Présentation de Google Security Operations SIEM

Le service SIEM Google Security Operations est un service cloud conçu comme une couche spécialisée l'infrastructure de base de Google, conçue pour permettre aux entreprises de conserver, d'analyser et effectuer des recherches dans les quantités phénoménales de télémétrie réseau et de sécurité qu'elles génèrent. Google Security Operations normalise, indexe, corréle et analyse les données pour fournissent une analyse instantanée et du contexte sur les activités à risque.

Google Security Operations vous permet d'examiner des informations agrégées sur la sécurité pour votre entreprise pendant des mois ou plus. Utilisez Google Security Operations pour permet d'effectuer des recherches dans tous les domaines de votre entreprise. Vous pouvez restreindre votre recherche sur un élément, un domaine ou une adresse IP spécifique pour déterminer compromis a eu lieu.

Présentation de la plate-forme Google Security Operations

Présentation de la plate-forme Google Security Operations

Collecte des données

Google Security Operations peut ingérer de nombreux types de télémétrie de sécurité via différentes méthodes, y compris:

  • Forwarder: composant logiciel léger, déployé sur le réseau du client, qui prend en charge syslog, la capture de paquets, et dans les référentiels de gestion des journaux ou de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management).

  • API d'ingestion: API qui permettent d'envoyer les journaux directement à la plate-forme Google Security Operations, éliminant le besoin de matériel ou de logiciels supplémentaires dans les environnements des clients.

  • Intégrations tierces: l'intégration à des API cloud tierces facilite l'ingestion de journaux, y compris de sources telles qu'Office 365 et Azure AD.

Analyse des données

Les fonctionnalités d'analyse de Google Security Operations sont mises à la disposition des professionnels de la sécurité sous la forme d'un application. Bon nombre de ces fonctionnalités sont également accessibles de manière automatisée via les API Read. Google Security Operations permet aux analystes d'identifier une menace potentielle pour identifier si elles sont importantes et comment y répondre au mieux.

Sécurité et conformité

En tant que couche privée spécialisée basée sur l'infrastructure principale de Google, Google Security Operations hérite du calcul et du stockage ainsi que la conception et les capacités de sécurité de cette infrastructure.

Dans le cadre de sa conception de la sécurité, Google Security Operations stocke les identifiants utilisateur (par exemple, les identifiants que vous fournissez pour qu'un flux Google Security Operations puisse ingérer les données de journaux d'une API tierce) dans Secret Manager.

Fonctionnalités de Google Security Operations

  • Analyse des journaux bruts: recherchez vos journaux bruts non analysés.
  • Expressions régulières: effectuez des recherches dans vos journaux bruts non analysés à l'aide d'expressions régulières.

Points de vue d'investigation

  • Enterprise Insights: affiche les domaines et les éléments qui nécessitent le plus d'examen.
  • Vue des éléments: examinez les ressources de votre entreprise et déterminez s'ils ont interagi avec des domaines suspects.
  • Vue des adresses IP: recherchez des adresses IP spécifiques dans votre entreprise et l'impact qu'elles ont sur vos ressources.
  • Vue de hachage: recherchez et examinez des fichiers en fonction de leur valeur de hachage.
  • Vue du domaine: examinez des domaines spécifiques de votre entreprise et l'impact qu'ils ont sur vos ressources.
  • Vue des utilisateurs: examinez les utilisateurs de votre entreprise qui ont pu être affectés par des événements liés à la sécurité.
  • Filtrage procédural: affinez les informations sur une ressource, y compris par type d'événement, source du journal, état de connexion réseau et domaine de premier niveau (TLD).

Informations sélectionnées

  • Blocs d'insights sur les éléments: indique les domaines et les alertes que vous pourriez vouloir examiner plus en détail.
  • Graphique de prévalence: indique le nombre de domaines auxquels un composant s'est connecté sur une période donnée.
  • Alertes de produits de sécurité populaires.

Moteur de détection

Vous pouvez utiliser le moteur de détection des opérations de sécurité Google pour automatiser le processus de recherche dans vos données pour des problèmes de sécurité. Vous pouvez spécifier des règles pour rechercher toutes vos données entrantes et vous informer lorsque des menaces potentielles et connues apparaissent dans votre entreprise.

VirusTotal

Vous pouvez lancer VirusTotal à partir de Google Security Operations pour examiner plus en détail un élément, un domaine ou une adresse IP en cliquant sur VT Context (Contexte de la vérification).