Google Security Operations SIEM – Übersicht

Google Security Operations SIEM ist ein Cloud-Dienst, der als spezialisierte Schicht auf der Google-Kerninfrastruktur aufgesetzt wird. Er wurde entwickelt, um Unternehmen die enorme Menge an Sicherheits- und Netzwerktelemetriedaten aufzubewahren, zu analysieren und zu durchsuchen. Google Security Operations normalisiert, indexiert, korreliert und analysiert die Daten, um sofortige Analysen und einen Kontext zu riskanten Aktivitäten bereitzustellen.

Mit Google Security Operations können Sie die zusammengefassten Sicherheitsinformationen Ihres Unternehmens prüfen, die mehrere Monate oder länger zurückliegen. Mit Google Security Operations können Sie alle Domains durchsuchen, auf die in Ihrem Unternehmen zugegriffen wird. Sie können die Suche auf ein bestimmtes Asset, eine bestimmte Domain oder eine bestimmte IP-Adresse eingrenzen, um festzustellen, ob ein Manipulationsversuch stattgefunden hat.

Google Security Operations Platform – Übersicht

Google Security Operations Platform – Übersicht

Datenerhebung

Google Security Operations kann zahlreiche Sicherheitstelemetrietypen über eine Vielzahl von Methoden aufnehmen, darunter:

  • Forwarder: Eine schlanke Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird und Syslog, Paketerfassung sowie vorhandene Daten-Repositories für die Logverwaltung oder für Sicherheitsinformationen und Ereignisverwaltung (SIEM) unterstützt.

  • Ingestion APIs: APIs, mit denen Protokolle direkt an die Google Security Operations Platform gesendet werden können, sodass keine zusätzliche Hardware oder Software in Kundenumgebungen erforderlich ist

  • Integrationen von Drittanbietern: Einbindung in Cloud-APIs von Drittanbietern zur einfacheren Aufnahme von Protokollen, einschließlich Quellen wie Office 365 und Azure AD.

Datenanalyse

Die Analysefunktionen von Google Security Operations werden Sicherheitsexperten als einfache, browserbasierte Anwendung zur Verfügung gestellt. Viele dieser Funktionen sind auch programmatisch über Read APIs zugänglich. Google Security Operations bietet Analysten die Möglichkeit, bei einem Erkennen einer potenziellen Bedrohung herauszufinden, um was es sich handelt, was sie tut, ob es relevant ist und wie sie am besten darauf reagieren sollten.

Sicherheit und Compliance

Als spezialisierte, private Ebene, die auf der Kerninfrastruktur von Google aufgebaut ist, übernimmt Google Security Operations die Rechen- und Speicherfunktionen sowie das Sicherheitsdesign und die Sicherheitsfunktionen dieser Infrastruktur.

Google Security Operations speichert im Rahmen seiner Sicherheitskonfiguration Nutzeranmeldedaten (z. B. Anmeldedaten, die Sie angeben, damit ein Google Security Operations-Feed Protokolldaten von einer Drittanbieter-API aufnehmen kann) in Secret Manager.

Google Security Operations-Funktionen

  • Raw Log Scan (Raw-Logscan): Sie können in Ihren nicht geparsten Rohdaten suchen.
  • Reguläre Ausdrücke: Sie können nicht geparste Rohdaten mit regulären Ausdrücken durchsuchen.

Investigative Ansichten

  • Enterprise Insights: Zeigt die Domains und Assets an, die am meisten untersucht werden müssen.
  • Asset-Ansicht: Untersuchen Sie Assets in Ihrem Unternehmen und prüfen Sie, ob sie mit verdächtigen Domains interagiert haben oder nicht.
  • IP-Adressansicht: Untersuchen Sie bestimmte IP-Adressen innerhalb Ihres Unternehmens und deren Auswirkungen auf Ihre Assets.
  • Hash-Ansicht: Sie können Dateien anhand ihres Hashwerts suchen und untersuchen.
  • Domainansicht: Untersuchen Sie bestimmte Domains innerhalb Ihres Unternehmens und deren Auswirkungen auf Ihre Assets.
  • Nutzeransicht: Hier finden Sie Informationen zu Nutzern in Ihrem Unternehmen, die möglicherweise von Sicherheitsereignissen betroffen waren.
  • Verfahrensbasierte Filterung: Sie können Informationen über ein Asset anpassen, einschließlich Ereignistyp, Protokollquelle, Netzwerkverbindungsstatus und Top-Level-Domain (TLD).

Ausgewählte Informationen

  • Blockierungen mit Asset-Statistiken: Hier werden die Domains und Benachrichtigungen hervorgehoben, die Sie sich näher ansehen sollten.
  • Grafik zur Verbreitung: Hier sehen Sie die Anzahl der Domains, mit denen ein Asset in einem bestimmten Zeitraum verbunden war.
  • Warnungen von beliebten Sicherheitsprodukten.

Erkennungsmodul

Mit der Google Security Operations Detection Engine können Sie die Suche in Ihren Daten nach Sicherheitsproblemen automatisieren. Sie können Regeln festlegen, um alle eingehenden Daten zu durchsuchen und Sie zu benachrichtigen, wenn potenzielle und bekannte Bedrohungen in Ihrem Unternehmen auftauchen.

VirusTotal

Sie können VirusTotal über Google Security Operations starten, um ein Asset, eine Domain oder eine IP-Adresse weiter zu untersuchen. Klicken Sie dazu auf VT-Kontext.