Google SecOps のデータ取り込み
Google Security Operations は、お客様のログを取り込み、データを正規化して、セキュリティ アラートを検出します。データ取り込み、脅威検出、アラート、ケース管理のためのセルフサービス機能が提供されます。Google SecOps は、他の SIEM システムからアラートを受信して分析することもできます。
Google SecOps ログの取り込み
Google SecOps 取り込みサービスは、すべてのデータのゲートウェイとして機能します。
Google SecOps は、次のシステムを使用してデータを取り込みます。
フォワーダー: お客様のエンドポイントにインストールされ、Google SecOps の取り込みサービスにデータを送信するリモート エージェント。Linux フォワーダーと Windows フォワーダーのインストール方法については、フォワーダーをインストールして構成するをご覧ください。
Bindplane エージェント: Bindplane エージェントは、さまざまなソースからログを収集して Google SecOps に送信します。このエージェントは、Bindplane OP 管理コンソール(オプション)を使用して管理できます。詳細については、Bindplane エージェントを使用するをご覧ください。
取り込み API: Google SecOps には、データを直接送信できる公開取り込み API が用意されています。詳細については、取り込み API をご覧ください。
Google Cloud: Google SecOps は、 Google Cloud 組織からデータを直接取得します。詳細については、 Google Cloudデータを Google SecOps に取り込むをご覧ください。
データフィード: データフィードは、静的な外部ロケーション(Amazon S3 など)やサードパーティ API(Okta など)からデータを取得します。これらのデータフィードは、ログを Google SecOps 取り込みサービスに直接送信します。詳しくは、フィード管理のドキュメントをご覧ください。
データフィードでは、最大 4 MB のログ行がサポートされています。
パーサーは、お客様のシステムからのログを統合データモデル(UDM)に変換します。Google SecOps 内のダウンストリーム システムは、UDM を使用して、ルールや UDM 検索などの追加機能を提供します。Google SecOps はログとアラートの両方を取り込むことができますが、単一イベントのアラートのみをサポートします。UDM 検索を使用すると、取り込まれた Google SecOps アラートと組み込みの Google SecOps アラートの両方を検索できます。
Google SecOps の取り込みプロセスを理解する
Google SecOps は、次のタイプのデータ取り込みをサポートしています。
未加工のログ
Google SecOps は、フォワーダー、取り込み API、データフィード、または Google Cloudから直接未加工ログを取り込みます。
他の SIEM システムからのアラート
Google SecOps は、次のように他の SIEM システム、EDR、チケット発行システムからアラートを取り込むことができます。
- Google SecOps コネクタまたは Google SecOps Webhook を使用してアラートを受信します。
- 各アラートに関連付けられたイベントを取り込み、対応する検出を作成します。
- 取り込まれたイベントと検出の両方を処理します。
検出エンジンルールを作成して、取り込まれたイベント内のパターンを特定し、追加の検出を生成できます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。