Google Security Operations 데이터 수집
Chronicle Security Operations는 고객으로부터 로그를 수집하고 데이터를 정규화하며 보안 알림을 감지합니다. Google Security Operations SIEM은 데이터 수집, 위협 감지, 알림, 케이스 관리에 대한 셀프서비스 기능을 제공합니다. Google Security Operations는 다른 SIEM 시스템의 알림을 수집할 수도 있습니다. 이러한 알림은 Google Security Operations SIEM 계정에 수집되고 이 계정에서 분석될 수 있습니다.
Google Security Operations SIEM 로그 수집
Google Security Operations SIEM 수집 서비스는 모든 데이터의 게이트웨이 역할을 수행합니다. Google Security Operations SIEM은 다음 시스템을 사용하여 데이터를 수집합니다.
전달자: Google Security Operations SIEM 전달자는 고객 엔드포인트에 설치되는 원격 에이전트입니다. 전달자는 데이터를 Google Security Operations SIEM 수집 서비스로 전송합니다. 자세한 내용은 Linux 또는 Windows 전달자 설치를 참조하세요.
수집 API: Google Security Operations SIEM에는 공개 수집 API가 있으므로 고객은 데이터를 이러한 API로 직접 전송할 수 있습니다. 자세한 내용은 Ingestion API를 참조하세요.
Google Cloud: Google Security Operations SIEM은 Google Cloud 계정에서 직접 데이터를 가져올 수 있습니다. 자세한 내용은 Google SecOps에 Google Cloud 데이터 수집을 참조하세요.
데이터 피드: Google Security Operations SIEM은 정적 외부 위치(예: Amazon S3) 및 서드 파티 API(예: Okta)에서 데이터를 가져올 수 있는 데이터 피드 집합을 지원합니다. 이러한 데이터 피드는 로그를 Google Security Operations SIEM 수집 서비스로 직접 전송합니다. 자세한 내용은 피드 관리 문서를 참조하세요.
Google Security Operations SIEM 파서에서 수집된 데이터를 추가로 처리합니다. 이 파서는 고객 시스템의 원시 로그를 Google Security Operations SIEM 내 다운스트림 시스템에서 규칙 및 UDM 검색과 같은 추가 기능을 제공하는 데 사용할 수 있는 통합 데이터 모델(UDM)로 변환합니다. Google Security Operations SIEM은 로그와 알림 모두 수집할 수 있습니다. 알림의 경우 Google Security Operations SIEM은 단일 이벤트 알림만 수집할 수 있습니다. Google Security Operations SIEM은 멀티 이벤트 알림을 수집할 수 없습니다. UDM 검색을 사용하여 수집된 알림과 Google Security Operations SOAR 알림 모두 검색할 수 있습니다.
Google Security Operations 수집 프로세스
Google Security Operations 수집 모드에는 다음 유형의 데이터 수집이 포함됩니다.
Google Security Operations에 원시 로그 수집: Google Security Operations SIEM 전달자, 수집 API, Google Cloud에서 직접 또는 데이터 피드를 사용하여 원시 로그를 수집합니다.
다른 SIEM에서 생성된 알림 수집: 다른 SIEM에서 생성된 알림은 다음과 같이 수집됩니다.
- Google Security Operations는 Google Security Operations SOAR 커넥터 또는 Google Security Operations SOAR 웹훅을 사용하여 다른 SIEM 시스템, EDR 또는 티켓팅 시스템에서 알림을 수집합니다.
- Google Security Operations SOAR은 알림과 연결된 이벤트를 수집하고 해당 감지를 만듭니다.
- Google Security Operations SOAR은 알림과 수집된 이벤트를 처리합니다.
고객은 수집된 이벤트에서 패턴을 파악하고 추가 감지를 생성하도록 감지 엔진 규칙을 만들 수 있습니다.