Google SecOps 数据注入

Google Security Operations 会提取客户日志、将数据标准化，并检测安全提醒。它提供自助式功能，用于数据注入、威胁检测、提醒和案例管理。Google SecOps 还可以接收来自其他 SIEM 系统的提醒并对其进行分析。

Google SecOps 日志注入

Google SecOps 提取服务充当所有数据的网关。

Google SecOps 使用以下系统注入数据：

• 转发器：安装在客户端点上的远程代理，用于将数据发送到 Google SecOps 提取服务。如需详细了解如何安装 Linux 和 Windows 转发器，请参阅安装和配置转发器。

• Bindplane 代理：Bindplane 代理从各种来源收集日志，并将其发送到 Google SecOps。您可以使用可选的 Bindplane OP 管理控制台来管理此代理。如需了解详情，请参阅使用 Bindplane 代理。

• 数据提取 API：Google SecOps 提供公共数据提取 API，可让您直接发送数据。如需了解详情，请参阅提取 API。

• Google Cloud：Google SecOps 直接从您的 Google Cloud 组织检索数据。如需了解详情，请参阅将 Google Cloud数据注入到 Google SecOps。

• 数据 Feed：数据 Feed 从静态外部位置（例如 Amazon S3）和第三方 API（例如 Okta）检索数据。这些数据 Feed 会将日志直接发送到 Google SecOps 提取服务。如需了解详情，请参阅Feed 管理文档。

  数据 Feed 支持大小不超过 4 MB 的日志行。

解析器会将客户系统中的日志转换为统一数据模型 (UDM)。Google SecOps 中的下游系统使用 UDM 来提供其他功能，包括规则和 UDM 搜索。Google SecOps 可以接收日志和提醒，但仅支持单事件提醒。您可以使用 UDM 搜索来查找注入的 Google SecOps 提醒和内置的 Google SecOps 提醒。

了解 Google SecOps 注入流程

Google SecOps 支持以下类型的数据注入：

原始日志

Google SecOps 使用转发器、注入 API、数据 Feed 或直接从 Google Cloud注入原始日志。

来自其他 SIEM 系统的提醒

Google SecOps 可以从其他 SIEM 系统、EDR 或工单系统注入提醒，如下所示：

1. 使用 Google SecOps 连接器或 Google SecOps Webhook 接收提醒。
2. 提取与每个提醒相关联的事件，并创建相应的检测。
3. 处理提取的事件和检测结果。

您可以创建检测引擎规则，以识别提取的事件中的模式并生成其他检测结果。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。