Google Security Operations SIEM – Übersicht

Google Security Operations SIEM ist ein Cloud-Dienst, der als spezialisierte Schicht auf der Google-Kerninfrastruktur aufgebaut wurde und mit der Unternehmen die enormen Mengen an Sicherheits- und Netzwerktelemetrie, die sie generieren, privat aufbewahren, analysieren und durchsuchen können. Google Security Operations normalisiert, indexiert, korreliert und analysiert die Daten, um eine sofortige Analyse und einen Kontext für riskante Aktivitäten bereitzustellen.

Mit Google Security Operations können Sie die aggregierten Sicherheitsinformationen Ihres Unternehmens prüfen, die seit Monaten oder länger zurückliegen. Mit Google Security Operations können Sie in allen Domains suchen, auf die innerhalb Ihres Unternehmens zugegriffen wird. Du kannst deine Suche auf bestimmte Inhalte, Domains oder IP-Adressen eingrenzen, um festzustellen, ob eine Manipulation vorliegt.

Google Security Operations-Plattform – Übersicht

Google Security Operations-Plattform – Übersicht

Datenerhebung

Google Security Operations kann zahlreiche Sicherheitstelemetrietypen mit einer Vielzahl von Methoden aufnehmen, darunter:

  • Forwarder: Eine einfache Softwarekomponente, die im Kundennetzwerk bereitgestellt wird und Syslog, die Paketerfassung sowie vorhandene Daten-Repositories für die Logverwaltung oder Security Information and Event Management (SIEM) unterstützt.

  • Datenaufnahme-APIs: APIs, mit denen Logs direkt an die Google Security Operations-Plattform gesendet werden können, sodass in Kundenumgebungen keine zusätzliche Hardware oder Software erforderlich ist.

  • Integrationen von Drittanbietern: Integration in Cloud-APIs von Drittanbietern für eine einfachere Aufnahme von Protokollen, einschließlich Quellen wie Office 365 und Azure AD.

Datenanalyse

Die Analysefunktionen von Google Security Operations werden Sicherheitsfachleuten als einfache, browserbasierte Anwendung zur Verfügung gestellt. Viele dieser Funktionen sind auch programmatisch über Lese-APIs zugänglich. Mit Google Security Operations können Analysten, wenn sie eine potenzielle Bedrohung sehen, herausfinden, was diese ist, was sie tut, ob es wichtig ist und wie sie am besten reagieren können.

Sicherheit und Compliance

Google Security Operations ist eine spezialisierte private Ebene, die auf der Kerninfrastruktur von Google aufbaut. Sie übernimmt die Rechen- und Speicherfunktionen sowie das Sicherheitsdesign und die Funktionen dieser Infrastruktur.

Im Rahmen seines Sicherheitskonzepts speichert Google Security Operations Nutzeranmeldedaten (z. B. Anmeldedaten, die Sie angeben, damit ein Google Security Operations-Feed Protokolldaten von einer Drittanbieter-API aufnehmen kann) in Secret Manager.

Google Security Operations-Funktionen

  • Scan von Rohprotokollen: Durchsucht die rohen, nicht geparsten Logs.
  • Reguläre Ausdrücke: Durchsuchen Sie die nicht geparsten Rohdaten der Logs mithilfe regulärer Ausdrücke.

Investigative Ansichten

  • Enterprise Insights: Zeigt die Domains und Assets an, bei denen eine Prüfung am dringendsten ist.
  • Asset-Ansicht: Sie können Assets in Ihrem Unternehmen untersuchen und feststellen, ob sie mit verdächtigen Domains interagiert haben.
  • Ansicht „IP-Adressen“: Sie können bestimmte IP-Adressen in Ihrem Unternehmen und deren Auswirkungen auf Ihre Assets untersuchen.
  • Hash-Ansicht: Dateien basierend auf ihrem Hashwert suchen und untersuchen.
  • Domainansicht: Sie können bestimmte Domains in Ihrem Unternehmen und deren Auswirkungen auf Ihre Assets untersuchen.
  • Nutzeransicht: Hier können Sie Nutzer in Ihrem Unternehmen untersuchen, die möglicherweise von Sicherheitsereignissen betroffen sind.
  • Verfahrensfilter: Sie können Informationen zu einem Asset optimieren, einschließlich Ereignistyp, Protokollquelle, Netzwerkverbindungsstatus und Top-Level-Domain (TLD).

Ausgewählte Informationen

  • Blockierungen mit Asset-Informationen: Hier werden Domains und Benachrichtigungen hervorgehoben, die Sie möglicherweise genauer untersuchen möchten.
  • Grafik zur Verbreitung: Hier siehst du die Anzahl der Domains, mit denen ein Asset über einen bestimmten Zeitraum verknüpft ist.
  • Warnungen von beliebten Sicherheitsprodukten.

Erkennungssystem

Mit der Google Security Operations Detection Engine können Sie die Suche in Ihren Daten nach Sicherheitsproblemen automatisieren. Sie können Regeln zum Durchsuchen aller eingehenden Daten festlegen und Sie benachrichtigen, wenn potenzielle und bekannte Bedrohungen in Ihrem Unternehmen auftreten.

VirusTotal

Sie können VirusTotal über Google Security Operations starten, um ein Asset, eine Domain oder eine IP-Adresse weiter zu untersuchen. Klicken Sie dazu auf VT-Kontext.