Présentation de Google Security Operations SIEM

Compatible avec:

Le SIEM Google Security Operations est un service cloud, conçu comme une couche spécialisée sur l'infrastructure de base de Google. Il permet aux entreprises de conserver, d'analyser et de rechercher de manière privée les quantités massives de télémétrie de sécurité et de réseau qu'elles génèrent. Google Security Operations normalise, indexe, corréle et analyse les données pour fournissent une analyse instantanée et du contexte sur les activités à risque.

Google Security Operations vous permet d'examiner les informations agrégées sur la sécurité pour votre entreprise pendant des mois ou plus. Utilisez Google Security Operations pour effectuer des recherches dans tous les domaines auxquels votre entreprise accède. Vous pouvez restreindre votre recherche sur un élément, un domaine ou une adresse IP spécifique pour déterminer compromis a eu lieu.

Présentation de la plate-forme Google Security Operations

Présentation de la plate-forme Google Security Operations

Collecte des données

Google Security Operations peut ingérer de nombreux types de télémétrie de sécurité via différentes méthodes, y compris les suivantes :

  • Forwarder: composant logiciel léger, déployé sur le réseau du client, qui prend en charge syslog, la capture de paquets, et dans les référentiels de gestion des journaux ou de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management).

  • API d'ingestion: API qui permettent d'envoyer les journaux directement à la plate-forme Google Security Operations, éliminant le besoin de matériel ou de logiciels supplémentaires dans les environnements des clients.

  • Intégrations tierces : intégration aux API cloud tierces pour faciliter l'ingestion des journaux, y compris des sources telles qu'Office 365 et Azure AD.

Analyse des données

Les fonctionnalités d'analyse de Google Security Operations sont mises à la disposition des professionnels de la sécurité sous la forme d'un application. Bon nombre de ces fonctionnalités sont également accessibles de manière automatisée via les API Read. Google Security Operations permet aux analystes de déterminer, lorsqu'ils détectent une menace potentielle, de quoi il s'agit, ce qu'elle fait, si elle est importante et comment y répondre au mieux.

Sécurité et conformité

En tant que couche privée spécialisée construite sur l'infrastructure principale de Google, Google Security Operations hérite des fonctionnalités de calcul et de stockage, ainsi que de la conception et des fonctionnalités de sécurité de cette infrastructure.

Dans le cadre de sa conception de la sécurité, Google Security Operations stocke les identifiants utilisateur (par exemple, les identifiants que vous fournissez pour qu'un flux Google Security Operations puisse ingérer les données de journaux d'une API tierce) dans Secret Manager.

Fonctionnalités de Google Security Operations

  • Analyse des journaux bruts: recherchez vos journaux bruts non analysés.
  • Expressions régulières: effectuez des recherches dans vos journaux bruts non analysés à l'aide d'expressions régulières.

Points de vue d'investigation

  • Enterprise Insights: affiche les domaines et les éléments qui nécessitent le plus d'examen.
  • Vue des éléments: examinez les ressources de votre entreprise et déterminez s'ils ont interagi avec des domaines suspects.
  • Vue des adresses IP: recherchez des adresses IP spécifiques dans votre entreprise et l'impact qu'elles ont sur vos ressources.
  • Vue de hachage: recherchez et examinez des fichiers en fonction de leur valeur de hachage.
  • Vue par domaine : examinez des domaines spécifiques de votre entreprise et leur impact sur vos composants.
  • Vue utilisateur : examinez les utilisateurs de votre entreprise qui ont peut-être été affectés par des événements de sécurité.
  • Filtrage procédural : affinez les informations sur un composant, y compris par type d'événement, source de journal, état de la connexion réseau et domaine de premier niveau (TLD).

Informations sélectionnées

  • Blocs d'insights sur les composants : met en évidence les domaines et les alertes que vous souhaitez examiner plus en détail.
  • Graphique de prévalence: indique le nombre de domaines auxquels un composant s'est connecté sur une période donnée.
  • Alertes provenant de produits de sécurité populaires

Moteur de détection

Vous pouvez utiliser le moteur de détection Google Security Operations pour automatiser la recherche de problèmes de sécurité dans vos données. Vous pouvez spécifier des règles pour rechercher toutes vos données entrantes et vous informer lorsque des menaces potentielles et connues apparaissent dans votre entreprise.

VirusTotal

Vous pouvez lancer VirusTotal depuis Google Security Operations pour examiner plus en détail un composant, un domaine ou une adresse IP en cliquant sur Contexte VT.