Google Security Operations SIEM 概览

Google 安全运营 SIEM 是一项云服务,作为基于 SIEM 的专用层构建 Google 核心基础架构,旨在供企业以私密方式保留、分析 并搜索它们生成的大量安全和网络遥测数据。 Google Security Operations 会对数据进行标准化、编制索引、关联和分析, 针对有风险的活动提供即时分析和背景信息。

Google Security Operations 可让您检查汇总的安全信息 使用 Google Security Operations 实现以下目的: 在您的企业内访问的所有网域内进行搜索。您可以缩小 对任何特定资产、域名或 IP 地址进行搜索,以确定是否存在 是否发生安全事故

Google Security Operations 平台概览

Google Security Operations 平台概览

数据收集

Google Security Operations 可以通过多种方法注入多种安全遥测类型,包括:

  • 转发器:一种部署在客户网络中的轻量级软件组件,支持 Syslog、数据包捕获以及现有日志管理或安全信息与事件管理 (SIEM) 数据存储库。

  • 提取 API:可将日志直接发送到 Google Security Operations 平台的 API,无需在客户环境中使用其他硬件或软件。

  • 第三方集成:与第三方云 API 集成,以便提取日志,包括 Office 365 和 Azure AD 等来源。

数据分析

Google Security Operations 的分析功能以简单的浏览器形式向安全专业人员提供 应用。其中许多功能也可通过 Read API 以编程方式访问。Google Security Operations 让分析师可在发现潜在威胁时确定威胁是什么、正在做什么, 重要性以及最佳回应方式。

安全与合规性

Google Security Operations 作为在 Google 核心基础架构上构建的专用专用层,可继承计算和存储服务 以及该基础架构的安全设计和功能。

作为安全设计的一部分,Google Security Operations 会将用户凭据(例如,您为 Google Security Operations Feed 从第三方 API 注入日志数据而提供的凭据)存储在 Secret Manager 中。

Google Security Operations 功能

  • 原始日志扫描:搜索未解析的原始日志。
  • 正则表达式:使用正则表达式搜索未解析的原始日志。

调查视图

  • 企业数据洞察:显示最需要调查的网域和资产。
  • “资产”视图:调查企业内的资产,以及资产是否与可疑网域互动。
  • “IP 地址”视图:调查企业内的特定 IP 地址及其对资产的影响。
  • “哈希”视图:根据文件的哈希值搜索和调查文件。
  • “网域”视图:调查企业中的特定网域及其对资产的影响。
  • “用户”视图:调查您企业中可能受安全性事件影响的用户。
  • 过程过滤:微调有关资产的信息,包括按事件类型、日志源、网络连接状态和顶级域名 (TLD)。

精选信息

  • 资产数据洞察块:突出显示您可能需要进一步调查的网域和提醒。
  • 普及率图表:显示指定时间段内资产关联的网域数量。
  • 来自热门安全产品的提醒。

检测引擎

您可以使用 Google Security Operations 检测引擎自动在整个 您的数据是否存在安全问题您可以指定规则以搜索所有传入数据,并在您的企业出现潜在和已知威胁时通知您。

VirusTotal

您可以点击 VT 上下文,从 Google Security Operations 中启动 VirusTotal,以进一步调查资产、网域或 IP 地址。