Chronicle SIEM 概览
Chronicle SIEM 是一项云服务,在 Google 核心基础架构之上构建而成的专用层,旨在供企业私下保留、分析和搜索其生成的海量安全和网络遥测数据。Chronicle 对数据进行归一化、编入索引、关联和分析数据,以提供即时分析和背景信息。
借助 Chronicle,您可以检查企业过去几个月或更长时间的汇总安全信息。使用 Chronicle 在您的企业内部访问的所有网域中执行搜索。您可以将搜索范围缩小到任何特定的资产、网域或 IP 地址,以确定是否发生了任何入侵。
Chronicle 平台概览
数据收集
Chronicle 可以通过多种方法注入多种安全遥测类型,包括:
转发器:一种部署在客户网络中的轻量级软件组件,支持 Syslog、数据包捕获以及现有日志管理或安全信息与事件管理 (SIEM) 数据存储库。
提取 API:允许将日志直接发送到 Chronicle 平台的 API,无需在客户环境中使用其他硬件或软件。
第三方集成:与第三方云 API 集成,以便提取日志,包括 Office 365 和 Azure AD 等来源。
数据分析
Chronicle 的分析功能以简单的浏览器形式提供给安全专业人员。其中许多功能也可通过 Read API 以编程方式访问。Chronicle 为分析师提供一种方法,当他们看到潜在威胁时,即可确定其威胁、所执行操作、重要程度以及最佳响应方式。
安全与合规性
作为基于 Google 核心基础架构构建的专用私有层,Chronicle 继承了计算和存储功能以及该基础架构的安全设计和功能。
作为其安全设计的一部分,Chronicle 将用户凭据(例如您提供的用于 Chronicle Feed 从第三方 API 注入日志数据)存储在 Secret Manager 中。
Chronicle 功能
搜索
- 原始日志扫描:搜索未解析的原始日志。
- 正则表达式:使用正则表达式搜索未解析的原始日志。
调查视图
- 企业数据洞察:显示最需要调查的网域和资产。
- “资产”视图:调查企业内的资产,以及资产是否与可疑网域互动。
- “IP 地址”视图:调查企业内的特定 IP 地址及其对资产的影响。
- “哈希”视图:根据文件的哈希值搜索和调查文件。
- “网域”视图:调查企业中的特定网域及其对资产的影响。
- “用户”视图:调查您企业中可能受安全性事件影响的用户。
- 过程过滤:微调有关资产的信息,包括按事件类型、日志源、网络连接状态和顶级域名 (TLD)。
精选信息
- 资产数据洞察块:突出显示您可能需要进一步调查的网域和提醒。
- 普及率图表:显示指定时间段内资产关联的网域数量。
- 来自热门安全产品的提醒。
检测引擎
您可以使用 Chronicle Detection Engine 自动搜索数据以查找安全问题。您可以指定规则以搜索所有传入数据,并在您的企业出现潜在和已知威胁时通知您。
VirusTotal
您可以点击 VT Context,从 Chronicle 启动 VirusTotal,以进一步调查资产、域名或 IP 地址。