Datenaufnahme in Chronicle – Übersicht
Das folgende Diagramm zeigt, wie Ihre Sicherheitsdaten zu Chronicle übertragen werden können und wie Chronicle diese Daten verarbeitet und für die Analyse über die Chronicle-Benutzeroberfläche aufbereitet.
Ablauf und Verarbeitung von Sicherheitsdaten von Kunden in Chronicle
Chronicle verarbeitet Daten zur Kundensicherheit so:
- Ein interner Datenweiterleitungsdienst (z. B. Chronicle Forwarder) oder ein standardmäßiges sicheres Protokoll (z. B. SFTP) sendet Sicherheitsrohdaten direkt an Chronicle. Die Sicherheitsdaten werden bei der Übertragung zu Chronicle verschlüsselt.
- Chronicle ruft Sicherheitsdaten ab, die in einem Cloud-Dienst wie Amazon S3 oder Google Cloud gespeichert sind. Die Daten werden bei der Übertragung zu Chronicle verschlüsselt.
- Chronicle trennt logisch Ihre Sicherheitsdaten und speichert sie in verschlüsselter Form in Ihrem Konto. Die Daten werden nur vom Kunden sowie einer begrenzten Anzahl von Google-Mitarbeitern abgerufen, soweit dies für den Support, die Entwicklung und die Wartung des Produkts erforderlich ist.
- Chronicle parst und validiert die Sicherheitsrohdaten, was die Verarbeitung und Anzeige von Daten vereinfacht.
- Chronicle indexiert die Daten, um die Suche zu vereinfachen.
- Nachdem sie validiert und geparst wurden, prüft Chronicle die Sicherheitsdaten mit Feeds von Drittanbietern (z. B. dem DHS-Bedrohungsfeed) und den internen Tools und Systemen zur Bedrohungsanalyse von Chronicle.
- Chronicle speichert geparste und indexierte Daten in verschlüsselter Form in jedem Konto.
- Sie melden sich in Ihrem Konto an, um Ihre Sicherheitsdaten zu suchen und zu überprüfen.
- Chronicle sucht nach Übereinstimmungen zwischen Ihren Sicherheitsdaten und der Malware-Datenbank VirusTotal. Klicken Sie in einer Chronicle-Ereignisansicht wie der Asset-Ansicht auf VT-Kontext, um Informationen aus VirusTotal aufzurufen. Ihre Sicherheitsdaten werden nie an VirusTotal weitergegeben.