Importazione dati di Google SecOps

Supportato in:

Google Security Operations acquisisce i log dei clienti, normalizza i dati e rileva gli avvisi di sicurezza. Fornisce funzionalità self-service per l&#39importazione datii, il rilevamento delle minacce, gli avvisi e la gestione dei casi. Google SecOps può anche ricevere avvisi da altri sistemi SIEM e analizzarli.

Importazione dei log di Google SecOps

Il servizio di importazione di Google SecOps funge da gateway per tutti i dati.

Google SecOps acquisisce i dati utilizzando i seguenti sistemi:

  • Forwarder: agenti remoti installati sugli endpoint dei clienti che inviano dati al servizio di importazione di Google SecOps. Per informazioni dettagliate su come installare i forwarder Linux e Windows, vedi Installare e configurare il forwarder.

  • Agente Bindplane: l'agente Bindplane raccoglie i log da varie origini e li invia a Google SecOps. Puoi gestire questo agente utilizzando la console di gestione Bindplane OP facoltativa. Per ulteriori informazioni, vedi Utilizzare l'agente Bindplane.

  • API di importazione: Google SecOps fornisce API di importazione pubbliche che ti consentono di inviare i dati direttamente. Per ulteriori informazioni, consulta l'API Ingestion.

  • Google Cloud: Google SecOps recupera i dati direttamente dalla tua organizzazione Google Cloud . Per saperne di più, consulta Importare Google Cloud dati in Google SecOps.

  • Feed di dati: i feed di dati recuperano i dati da posizioni esterne statiche (come Amazon S3) e da API di terze parti (come Okta). Questi feed di dati inviano i log direttamente al servizio di importazione Google SecOps. Per saperne di più, consulta la documentazione sulla gestione dei feed.

    I feed di dati supportano righe di log di dimensioni massime di 4 MB.

I parser convertono i log dei sistemi dei clienti in un modello Unified Data Model (UDM). I sistemi downstream all'interno di Google SecOps utilizzano UDM per fornire funzionalità aggiuntive, tra cui regole e ricerca UDM. Google SecOps può importare sia log che avvisi, ma supporta solo gli avvisi relativi a un singolo evento. Puoi utilizzare la ricerca UDM per trovare sia gli avvisi di Google SecOps importati sia quelli integrati.

Informazioni sul processo di importazione di Google SecOps

Google SecOps supporta i seguenti tipi di importazione dati:

Log non elaborati

Google SecOps acquisisce i log non elaborati utilizzando i forwarder, l'API di importazione, i feed di dati o direttamente da Google Cloud.

Avvisi di altri sistemi SIEM

Google SecOps può importare avvisi da altri sistemi SIEM, EDR o sistemi di gestione dei ticket, come segue:

  1. Ricevi avvisi utilizzando i connettori Google SecOps o i webhook Google SecOps.
  2. Inserisci gli eventi associati a ogni avviso e crea un rilevamento corrispondente.
  3. Elabora sia gli eventi inseriti sia i rilevamenti.

Puoi creare regole del motore di rilevamento per identificare pattern negli eventi importati e generare rilevamenti aggiuntivi.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.