Google Security Operations SIEM – Übersicht

Unterstützt in:

Google Security Operations SIEM ist ein Cloud-Dienst, der als spezielle Schicht auf der Google-Kerninfrastruktur aufgebaut wurde. Er wurde für Unternehmen entwickelt, die die von ihnen generierten riesigen Mengen an Sicherheits- und Netzwerktelemetriedaten privat aufbewahren, analysieren und durchsuchen möchten. Google Security Operations normalisiert, indexiert, korreliert und analysiert die Daten, um sofortige Analysen und Kontext zu riskanten Aktivitäten bereitzustellen.

Mit Google Security Operations können Sie zusammengefasste Sicherheitsinformationen für Ihr Unternehmen speichern, suchen und prüfen. Dabei kann es mehrere Monate oder länger dauern. Mit Google Security Operations können Sie in allen Domains suchen, auf die in Ihrem Unternehmen zugegriffen wird. Sie können die Suche auf ein bestimmtes Asset, eine Domain oder eine IP-Adresse eingrenzen, um festzustellen, ob es zu einer Manipulation gekommen ist.

Google Security Operations Platform – Übersicht

Google Security Operations-Plattform – Übersicht

Datenerhebung

Google Security Operations kann zahlreiche Arten von Sicherheitsmesswerten auf unterschiedliche Weise aufnehmen, darunter:

  • Forwarder: Eine schlanke Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird und syslog, Paketerfassung und vorhandene Datenrepositories für die Protokollverwaltung oder für Sicherheitsinformationen und Ereignisverwaltung (Security Information and Event Management, SIEM) unterstützt.

  • Datenaufnahme-APIs: APIs, mit denen Protokolle direkt an die Google Security Operations-Plattform gesendet werden können, sodass keine zusätzliche Hardware oder Software in Kundenumgebungen erforderlich ist.

  • Integrationen externer Anbieter: Integration von Cloud-APIs von Drittanbietern zur einfachen Aufnahme von Protokollen, einschließlich Quellen wie Office 365 und Azure AD.

Datenanalyse

Die Analysefunktionen von Google Security Operations werden Sicherheitsexperten als einfache, browserbasierte Anwendung zur Verfügung gestellt. Viele dieser Funktionen sind auch programmatisch über Lese-APIs zugänglich. Mit Google Security Operations können Analysten bei einer potenziellen Bedrohung feststellen, was sie ist, was sie tut, ob sie wichtig ist und wie am besten darauf reagiert werden sollte.

Sicherheit und Compliance

Als spezielle, private Schicht, die auf der zentralen Google-Infrastruktur basiert, übernimmt Google Security Operations die Rechen- und Speicherfunktionen sowie das Sicherheitsdesign und die Funktionen dieser Infrastruktur.

Im Rahmen seines Sicherheitsdesigns speichert das Google Security Operations-Team Nutzeranmeldedaten (z. B. Anmeldedaten, die Sie angeben, damit ein Google Security Operations-Feed Protokolldaten aus einer Drittanbieter-API aufnehmen kann) in Secret Manager.

Funktionen von Google Security Operations

  • Rohlogs durchsuchen: Hier können Sie Ihre unformatierten Rohlogs durchsuchen.
  • Reguläre Ausdrücke: Sie können Ihre Rohlogs mit regulären Ausdrücken durchsuchen.

Explorative Datenanalysen

  • Unternehmensstatistiken: Hier sehen Sie die Domains und Assets, die am dringendsten untersucht werden müssen.
  • Asset-Ansicht: Hier können Sie Assets in Ihrem Unternehmen prüfen und nachsehen, ob sie mit verdächtigen Domains interagiert haben.
  • IP-Adressansicht: Hier können Sie bestimmte IP-Adressen in Ihrem Unternehmen untersuchen und ihre Auswirkungen auf Ihre Assets ermitteln.
  • Hash-Ansicht: Hier können Sie Dateien anhand ihres Hashwerts suchen und untersuchen.
  • Domainansicht: Hier können Sie bestimmte Domains in Ihrem Unternehmen untersuchen und herausfinden, welche Auswirkungen sie auf Ihre Assets haben.
  • Nutzeransicht: Hier können Sie Nutzer in Ihrem Unternehmen untersuchen, die möglicherweise von Sicherheitsereignissen betroffen waren.
  • Verfahren zur Filterung: Sie können Informationen zu einem Asset optimieren, z. B. nach Ereignistyp, Protokollquelle, Netzwerkverbindungsstatus und Top-Level-Domain (TLD).

Ausgewählte Informationen

  • Blöcke mit Asset-Statistiken: Hier werden die Domains und Benachrichtigungen hervorgehoben, die Sie genauer untersuchen möchten.
  • Prävalenzdiagramm: Hier sehen Sie die Anzahl der Domains, mit denen ein Asset in einem bestimmten Zeitraum verbunden war.
  • Benachrichtigungen von beliebten Sicherheitsprodukten

Detection Engine

Mit der Detection Engine von Google Security Operations können Sie die Suche in Ihren Daten nach Sicherheitsproblemen automatisieren. Sie können Regeln festlegen, um alle eingehenden Daten zu durchsuchen und Sie zu benachrichtigen, wenn potenzielle und bekannte Bedrohungen in Ihrem Unternehmen auftreten.

VirusTotal

Sie können VirusTotal über Google Security Operations starten, um ein Asset, eine Domain oder eine IP-Adresse weiter zu untersuchen. Klicken Sie dazu auf VT-Kontext.