Ingestão de dados do Google SecOps

Compatível com:

O Google Security Operations ingere registros de clientes, normaliza os dados e detecta alertas de segurança. Ele oferece recursos de autoatendimento para ingestão de dados, detecção de ameaças, alertas e gerenciamento de casos. O Google SecOps também pode receber alertas de outros sistemas SIEM e analisá-los.

Ingestão de registros do Google SecOps

O serviço de ingestão do Google SecOps atua como um gateway para todos os dados.

O Google SecOps ingere dados usando os seguintes sistemas:

  • Encaminhadores: agentes remotos instalados em endpoints do cliente que enviam dados para o serviço de ingestão do Google SecOps. Para detalhes sobre como instalar encaminhadores do Linux e do Windows, consulte Instalar e configurar o encaminhador.

  • Agente do Bindplane: coleta registros de várias fontes e os envia para o Google SecOps. É possível gerenciar esse agente usando o console de gerenciamento do Bindplane OP, que é opcional. Para mais informações, consulte Usar o agente Bindplane.

  • APIs de ingestão: o Google SecOps oferece APIs públicas de ingestão que permitem enviar dados diretamente. Para mais informações, consulte a API de ingestão.

  • Google Cloud: o Google SecOps recupera dados diretamente da sua organização do Google Cloud . Para mais informações, consulte Ingerir dados Google Cloudno Google SecOps.

  • Feeds de dados: recuperam dados de locais externos estáticos (como o Amazon S3) e APIs de terceiros (como o Okta). Esses feeds enviam registros diretamente para o serviço de ingestão do Google SecOps. Para mais informações, consulte a documentação sobre gerenciamento de feeds.

    Os feeds de dados são compatíveis com linhas de registro de até 4 MB.

Os analisadores convertem registros dos sistemas dos clientes em um modelo de dados unificado (UDM). Os sistemas downstream no Google SecOps usam o UDM para oferecer recursos adicionais, incluindo regras e pesquisa do UDM. O Google SecOps pode ingerir registros e alertas, mas só é compatível com alertas de evento único. Você pode usar a pesquisa da UDM para encontrar alertas ingeridos e integrados do Google SecOps.

Entender o processo de ingestão do Google SecOps

O Google SecOps é compatível com os seguintes tipos de ingestão de dados:

Registros brutos

O Google SecOps ingere registros brutos usando encaminhadores, a API de ingestão, feeds de dados ou diretamente de Google Cloud.

Alertas de outros sistemas SIEM

O Google SecOps pode ingerir alertas de outros sistemas SIEM, EDRs ou sistemas de tickets, da seguinte forma:

  1. Receba alertas usando conectores ou webhooks do Google SecOps.
  2. Ingerir os eventos associados a cada alerta e criar uma detecção correspondente.
  3. Processar os eventos e as detecções ingeridos.

Você pode criar regras do mecanismo de detecção para identificar padrões nos eventos ingeridos e gerar mais detecções.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.