Panoramica di Google Security Operations SIEM

Google Security Operations SIEM è un servizio cloud, costruito come livello specializzato sopra l'infrastruttura principale di Google, progettato per consentire alle aziende di conservare, analizzare e cercare in modo privato le enormi quantità di dati di sicurezza e di telemetria di rete che generano. Google Security Operations normalizza, indicizza, correla e analizza i dati per fornire analisi immediate e contesto sulle attività rischiose.

Google Security Operations consente di esaminare le informazioni di sicurezza aggregate della tua azienda per mesi o più. Usa Google Security Operations per eseguire ricerche in tutti i domini a cui si accede all'interno della tua azienda. Puoi restringere la ricerca a qualsiasi risorsa, dominio o indirizzo IP specifico per determinare se si è verificata una compromissione.

Panoramica della piattaforma Google Security Operations

Raccolta dei dati

Le operazioni di sicurezza di Google possono importare numerosi tipi di telemetria sulla sicurezza tramite diversi metodi, tra cui:

• Speditore: un componente software leggero, di cui è stato eseguito il deployment nella rete del cliente, che supporta i repository di dati syslog, acquisizione pacchetti e gestione dei log o gestione delle informazioni di sicurezza e degli eventi (SIEM) esistenti.

• API di importazione: API che consentono l'invio diretto dei log alla piattaforma Google Security Operations, eliminando la necessità di hardware o software aggiuntivi negli ambienti del cliente.

• Integrazioni di terze parti: integrazione con API cloud di terze parti per facilitare l'importazione di log, incluse origini come Office 365 e Azure AD.

Analisi dei dati

Le funzionalità analitiche di Google Security Operations vengono fornite ai professionisti della sicurezza come una semplice applicazione basata su browser. Molte di queste funzionalità sono accessibili anche in modo programmatico attraverso le API di lettura. Google Security Operations offre agli analisti un modo per determinare di cosa si tratta, cosa sta facendo, se è importante e come reagire al meglio, nel momento in cui vedono una potenziale minaccia.

Sicurezza e conformità

Google Security Operations, un livello privato specializzato basato sull'infrastruttura di base di Google, eredita funzionalità di calcolo e archiviazione, nonché il design e le funzionalità di sicurezza dell'infrastruttura.

Nell'ambito del suo design di sicurezza, Google Security Operations archivia le credenziali utente (ad esempio, le credenziali da te fornite in modo che un feed delle operazioni di sicurezza di Google possa importare i dati di log da un'API di terze parti) in Secret Manager.

Funzionalità di Google Security Operations

Ricerca

• Scansione log non elaborati: consente di cercare nei log non elaborati non analizzati.
• Espressioni regolari: cerca nei log non elaborati non analizzati utilizzando le espressioni regolari.

Visualizzazioni investigative

• Insight aziendali: mostra i domini e gli asset che richiedono un'indagine.
• Visualizzazione asset: esamina gli asset all'interno della tua azienda e verifica se hanno interagito con domini sospetti.
• Visualizzazione Indirizzo IP: analizza gli indirizzi IP specifici della tua azienda e il loro impatto sulle tue risorse.
• Visualizzazione hash: consente di cercare e analizzare i file in base al loro valore hash.
• Visualizzazione Dominio: esamina i domini specifici all'interno della tua azienda e l'impatto che hanno sui tuoi asset.
• Visualizzazione utente: esamina gli utenti all'interno della tua azienda che potrebbero essere stati interessati da eventi di sicurezza.
• Filtro procedurale: ottimizza le informazioni su una risorsa, ad esempio per tipo di evento, sorgente log, stato della connessione di rete e dominio di primo livello (TLD).

Informazioni selezionate

• Blocchi di insight sugli asset: evidenzia i domini e gli avvisi che potresti voler esaminare ulteriormente.
• Grafico della prevalenza: mostra il numero di domini a cui è collegata una risorsa nel periodo di tempo specificato.
• Avvisi dei prodotti di sicurezza più diffusi.

Motore di rilevamento

Puoi utilizzare Google Security Operations Detection Engine per automatizzare il processo di ricerca dei problemi di sicurezza nei tuoi dati. Puoi specificare regole per cercare in tutti i dati in arrivo e ricevere notifiche quando nella tua azienda compaiono minacce potenziali e note.

VirusTotal

Puoi avviare VirusTotal da Google Security Operations per esaminare ulteriormente un asset, un dominio o un indirizzo IP facendo clic su Contesto VT.