Esta página foi traduzida pela API Cloud Translation.

Ingestão de dados do Google SecOps

Compatível com:

Google SecOps SIEM

O Google Security Operations ingere registros dos clientes, normaliza os dados e detecta alertas de segurança. O Google SecOps oferece recursos de autoatendimento para ingestão de dados, detecção de ameaças, alertas e gerenciamento de casos. O Google SecOps também pode ingerir alertas de outros sistemas de SIEM. Esses alertas são ingeridos na sua conta do Google SecOps, onde podem ser analisados.

Ingestão de registros do Google SecOps

O serviço de ingestão do Google SecOps atua como um gateway para todos os dados. O Google SecOps ingere dados usando os seguintes sistemas:

Encaminhadores: os encaminhadores do Google SecOps são agentes remotos instalados nos endpoints dos clientes. Os encaminhadores enviam dados para o serviço de ingestão do Google SecOps. Para mais informações, consulte como instalar encaminhadores do Linux ou do Windows.
Agente do BindPlane: coleta registros de várias fontes e os envia para o Google SecOps. Ele pode ser gerenciado usando o console opcional de gerenciamento do Bindplane. Para mais informações, consulte Usar o agente do Bindplane.
APIs de ingestão: o Google SecOps tem APIs de ingestão públicas, e os clientes podem enviar dados diretamente para elas. Para mais informações, consulte a API Ingestion.
Google Cloud: o Google SecOps pode extrair dados diretamente da sua conta do Google Cloud . Para mais informações, consulte Ingerir dados do Google Cloud no Google SecOps.
Feeds de dados: o Google SecOps é compatível com um conjunto de feeds de dados que podem extrair dados de locais externos estáticos (por exemplo, Amazon S3) e APIs de terceiros (por exemplo, Okta). Esses feeds enviam registros diretamente para o serviço de ingestão do Google SecOps. Para mais informações, consulte a documentação sobre gerenciamento de feeds.

Os dados ingeridos são processados pelos analisadores do Google SecOps, que convertem os registros brutos dos sistemas do cliente em um modelo de dados unificado (UDM, na sigla em inglês). Os sistemas downstream do Google SecOps podem usar esse modelo para oferecer recursos adicionais, incluindo regras e pesquisa do UDM. O Google SecOps pode ingerir registros e alertas. Para alertas, o Google SecOps só pode ingerir alertas de evento único. O Google SecOps não oferece suporte à ingestão de alertas de vários eventos. A pesquisa da UDM pode ser usada para pesquisar alertas ingeridos e do Google SecOps.

Processo de ingestão do Google SecOps

O modo de ingestão do Google SecOps inclui os seguintes tipos de ingestão de dados:

Ingestão de registros brutos no Google SecOps: os registros brutos são ingeridos usando os encaminhadores do Google SecOps, a API de ingestão, diretamente do Google Cloudou usando um feed de dados.
Ingestão de alertas gerados por outros SIEMs: os alertas gerados em outros SIEMs são ingeridos da seguinte maneira:
1. O Google SecOps ingere alertas de outros sistemas SIEM, EDRs ou de tíquetes usando conectores ou webhooks do Google SecOps.
2. O Google SecOps ingere os eventos associados aos alertas e cria uma detecção correspondente.
3. O Google SecOps processa os alertas e os eventos ingeridos.
Os clientes podem criar regras de mecanismo de detecção para identificar padrões em eventos ingeridos e gerar mais detecções.

Observação: as regras do Detection Engine não identificam padrões em alertas ingeridos do Google SecOps.

Limitações

Os feeds de dados têm um tamanho máximo de linha de registro de 4 MB.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.