Questa pagina è stata tradotta dall'API Cloud Translation.

Importazione dati di Google SecOps

Supportato in:

Google secops SIEM

Google Security Operations acquisisce i log dei clienti, normalizza i dati e rileva gli avvisi di sicurezza. Google SecOps fornisce funzionalità self-service per l'importazione dati, il rilevamento delle minacce, gli avvisi e la gestione dei casi. Google SecOps può anche importare avvisi da altri sistemi SIEM. Questi avvisi vengono inseriti nel tuo account Google SecOps, dove possono essere analizzati.

Importazione dei log di Google SecOps

Il servizio di importazione di Google SecOps funge da gateway per tutti i dati. Google SecOps inserisce i dati utilizzando i seguenti sistemi:

Forwarder: i forwarder di Google SecOps sono agenti remoti installati negli endpoint dei clienti. Gli inoltratori inviano i dati al servizio di importazione di Google SecOps. Per maggiori informazioni, vedi l'installazione dei forwarder Linux o Windows.
Agente BindPlane: l'agente BindPlane raccoglie i log da varie fonti e li invia a Google SecOps. Questo agente può essere gestito utilizzando la console di gestione Bindplane OP facoltativa. Per ulteriori informazioni, vedi Utilizzare l'agente Bindplane.
API di importazione: Google SecOps dispone di API di importazione pubbliche e i clienti possono inviare i dati direttamente a queste API. Per ulteriori informazioni, consulta l'API Ingestion.
Google Cloud: Google SecOps può estrarre i dati direttamente dal tuo account Google Cloud . Per ulteriori informazioni, consulta Importare Google Cloud dati in Google SecOps.
Feed di dati: Google SecOps supporta un insieme di feed di dati che possono estrarre dati da posizioni esterne statiche (ad esempio Amazon S3) e API di terze parti (ad esempio Okta). Questi feed di dati inviano i log direttamente al servizio di importazione Google SecOps. Per saperne di più, consulta la documentazione sulla gestione dei feed.

I dati importati vengono ulteriormente elaborati dai parser Google SecOps, che convertono i log non elaborati dei sistemi dei clienti in un modello Unified Data Model (UDM) che i sistemi downstream all'interno di Google SecOps possono utilizzare per fornire funzionalità aggiuntive, tra cui regole e ricerca UDM. Google SecOps può importare sia log che avvisi. Per gli avvisi, Google SecOps può importare solo avvisi relativi a un singolo evento. Google SecOps non supporta l'importazione di avvisi multi-evento. La ricerca UDM può essere utilizzata per cercare sia gli avvisi inseriti sia gli avvisi Google SecOps.

Processo di importazione di Google SecOps

La modalità di importazione di Google SecOps include i seguenti tipi di importazione dei dati:

Importazione dei log non elaborati in Google SecOps: i log non elaborati vengono importati utilizzando i forwarder Google SecOps, l'API di importazione, direttamente da Google Cloudo utilizzando un feed di dati.
Importazione di avvisi generati da altri SIEM: gli avvisi generati in altri SIEM vengono importati come segue:
1. Google SecOps acquisisce gli avvisi dagli altri sistemi SIEM, EDR o di gestione dei ticket utilizzando i connettori Google SecOps o i webhook Google SecOps.
2. Google SecOps acquisisce gli eventi associati agli avvisi e crea un rilevamento corrispondente.
3. Google SecOps elabora gli avvisi e gli eventi importati.
I clienti possono creare regole del motore di rilevamento per identificare i pattern negli eventi inseriti e generare rilevamenti aggiuntivi.

Nota: le regole del motore di rilevamento non identificano pattern negli avvisi inseriti da Google SecOps.

Limitazioni

I feed di dati hanno una dimensione massima della riga di log di 4 MB.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.