Google SecOps 整合地端 SIEM

很多企业在本地可能已经搭建了安全信息与事件管理系统 SIEM（Security Information and Event Management），用来集中收集和管理各种审计日志以及安全设备（NGFW、WAF、IPS、EDR）产生的安全相关日志。但是在云环境中，由于以下限制，往往无法实现对这些日志的统一收录：

• 本地部署的 SIEM 系统没有足够空间或是收到 SIEM License 可限制，无法容纳从云端传输过来的大量日志数据。

• 本地部署的 SIEM 系统无法有效解析来自云端环境的日志数据并进行监控。

• 将云端产生的海量日志数据传输到本地部署的 SIEM 系统需要消耗大量的网络带宽及较高的网络传输成本。

现在，越来越多的企业开始在云端环境中部署云原生的 SIEM 系统，用来收集云端环境产生的各种日志。除了公共云平台，企业还将一些常用的 SaaS 服务（如 Salesforce CRM、SAP SuccessFactors EHR）以及端点检测与响应（EDR）解决方案产生的原始事件和警报日志（这些日志原本就存储在云平台上）也一并收录到云端的 SIEM 系统中。这样一来，企业就可以将所有云端相关的日志集中管理，无需再将这些日志传输回本地的数据中心，从而节省了大量的网络传输成本。

Google SecOps 是 Google Cloud 提供的云原生安全监控解决方案。它内置了 SIEM 和 SOAR（Security Orchestration，Automation，and Response）安全编排、自动化和响应功能，能够集中收集和分析来自公有云平台（GCP，Azure，AWS）、EDR（CrowdStrike，SentinelOne，Palo Alto Cortex XDR）、WAF/CDN（Akamai，CloudFlare，Imperva）、NGFW（PaloAlto，Cisco Firepower，Checkpoint，Fortinet）、SaaS 应用（Office365，Salesforce，Workday）——参考文件

很多客户问到，在云端环境建立云原生的 SIEM，如何和本地部署 SIEM 进行警报的同步？基本上，可以通过 Pub/Sub 异步消息传递服务，将指定的警报同步到本地部署的 SIEM 进行整合。本地部署的 SIEM 或是事件单管理系统，可以定期从 Pub/Sub 的 Topic 取得需要整合或进行通报的警报，就可以大量减少需要从云端往地端传送的日志及警报。

通过下方构架图来进行更进一步说明：

• 首先，我们可以将云平台的审计日志以及云安全态势管理（CSPM）和云工作负载保护平台（CWPP）产生的警报信息集中到 Google SecOps（SIEM）系统中。

• 可以将 CSPM/CWPP 检测到的重要警报（例如，主机进行挖矿、密钥泄露、云环境被黑客利用进行 DDoS 攻击等），直接转发到 Pub/Sub，同步到本地 SIEM 系统。——（参考文件）

• 当 Google SecOps 中内置或自定义的监控规则触发警报时，可以通过 SOAR Playbook 调用 Google Cloud API，将特定的警报发送到 Pub/Sub。 （参考 SOAR 文档和 Pub/Sub 发布消息 API）

• 本地系统定期到 Pub/Sub 的 Topic 获取相关警报事件（Pub/Sub Pull Message API）

通过 Google Cloud Pub/Sub 连接云端和本地 SIEM 系统