Descripción general de la SIEM de operaciones de seguridad de Google

SIEM de operaciones de seguridad de Google es un servicio en la nube, creado como una capa especializada sobre la infraestructura central de Google, diseñado para que las empresas retengan, analicen y busquen de forma privada las enormes cantidades de telemetría de red y seguridad que generan. Las operaciones de seguridad de Google normalizan, indexan, correlacionan y analizan los datos para proporcionar análisis y contexto instantáneos de la actividad riesgosa.

Las operaciones de seguridad de Google te permiten examinar la información de seguridad agregada de tu empresa durante meses o más tiempo. Usa las operaciones de seguridad de Google para buscar en todos los dominios a los que se accede dentro de tu empresa. Puedes limitar tu búsqueda a cualquier elemento, dominio o dirección IP específicos para determinar si ocurrió algún compromiso.

Descripción general de la plataforma de operaciones de seguridad de Google

Descripción general de la plataforma de operaciones de seguridad de Google

Recopilación de datos

Las operaciones de seguridad de Google pueden transferir numerosos tipos de telemetría de seguridad a través de diversos métodos, incluidos los siguientes:

  • Reenviador: Un componente de software ligero, implementado en la red del cliente, que admite syslog, la captura de paquetes y los repositorios de datos existentes de administración de registros o información de seguridad y eventos (SIEM).

  • APIs de transferencia: APIs que permiten enviar los registros directamente a la plataforma de operaciones de seguridad de Google, lo que elimina la necesidad de hardware o software adicional en los entornos de los clientes.

  • Integraciones de terceros: Integración con APIs de nube de terceros para facilitar la transferencia de registros, incluidas fuentes como Office 365 y Azure AD.

Análisis de datos

Las capacidades analíticas de las operaciones de seguridad de Google se proporcionan a los profesionales de seguridad como una aplicación simple basada en el navegador. Muchas de estas capacidades también son accesibles de manera programática a través de las APIs de Read. Las operaciones de seguridad de Google brindan a los analistas una forma, cuando ven una amenaza potencial, a determinar qué es, qué está haciendo, si es importante y la mejor manera de responder.

Seguridad y cumplimiento

Como una capa privada especializada compilada en la infraestructura central de Google, las operaciones de seguridad de Google hereda capacidades de procesamiento y almacenamiento, así como el diseño y las capacidades de seguridad de esa infraestructura.

Como parte de su diseño de seguridad, las operaciones de seguridad de Google almacena las credenciales de los usuarios (por ejemplo, las que proporcionas para que un feed de operaciones de seguridad de Google pueda transferir datos de registro de una API de terceros) en Secret Manager.

Funciones de operaciones de seguridad de Google

  • Análisis de registros sin procesar: Busca tus registros sin procesar y sin analizar.
  • Expresiones regulares: Busca en tus registros sin procesar sin analizar mediante expresiones regulares.

Vistas de investigación

  • Estadísticas empresariales: Muestra los dominios y recursos que más necesitan investigación.
  • Vista de recursos: Investiga los recursos de tu empresa y descubre si interactuaron con dominios sospechosos o no.
  • Vista de direcciones IP: Investiga las direcciones IP específicas de tu empresa y el impacto que tienen en tus recursos.
  • Vista de hash: Busca e investiga archivos en función de su valor de hash.
  • Vista de dominios: Investiga dominios específicos de tu empresa y el impacto que tienen en tus recursos.
  • Vista del usuario: Investiga a los usuarios de tu empresa que podrían haberse visto afectados por eventos de seguridad.
  • Filtrado de procedimientos: Ajusta la información sobre un recurso, lo que incluye el tipo de evento, la fuente del registro, el estado de la conexión de red y el dominio de nivel superior (TLD).

Información seleccionada

  • Bloqueos de las estadísticas de los recursos: Destaca los dominios y las alertas que podrían querer investigar más a fondo.
  • Gráfico de prevalencia: Muestra la cantidad de dominios a los que se conectó un recurso durante un período específico.
  • Alertas de productos de seguridad populares.

Motor de detección

Puedes usar el motor de detección de operaciones de seguridad de Google para automatizar el proceso de búsqueda en tus datos en busca de problemas de seguridad. Puedes especificar reglas para buscar todos los datos entrantes y notificarte cuando aparezcan amenazas potenciales y conocidas en tu empresa.

VirusTotal

Puedes iniciar VirusTotal desde Operaciones de seguridad de Google para investigar más a fondo un elemento, dominio o dirección IP haciendo clic en VT Context.