Google SecOps 데이터 수집
Chronicle Security Operations는 고객으로부터 로그를 수집하고 데이터를 정규화하며 보안 알림을 감지합니다. Google SecOps는 데이터 수집, 위협 감지, 알림, 케이스 관리에 관한 셀프 서비스 기능을 제공합니다. Google SecOps는 다른 SIEM 시스템의 알림을 수집할 수도 있습니다. 이러한 알림은 Google SecOps 계정으로 수집되고 여기에서 분석될 수 있습니다.
Google SecOps 로그 수집
Google SecOps 수집 서비스는 모든 데이터의 게이트웨이 역할을 수행합니다. Google SecOps는 다음 시스템을 사용하여 데이터를 수집합니다.
전달자: Google SecOps 전달자는 고객 엔드포인트에 설치되는 원격 에이전트입니다. 포워더는 데이터를 Google SecOps 수집 서비스로 전송합니다. 자세한 내용은 Linux 또는 Windows 전달자 설치를 참조하세요.
BindPlane 에이전트: Bindplane 에이전트는 다양한 소스에서 로그를 수집하여 Google SecOps로 전송합니다. 이 에이전트는 선택사항인 Bindplane OP 관리 콘솔을 사용하여 관리할 수 있습니다. 자세한 내용은 Bindplane 에이전트 사용을 참고하세요.
수집 API: Google SecOps에는 공개 수집 API가 있으므로 고객은 데이터를 이러한 API로 직접 전송할 수 있습니다. 자세한 내용은 Ingestion API를 참조하세요.
Google Cloud: Google SecOps는 Google Cloud 계정에서 직접 데이터를 가져올 수 있습니다. 자세한 내용은 Google SecOps에 데이터 수집을 참고하세요. Google Cloud
데이터 피드: Google SecOps는 정적 외부 위치 (예: Amazon S3) 및 서드 파티 API (예: Okta)에서 데이터를 가져올 수 있는 데이터 피드 집합을 지원합니다. 이러한 데이터 피드는 로그를 Google SecOps 수집 서비스로 직접 전송합니다. 자세한 내용은 피드 관리 문서를 참조하세요.
수집된 데이터는 Google SecOps 파서에서 추가로 처리됩니다. 이 파서는 고객 시스템의 원시 로그를 통합 데이터 모델 (UDM)로 변환합니다. Google SecOps 내의 다운스트림 시스템은 이 모델을 사용해서 규칙 및 UDM 검색과 같은 추가 기능을 제공할 수 있습니다. Google SecOps는 로그와 알림을 모두 수집할 수 있습니다. 알림의 경우 Google SecOps는 단일 이벤트 알림만 수집할 수 있습니다. Google SecOps는 다중 이벤트 알림 수집을 지원하지 않습니다. UDM 검색을 사용하여 수집된 알림과 Google SecOps 알림 모두 검색할 수 있습니다.
Google SecOps 수집 프로세스
Google SecOps 수집 모드에는 다음 유형의 데이터 수집이 포함됩니다.
Google SecOps에 원시 로그 수집: 원시 로그는 Google SecOps 전달자, 수집 API, Google Cloud에서 직접 또는 데이터 피드를 사용하여 수집됩니다.
다른 SIEM에서 생성된 알림 수집: 다른 SIEM에서 생성된 알림은 다음과 같이 수집됩니다.
- Google SecOps는 Google SecOps 커넥터 또는 Google SecOps 웹훅을 사용하여 다른 SIEM 시스템, EDR 또는 티켓팅 시스템에서 알림을 수집합니다.
- Google SecOps는 알림과 연결된 이벤트를 수집하고 해당 감지를 만듭니다.
- Google SecOps는 알림과 수집된 이벤트를 처리합니다.
고객은 수집된 이벤트에서 패턴을 파악하고 추가 감지를 생성하도록 감지 엔진 규칙을 만들 수 있습니다.
제한사항
데이터 피드의 최대 로그 줄 크기는 4MB입니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.