Carregamento de dados do Google SecOps

Compatível com:

O Google Security Operations carrega os registos dos clientes, normaliza os dados e deteta alertas de segurança. Oferece funcionalidades de self-service para carregamento de dados, deteção de ameaças, alertas e gestão de registos. O Google SecOps também pode receber alertas de outros sistemas SIEM e analisá-los.

Carregamento de registos do Google SecOps

O serviço de carregamento do Google SecOps funciona como uma porta de entrada para todos os dados.

O Google SecOps carrega dados através dos seguintes sistemas:

  • Encaminhadores: agentes remotos instalados em pontos finais do cliente que enviam dados para o serviço de carregamento do Google SecOps. Para ver detalhes sobre como instalar encaminhadores do Linux e Windows, consulte o artigo Instale e configure o encaminhador.

  • Agente do Bindplane: o agente do Bindplane recolhe registos de várias origens e envia-os para o Google SecOps. Pode gerir este agente através da consola de gestão do Bindplane OP opcional. Para mais informações, consulte o artigo Use o agente Bindplane.

  • APIs de carregamento: o Google SecOps fornece APIs de carregamento públicas que lhe permitem enviar dados diretamente. Para mais informações, consulte a API Ingestion.

  • Google Cloud: o Google SecOps obtém dados diretamente da sua organização. Google Cloud Para mais informações, consulte o artigo Carregue Google Cloud dados para o Google SecOps.

  • Feeds de dados: os feeds de dados extraem dados de localizações externas estáticas (como o Amazon S3) e APIs de terceiros (como o Okta). Estes feeds de dados enviam registos diretamente para o serviço de carregamento do Google SecOps. Para mais informações, consulte a documentação de gestão de feeds.

    Os feeds de dados suportam linhas de registo com um tamanho máximo de 4 MB.

Os analisadores convertem registos de sistemas de clientes num modelo de dados unificado (UDM). Os sistemas a jusante no Google SecOps usam o UDM para oferecer capacidades adicionais, incluindo regras e pesquisa do UDM. O Google SecOps pode carregar registos e alertas, mas só suporta alertas de evento único. Pode usar a pesquisa UDM para encontrar alertas do Google SecOps carregados e incorporados.

Compreenda o processo de carregamento do Google SecOps

O Google SecOps suporta os seguintes tipos de carregamento de dados:

Registos não processados

O Google SecOps carrega registos não processados através de encaminhadores, da API de carregamento, de feeds de dados ou diretamente a partir de Google Cloud.

Alertas de outros sistemas SIEM

O Google SecOps pode carregar alertas de outros sistemas SIEM, EDRs ou sistemas de emissão de pedidos, da seguinte forma:

  1. Receba alertas através dos conetores do Google SecOps ou dos webhooks do Google SecOps.
  2. Ingerir os eventos associados a cada alerta e criar uma deteção correspondente.
  3. Processar os eventos carregados e as deteções.

Pode criar regras do motor de deteção para identificar padrões nos eventos carregados e gerar deteções adicionais.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.