (seperti Amazon S3) dan API pihak ketiga (seperti Okta). Feed data ini mengirim log langsung ke layanan penyerapan Google SecOps. Untuk mengetahui informasi selengkapnya, lihat dokumentasi pengelolaan feed.

    Feed data mendukung baris log berukuran hingga 4 MB.

Parser mengonversi log dari sistem pelanggan menjadi Model Data Terpadu (UDM). Sistem hilir dalam Google SecOps menggunakan UDM untuk memberikan kemampuan tambahan, termasuk aturan dan penelusuran UDM. SecOps Google dapat memproses log dan pemberitahuan, tetapi hanya mendukung pemberitahuan satu peristiwa. Anda dapat menggunakan penelusuran UDM untuk menemukan pemberitahuan SecOps Google bawaan dan yang di-ingest.

Memahami proses penyerapan Google SecOps

Google SecOps mendukung jenis penyerapan data berikut:

Log mentah

Google SecOps menyerap log mentah menggunakan forwarder, API penyerapan, feed data, atau langsung dari Google Cloud.

Peringatan dari sistem SIEM lain

SecOps Google dapat menyerap pemberitahuan dari sistem SIEM, EDR, atau sistem tiket lainnya, sebagai berikut:

  1. Menerima pemberitahuan menggunakan konektor Google SecOps atau webhook Google SecOps.
  2. Menyerap peristiwa yang terkait dengan setiap pemberitahuan dan membuat deteksi yang sesuai.
  3. Memproses peristiwa dan deteksi yang di-ingest.

Anda dapat membuat aturan mesin deteksi untuk mengidentifikasi pola dalam peristiwa yang di-ingest dan menghasilkan deteksi tambahan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.