Google Security Operations SIEM 概览

Google Security Operations SIEM 是一项云服务,作为 Google 核心基础架构之上的专用层,供企业以私密方式保留、分析和搜索其生成的大量安全和网络遥测数据。 Google Security Operations 会对数据进行标准化、编制索引、关联和分析,以提供有关有风险活动的即时分析和上下文。

借助 Google Security Operations,您可以检查企业要追溯至数月或更长时间的汇总安全信息。使用 Google Security Operations 在您的企业内访问的所有网域中进行搜索。您可以将搜索范围缩小到任何特定资产、网域或 IP 地址,以确定是否已发生任何泄露。

Google Security Operations 平台概览

Google Security Operations 平台概览

数据收集

Google Security Operations 可以通过多种方法注入多种安全遥测类型,包括:

  • 转发器:一种部署在客户网络中的轻量级软件组件,支持 Syslog、数据包捕获以及现有日志管理或安全信息与事件管理 (SIEM) 数据存储库。

  • 提取 API:可将日志直接发送到 Google Security Operations 平台的 API,无需在客户环境中使用其他硬件或软件。

  • 第三方集成:与第三方云 API 集成,以便提取日志,包括 Office 365 和 Azure AD 等来源。

数据分析

Google Security Operations 的分析功能以基于浏览器的简单应用的形式提供给安全专业人员。其中许多功能也可通过 Read API 以编程方式访问。Google Security Operations 为分析师提供了一种方式,可在他们看到潜在威胁时确定威胁是什么、在做什么、它是否重要,以及如何最好地响应。

安全与合规性

作为在 Google 核心基础架构上构建的专用专用层,Google Security Operations 会继承该基础架构的计算和存储功能,以及安全设计和功能。

作为安全设计的一部分,Google Security Operations 会将用户凭据(例如,您为 Google Security Operations Feed 从第三方 API 注入日志数据而提供的凭据)存储在 Secret Manager 中。

Google Security Operations 功能

  • 原始日志扫描:搜索未解析的原始日志。
  • 正则表达式:使用正则表达式搜索未解析的原始日志。

调查视图

  • 企业数据洞察:显示最需要调查的网域和资产。
  • “资产”视图:调查企业内的资产,以及资产是否与可疑网域互动。
  • “IP 地址”视图:调查企业内的特定 IP 地址及其对资产的影响。
  • “哈希”视图:根据文件的哈希值搜索和调查文件。
  • “网域”视图:调查企业中的特定网域及其对资产的影响。
  • “用户”视图:调查您企业中可能受安全性事件影响的用户。
  • 过程过滤:微调有关资产的信息,包括按事件类型、日志源、网络连接状态和顶级域名 (TLD)。

精选信息

  • 资产数据洞察块:突出显示您可能需要进一步调查的网域和提醒。
  • 普及率图表:显示指定时间段内资产关联的网域数量。
  • 来自热门安全产品的提醒。

检测引擎

您可以使用 Google Security Operations 检测引擎自动在数据中搜索安全问题。您可以指定规则以搜索所有传入数据,并在您的企业出现潜在和已知威胁时通知您。

VirusTotal

您可以点击 VT 上下文,从 Google Security Operations 中启动 VirusTotal,以进一步调查资产、网域或 IP 地址。