Visão geral do SIEM das Operações de Segurança do Google

O SIEM das Operações de Segurança do Google é um serviço em nuvem criado como uma camada especializada sobre a infraestrutura principal do Google, projetado para que as empresas retenham, analisem e pesquisem de forma privada as enormes quantidades de segurança e telemetria de rede que geram. As Operações de segurança do Google normalizam, indexam, correlacionam e analisam os dados para fornecer análise instantânea e contexto sobre atividades de risco.

Com as Operações de segurança do Google, você pode examinar as informações de segurança agregadas da sua empresa com dados de meses ou mais. Use as Operações de Segurança do Google para pesquisar em todos os domínios acessados na sua empresa. Você pode restringir a pesquisa a qualquer recurso, domínio ou endereço IP específico para determinar se ocorreu algum comprometimento.

Visão geral da plataforma Google Security Operations

Visão geral da plataforma Google Security Operations

Coleta de dados

O departamento de Operações de Segurança do Google pode ingerir vários tipos de telemetria de segurança por meio de vários métodos, incluindo:

  • Encaminhador: um componente de software leve, implantado na rede do cliente, compatível com syslog, captura de pacotes e repositórios de dados de gerenciamento de eventos e informações de segurança (SIEM, na sigla em inglês) e gerenciamento de registros atuais.

  • APIs de ingestão: APIs que permitem o envio direto de registros para a plataforma de Operações de Segurança do Google, eliminando a necessidade de hardware ou software adicional nos ambientes do cliente.

  • Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo fontes como o Office 365 e o Azure AD.

Análise de dados

Os recursos analíticos das Operações de segurança do Google são fornecidos aos profissionais de segurança como um aplicativo simples baseado em navegador. Muitos desses recursos também podem ser acessados programaticamente pelas APIs de leitura. As operações de segurança do Google oferecem aos analistas uma maneira, quando veem uma ameaça potencial, de determinar o que é, o que está fazendo, se é importante e como responder melhor.

Segurança e compliance

Como uma camada particular especializada criada sobre a infraestrutura principal do Google, as Operações de Segurança do Google herdam as capacidades de computação e armazenamento, além do design e dos recursos de segurança dessa infraestrutura.

Como parte do design de segurança, as Operações de segurança do Google armazenam credenciais no Secret Manager, como as credenciais que você fornece para que o feed de Operações de Segurança do Google processe dados de registro de uma API de terceiros.

Recursos das Operações de Segurança do Google

  • Verificação bruta de registros: pesquise seus registros brutos não analisados.
  • Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.

Opiniões investigativas

  • Insights empresariais: mostra os domínios e recursos que mais precisam de investigação.
  • Visualização de recursos: investigue os recursos na sua empresa e verifique se eles interagiram ou não com domínios suspeitos.
  • Visualização de endereço IP: investigue endereços IP específicos na sua empresa e o impacto que eles têm nos recursos.
  • Visualização de hash: pesquise e investigue arquivos com base no valor de hash deles.
  • Visualização de domínios: investigue domínios específicos da sua empresa e o impacto que eles têm nos recursos.
  • Visualização de usuários: investigue os usuários da empresa que podem ter sido afetados por ocorrências de segurança.
  • Filtragem processual: ajuste as informações sobre um recurso, inclusive por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).

Informações selecionadas

  • Blocos de insights de recursos: destaca os domínios e alertas que você talvez queira investigar mais a fundo.
  • Gráfico de prevalência: mostra o número de domínios a que um recurso se conectou em um período específico.
  • Alertas de produtos de segurança conhecidos.

Mecanismo de detecção

Use o mecanismo de detecção de operações de segurança do Google para automatizar o processo de pesquisa de problemas de segurança nos seus dados. É possível especificar regras para pesquisar todos os dados recebidos e notificar você quando ameaças conhecidas e potenciais surgirem na empresa.

VirusTotal

Você pode iniciar o VirusTotal no Google Security Operations para investigar melhor um recurso, domínio ou endereço IP clicando em VT Context.