Datenaufnahme in Chronicle – Übersicht

Das folgende Diagramm zeigt, wie Ihre Sicherheitsdaten zu Chronicle übertragen werden können und wie Chronicle diese Daten verarbeitet und für die Analyse über die Chronicle-Benutzeroberfläche aufbereitet.

Ablauf und Verarbeitung von Sicherheitsdaten von Kunden in Chronicle

Chronicle verarbeitet Daten zur Kundensicherheit so:

1. Ein interner Datenweiterleitungsdienst (z. B. Chronicle Forwarder) oder ein standardmäßiges sicheres Protokoll (z. B. SFTP) sendet Sicherheitsrohdaten direkt an Chronicle. Die Sicherheitsdaten werden bei der Übertragung zu Chronicle verschlüsselt.
2. Chronicle ruft Sicherheitsdaten ab, die in einem Cloud-Dienst wie Amazon S3 oder Google Cloud gespeichert sind. Die Daten werden bei der Übertragung zu Chronicle verschlüsselt.
3. Chronicle trennt logisch Ihre Sicherheitsdaten und speichert sie in verschlüsselter Form in Ihrem Konto. Die Daten werden nur vom Kunden sowie einer begrenzten Anzahl von Google-Mitarbeitern abgerufen, soweit dies für den Support, die Entwicklung und die Wartung des Produkts erforderlich ist.
4. Chronicle parst und validiert die Sicherheitsrohdaten, was die Verarbeitung und Anzeige von Daten vereinfacht.
5. Chronicle indexiert die Daten, um die Suche zu vereinfachen.
6. Nachdem sie validiert und geparst wurden, prüft Chronicle die Sicherheitsdaten mit Feeds von Drittanbietern (z. B. dem DHS-Bedrohungsfeed) und den internen Tools und Systemen zur Bedrohungsanalyse von Chronicle.
7. Chronicle speichert geparste und indexierte Daten in verschlüsselter Form in jedem Konto.
8. Sie melden sich in Ihrem Konto an, um Ihre Sicherheitsdaten zu suchen und zu überprüfen.
9. Chronicle sucht nach Übereinstimmungen zwischen Ihren Sicherheitsdaten und der Malware-Datenbank VirusTotal. Klicken Sie in einer Chronicle-Ereignisansicht wie der Asset-Ansicht auf VT-Kontext, um Informationen aus VirusTotal aufzurufen. Ihre Sicherheitsdaten werden nie an VirusTotal weitergegeben.