Google SecOps 데이터 수집
Google Security Operations는 고객 로그를 수집하고 데이터를 정규화하며 보안 알림을 감지합니다. 데이터 수집, 위협 감지, 알림, 케이스 관리를 위한 셀프 서비스 기능을 제공합니다. Google SecOps는 다른 SIEM 시스템의 알림을 수신하여 분석할 수도 있습니다.
Google SecOps 로그 수집
Google SecOps 수집 서비스는 모든 데이터의 게이트웨이 역할을 수행합니다.
Google SecOps는 다음 시스템을 사용하여 데이터를 수집합니다.
전달자: 고객 엔드포인트에 설치되어 Google SecOps 수집 서비스로 데이터를 전송하는 원격 에이전트입니다. Linux 및 Windows 전달자를 설치하는 방법에 관한 자세한 내용은 전달자 설치 및 구성을 참고하세요.
Bindplane 에이전트: Bindplane 에이전트는 다양한 소스에서 로그를 수집하여 Google SecOps에 전송합니다. 선택사항인 Bindplane OP 관리 콘솔을 사용하여 이 에이전트를 관리할 수 있습니다. 자세한 내용은 Bindplane 에이전트 사용을 참고하세요.
수집 API: Google SecOps는 데이터를 직접 전송할 수 있는 공개 수집 API를 제공합니다. 자세한 내용은 Ingestion API를 참고하세요.
Google Cloud: Google SecOps는 Google Cloud 조직에서 직접 데이터를 가져옵니다. 자세한 내용은 Google SecOps에 데이터 수집을 참고하세요. Google Cloud
데이터 피드: 데이터 피드는 정적 외부 위치 (예: Amazon S3) 및 서드 파티 API (예: Okta)에서 데이터를 가져옵니다. 이러한 데이터 피드는 로그를 Google SecOps 수집 서비스로 직접 전송합니다. 자세한 내용은 피드 관리 문서를 참고하세요.
데이터 피드는 최대 4MB 크기의 로그 줄을 지원합니다.
파서는 고객 시스템의 로그를 통합 데이터 모델 (UDM)로 변환합니다. Google SecOps 내의 다운스트림 시스템은 UDM을 사용하여 규칙 및 UDM 검색과 같은 추가 기능을 제공합니다. Google SecOps는 로그와 알림을 모두 수집할 수 있지만 단일 이벤트 알림만 지원합니다. UDM 검색을 사용하여 수집된 알림과 내장된 Google SecOps 알림을 모두 찾을 수 있습니다.
Google SecOps 수집 프로세스 이해
Google SecOps는 다음 유형의 데이터 수집을 지원합니다.
원시 로그
Google SecOps는 전달자, 수집 API, 데이터 피드를 사용하거나 Google Cloud에서 직접 원시 로그를 수집합니다.
다른 SIEM 시스템의 알림
Google SecOps는 다음과 같이 다른 SIEM 시스템, EDR 또는 티켓팅 시스템에서 알림을 수집할 수 있습니다.
- Google SecOps 커넥터 또는 Google SecOps 웹훅을 사용하여 알림을 수신합니다.
- 각 알림과 연결된 이벤트를 수집하고 해당 감지를 만듭니다.
- 수집된 이벤트와 감지를 모두 처리합니다.
감지 엔진 규칙을 만들어 수집된 이벤트에서 패턴을 파악하고 추가 감지를 생성할 수 있습니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.