Google SecOps 数据注入

Google Security Operations 会从客户处提取日志、将数据标准化，并检测安全提醒。Google SecOps 提供围绕数据注入、威胁检测、提醒和案例管理的自助服务功能。Google SecOps 还可以从其他 SIEM 系统中注入提醒。这些提醒会注入到您的 Google SecOps 账号中，您可以在其中对它们进行分析。

Google SecOps 日志注入

Google SecOps 提取服务充当所有数据的网关。Google SecOps 使用以下系统注入数据：

• 转发器：Google SecOps 转发器是安装在客户端点上的远程代理。转发器将数据发送到 Google SecOps 注入服务。如需了解详情，请参阅安装 Linux 或 Windows 转发器。

• BindPlane 代理：Bindplane 代理从各种来源收集日志，并将其发送到 Google SecOps。可以使用可选的 Bindplane OP 管理控制台来管理此代理。如需了解详情，请参阅使用 Bindplane 代理。

• 数据提取 API：Google SecOps 具有公开的数据提取 API，客户可以直接向这些 API 发送数据。如需了解详情，请参阅 Ingestion API。

• Google Cloud：Google SecOps 可以直接从您的 Google Cloud 账号提取数据。如需了解详情，请参阅将 Google Cloud 数据注入到 Google SecOps。

• 数据 Feed：Google SecOps 支持一组数据 Feed，这些 Feed 可以从静态外部位置（例如 Amazon S3）和第三方 API（例如 Okta）提取数据。这些数据 Feed 会将日志直接发送到 Google SecOps 注入服务。如需了解详情，请参阅Feed 管理文档。

注入的数据会由 Google SecOps 解析器进一步处理，这些解析器会将客户系统中的原始日志转换为统一数据模型 (UDM)，Google SecOps 中的下游系统可以使用该模型来提供其他功能，包括规则和 UDM 搜索。 Google SecOps 可以注入日志和提醒。对于提醒，Google SecOps 只能接收单事件提醒。Google SecOps 不支持接收多事件提醒。UDM 搜索可用于搜索注入的提醒和 Google SecOps 提醒。

Google SecOps 注入流程

Google SecOps 提取模式包括以下类型的数据提取：

• 将原始日志注入到 Google SecOps 中：使用 Google SecOps 转发器、注入 API、直接从 Google Cloud注入原始日志，或使用数据 Feed 注入原始日志。

• 接收其他 SIEM 生成的提醒：其他 SIEM 中生成的提醒按如下方式接收：

  1. Google SecOps 使用 Google SecOps 连接器或 Google SecOps Webhook 提取来自其他 SIEM 系统、EDR 或工单系统的提醒。
  2. Google SecOps 会注入与提醒关联的事件，并创建相应的检测。
  3. Google SecOps 会处理提醒和注入的事件。

  客户可以创建检测引擎规则，以识别提取的事件中的模式并生成额外的检测结果。

限制

数据 Feed 的日志行大小上限为 4 MB。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。