Google Security Operations SIEM 概览

Google 安全运营 SIEM 是一项云服务，是在 Google 核心基础架构之上构建的一个专用层，专为企业设计，可私密地保留、分析和搜索其生成的海量安全和网络遥测数据。Google 安全运维套件会对数据进行标准化、索引、关联和分析，以提供关于风险活动的即时分析和背景信息。

借助 Google 安全运维套件，您可以检查企业数月或更长时间的汇总安全信息。使用 Google 安全运维套件在您的企业内访问的所有网域中进行搜索。您可以将搜索范围缩小到任何特定资产、网域或 IP 地址，以确定是否存在任何入侵行为。

Google Security Operations 平台概览

数据收集

Google 安全运营团队可以通过多种方法注入大量安全遥测数据，包括：

• 转发器：一种部署在客户网络中的轻量级软件组件，支持 Syslog、数据包捕获以及现有日志管理或安全信息与事件管理 (SIEM) 数据存储库。

• 提取 API：此类 API 可将日志直接发送到 Google 安全运营平台，而无需在客户环境中使用其他硬件或软件。

• 第三方集成：与第三方云 API 集成，以便提取日志，包括 Office 365 和 Azure AD 等来源。

数据分析

Google Security Operations 的分析功能以基于浏览器的简单应用的形式提供给安全专业人员。其中许多功能也可通过 Read API 以编程方式访问。Google 安全运维套件为分析师提供了一种方式，当他们发现潜在威胁时，可确定它是什么、它正在做什么、它是否重要，以及最佳应对方式。

安全与合规性

作为在 Google 核心基础架构之上构建的专用私有层，Google 安全运营团队继承了相应基础架构的计算和存储功能以及安全设计和功能。

作为安全设计工作的一部分，Google 安全运营团队会将用户凭据（例如，您提供的凭据，以便 Google Security Operations Feed 能从第三方 API 中注入日志数据）存储在 Secret Manager 中。

Google Security Operations 功能

搜索

• 原始日志扫描：搜索未解析的原始日志。
• 正则表达式：使用正则表达式搜索未解析的原始日志。

调查视图

• 企业数据洞察：显示最需要调查的网域和资产。
• “资产”视图：调查企业内的资产，以及资产是否与可疑网域互动。
• “IP 地址”视图：调查企业内的特定 IP 地址及其对资产的影响。
• “哈希”视图：根据文件的哈希值搜索和调查文件。
• “网域”视图：调查企业中的特定网域及其对资产的影响。
• “用户”视图：调查您企业中可能受安全性事件影响的用户。
• 过程过滤：微调有关资产的信息，包括按事件类型、日志源、网络连接状态和顶级域名 (TLD)。

精选信息

• 资产数据洞察块：突出显示您可能需要进一步调查的网域和提醒。
• 普及率图表：显示指定时间段内资产关联的网域数量。
• 来自热门安全产品的提醒。

检测引擎

您可以使用 Google Security Operations Detection Engine 自动在数据中搜索安全问题。您可以指定规则以搜索所有传入数据，并在您的企业出现潜在和已知威胁时通知您。

VirusTotal

您可以从 Google 安全运维套件启动 VirusTotal，点击 VT Context（VT 上下文），以进一步调查资产、域名或 IP 地址。