Panoramica di Google Security Operations SIEM

Google Security Operations SIEM è un servizio cloud, creato come livello specializzato in aggiunta l'infrastruttura di base di Google, concepita per consentire alle aziende di conservare, analizzare, e ricercare le enormi quantità di telemetria di sicurezza e rete che generano. Google Security Operations normalizza, indicizza, correla e analizza i dati per forniscono analisi istantanee e contesto sulle attività rischiose.

Google Security Operations ti consente di esaminare le informazioni di sicurezza aggregate per la tua azienda risalenti a mesi o più. Usa Google Security Operations per eseguire ricerche in tutti i domini a cui si accede all'interno della tua azienda. Puoi restringere la ricerca su una risorsa, un dominio o un indirizzo IP specifico per determinare se sia stato compromesso.

Panoramica della piattaforma Google Security Operations

Raccolta dei dati

Google Security Operations può importare numerosi tipi di dati di telemetria sulla sicurezza tramite vari metodi, tra cui:

• Inoltra: un componente software leggero, implementato nella rete del cliente, che supporta syslog, l'acquisizione di pacchetti e i repository di dati esistenti per la gestione dei log o la gestione degli eventi e delle informazioni di sicurezza (SIEM).

• API di importazione: API che consentono l'invio dei log direttamente alla piattaforma Google Security Operations, eliminando la necessità di hardware o software aggiuntivi negli ambienti dei clienti.

• Integrazioni di terze parti: integrazione con API cloud di terze parti per facilitare l'importazione dei log, incluse origini come Office 365 e Azure AD.

Analisi dei dati

Le funzionalità analitiche di Google Security Operations vengono fornite ai professionisti della sicurezza come un semplice strumento basato su browser un'applicazione. Molte di queste funzionalità sono accessibili anche in modo programmatico tramite le API di lettura. Quando vedono una potenziale minaccia, Google Security Operations offre agli analisti un modo per determinare cos'è e cosa sta facendo. se sono importanti e come rispondere al meglio.

Sicurezza e conformità

Google Security Operations, un livello privato specializzato basato sull'infrastruttura di base di Google, eredita le risorse di calcolo e di archiviazione così come la progettazione e le capacità di sicurezza di tale infrastruttura.

Nell'ambito della sua progettazione di sicurezza, Google Security Operations archivia le credenziali utente (ad esempio, quelle da te fornite in modo che un feed Google Security Operations possa importare i dati di log da un'API di terze parti) in Secret Manager.

Funzionalità di Google Security Operations

Cerca

• Scansione dei log non elaborati: cerca i log non elaborati e non analizzati.
• Espressioni regolari: cerca nei log non elaborati e non analizzati utilizzando espressioni regolari.

Visualizzazioni investigative

• Insight aziendali: mostra i domini e gli asset che richiedono maggiormente un'indagine.
• Visualizzazione asset: esamina gli asset all'interno della tua azienda e verifica se hanno interagito o meno con domini sospetti.
• Visualizzazione dell'indirizzo IP: consente di esaminare indirizzi IP specifici all'interno della tua azienda e l'impatto che hanno sulle tue risorse.
• Visualizzazione hash: cerca e analizza i file in base al relativo valore hash.
• Visualizzazione dominio: consente di esaminare domini specifici all'interno della tua azienda e l'impatto che hanno sui tuoi asset.
• Visualizzazione utenti: esamina gli utenti della tua azienda che potrebbero essere stati interessati da eventi di sicurezza.
• Filtro procedurale: perfeziona le informazioni su una risorsa, ad esempio per tipo di evento, origine log, stato della connessione di rete e dominio di primo livello (TLD).

Informazioni selezionate

• Blocchi delle statistiche sugli asset: evidenzia i domini e gli avvisi che potresti voler esaminare ulteriormente.
• Grafico di prevalenza: mostra il numero di domini a cui un asset è collegato in un determinato periodo di tempo.
• Avvisi dai prodotti di sicurezza più diffusi.

Detection Engine

Puoi utilizzare il motore di rilevamento di Google Security Operations per automatizzare il processo di ricerca di problemi di sicurezza nei tuoi dati. Puoi specificare regole per cercare tutti i dati in entrata e informarti quando vengono rilevate minacce potenziali e note nella tua azienda.

VirusTotal

Puoi avviare VirusTotal da Google Security Operations per esaminare ulteriormente un asset, un dominio o un indirizzo IP facendo clic su VT Context.