Cette page a été traduite par l'API Cloud Translation.

Présentation de SIEM Google Security Operations

La solution SIEM de Google Security Operations est un service cloud reposant sur une couche spécialisée s'appuyant sur l'infrastructure Google principale. Elle est conçue pour permettre aux entreprises de conserver, d'analyser et de rechercher de manière privée les énormes quantités de données de sécurité et de télémétrie réseau qu'elles génèrent. Google Security Operations normalise, indexe, met en corrélation et analyse les données pour fournir une analyse instantanée et contextualiser les activités à risque.

La suite Google Opérations de sécurité vous permet d'examiner les informations de sécurité agrégées de votre entreprise en remontant jusqu'à plusieurs mois en arrière. Utilisez les opérations de sécurité Google pour effectuer des recherches dans tous les domaines accessibles au sein de votre entreprise. Vous pouvez limiter votre recherche à un élément, un domaine ou une adresse IP spécifique afin de déterminer s'il y a eu un piratage.

Présentation de la plate-forme Opérations de sécurité Google

Présentation de la plate-forme Opérations de sécurité Google

Collecte des données

La suite Google Opérations de sécurité peut ingérer de nombreux types de télémétrie de sécurité à l'aide de différentes méthodes:

Forwarder: composant logiciel léger, déployé sur le réseau du client, qui prend en charge syslog, la capture de paquets et les référentiels de données de gestion des journaux ou de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management) existants.
API d'ingestion: API qui permettent d'envoyer les journaux directement à la plate-forme Opérations de sécurité Google, ce qui évite d'avoir à utiliser du matériel ou des logiciels supplémentaires dans les environnements des clients.
Intégrations tierces: intégration à des API cloud tierces pour faciliter l'ingestion de journaux, y compris de sources telles qu'Office 365 et Azure AD.

Analyse des données

Les fonctionnalités d'analyse des opérations de sécurité Google sont fournies aux professionnels de la sécurité sous la forme d'une application simple basée sur un navigateur. La plupart de ces fonctionnalités sont également accessibles de manière automatisée via les API Read. Lorsqu'ils identifient une menace potentielle, Google Security Operations permet aux analystes de déterminer de quoi il s'agit, ce qu'elle fait, si elle est importante et la meilleure façon de réagir.

Sécurité et conformité

En tant que couche privée spécialisée reposant sur l'infrastructure principale de Google, la suite Google Security Operations hérite des capacités de calcul et de stockage, ainsi que de la conception et des fonctionnalités de sécurité de cette infrastructure.

Dans le cadre de la conception de la sécurité, la suite Opérations de sécurité Google stocke les identifiants utilisateur (par exemple, les identifiants que vous fournissez pour qu'un flux Opérations de sécurité Google puisse ingérer les données de journaux d'une API tierce) dans Secret Manager.

Fonctionnalités Opérations de sécurité Google

Rechercher

Analyse des journaux bruts: recherchez des journaux bruts non analysés.
Expressions régulières: recherchez des journaux bruts non analysés à l'aide d'expressions régulières.

Vues d'investigation

Insights pour l'entreprise: affiche les domaines et les éléments qui nécessitent le plus d'examen.
Vue des éléments: examinez les éléments de votre entreprise et déterminez s'ils ont interagi avec des domaines suspects.
Vue "Adresse IP" : examinez des adresses IP spécifiques au sein de votre entreprise et examinez leur impact sur vos éléments.
Vue de hachage: recherchez et examinez des fichiers en fonction de leur valeur de hachage.
Vue du domaine: examinez des domaines spécifiques de votre entreprise et examinez leur impact sur vos éléments.
Vue utilisateur: examinez les utilisateurs de votre entreprise susceptibles d'avoir été affectés par des événements liés à la sécurité.
Filtrage procédural: affinez les informations concernant un élément, y compris le type d'événement, la source du journal, l'état de la connexion réseau et le domaine de premier niveau (TLD).

Informations sélectionnées

Blocs "Insights sur les assets" : met en évidence les domaines et les alertes qui pourraient vous intéresser.
Graphique de prévalence: indique le nombre de domaines auxquels un élément est connecté sur une période donnée.
Alertes de produits de sécurité courants

Moteur de détection

Vous pouvez utiliser le moteur Google Security Operations Detection pour automatiser le processus de recherche de problèmes de sécurité dans vos données. Vous pouvez spécifier des règles pour effectuer des recherches dans toutes vos données entrantes et être informé de l'apparition de menaces potentielles et connues dans votre entreprise.

VirusTotal

Vous pouvez lancer VirusTotal à partir des opérations de sécurité Google pour examiner plus en détail un élément, un domaine ou une adresse IP en cliquant sur VT Context (Contexte VT).