Google Security Operations SIEM 總覽

Google Security Operations SIEM 是一項雲端服務，以核心 Google 基礎架構為基礎，專為企業設計，可私下保留、分析及搜尋大量產生的安全性與網路遙測資料。Google Security Operations 會將資料標準化、建立索引、相互關聯及分析，以便即時分析及掌握有風險的活動情況。

Google Security Operations 可讓您檢查企業的匯總安全資訊，時間可回溯數月以上。使用 Google Security Operations 搜尋企業內存取的所有網域。您可以縮小搜尋範圍，只搜尋特定資產、網域或 IP 位址，判斷是否發生任何安全漏洞。

Google Security Operations 平台總覽

資料收集

Google Security Operations 可透過多種方法擷取多種安全遙測類型，包括：

• 轉送器：部署在客戶網路中的輕量型軟體元件，支援系統記錄、封包擷取，以及現有的記錄管理或安全資訊與事件管理 (SIEM) 資料存放區。

• 擷取 API：可將記錄直接傳送至 Google Security Operations 平台的 API，因此客戶環境中不需要額外的硬體或軟體。

• 第三方整合：與第三方雲端 API 整合，方便擷取記錄，包括 Office 365 和 Azure AD 等來源。

資料分析

Google Security Operations 的分析功能以簡單的瀏覽器應用程式形式提供給資安專業人員。您也可以透過 Read API，以程式輔助方式存取許多這類功能。Google Security Operations 可協助分析師在發現潛在威脅時，判斷威脅的性質、行為、重要性，以及最佳應對方式。

安全性與法規遵循

Google Security Operations 是建構在 Google 核心基礎架構上的專屬私有層，因此繼承了該基礎架構的運算和儲存功能，以及安全設計和功能。

Google SecOps 的安全設計包括將使用者憑證 (例如您提供的憑證，讓 Google SecOps 資訊串流可從第三方 API 擷取記錄資料) 儲存在 Secret Manager 中。

Google Security Operations 功能

搜尋

• 原始記錄掃描：搜尋未剖析的原始記錄。
• 規則運算式：使用規則運算式搜尋未經剖析的原始記錄。

調查檢視畫面

• 資產檢視畫面：調查企業內的資產，以及這些資產是否與可疑網域互動。
• IP 位址檢視畫面：調查企業內的特定 IP 位址，以及這些位址對資產的影響。
• 雜湊檢視畫面：根據雜湊值搜尋及調查檔案。
• 網域檢視畫面：調查企業內的特定網域，以及這些網域對資產的影響。
• 使用者檢視畫面：調查企業中可能受到安全性事件影響的使用者。
• 程序篩選：精細調整資產相關資訊，包括事件類型、記錄來源、網路連線狀態和頂層網域 (TLD)。

精選資訊

• 資產洞察區塊：醒目顯示您可能想進一步調查的網域和快訊。
• 使用率圖表：顯示資產在指定時間範圍內連結的網域數量。

偵測引擎

您可以使用 Google Security Operations Detection Engine，自動搜尋資料中的安全性問題。您可以指定規則來搜尋所有傳入資料，並在企業中出現潛在和已知威脅時收到通知。

VirusTotal

您可以從 Google Security Operations 啟動 VirusTotal，然後按一下「VT Context」，進一步調查資產、網域或 IP 位址。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。