Chronicle SIEM 概览

Chronicle SIEM 是一项云服务，在 Google 核心基础架构之上构建而成的专用层，旨在供企业私下保留、分析和搜索其生成的海量安全和网络遥测数据。Chronicle 对数据进行归一化、编入索引、关联和分析数据，以提供即时分析和背景信息。

借助 Chronicle，您可以检查企业过去几个月或更长时间的汇总安全信息。使用 Chronicle 在您的企业内部访问的所有网域中执行搜索。您可以将搜索范围缩小到任何特定的资产、网域或 IP 地址，以确定是否发生了任何入侵。

Chronicle 平台概览

数据收集

Chronicle 可以通过多种方法注入多种安全遥测类型，包括：

• 转发器：一种部署在客户网络中的轻量级软件组件，支持 Syslog、数据包捕获以及现有日志管理或安全信息与事件管理 (SIEM) 数据存储库。

• 提取 API：允许将日志直接发送到 Chronicle 平台的 API，无需在客户环境中使用其他硬件或软件。

• 第三方集成：与第三方云 API 集成，以便提取日志，包括 Office 365 和 Azure AD 等来源。

数据分析

Chronicle 的分析功能以简单的浏览器形式提供给安全专业人员。其中许多功能也可通过 Read API 以编程方式访问。Chronicle 为分析师提供一种方法，当他们看到潜在威胁时，即可确定其威胁、所执行操作、重要程度以及最佳响应方式。

安全与合规性

作为基于 Google 核心基础架构构建的专用私有层，Chronicle 继承了计算和存储功能以及该基础架构的安全设计和功能。

作为其安全设计的一部分，Chronicle 将用户凭据（例如您提供的用于 Chronicle Feed 从第三方 API 注入日志数据）存储在 Secret Manager 中。

Chronicle 功能

搜索

• 原始日志扫描：搜索未解析的原始日志。
• 正则表达式：使用正则表达式搜索未解析的原始日志。

调查视图

• 企业数据洞察：显示最需要调查的网域和资产。
• “资产”视图：调查企业内的资产，以及资产是否与可疑网域互动。
• “IP 地址”视图：调查企业内的特定 IP 地址及其对资产的影响。
• “哈希”视图：根据文件的哈希值搜索和调查文件。
• “网域”视图：调查企业中的特定网域及其对资产的影响。
• “用户”视图：调查您企业中可能受安全性事件影响的用户。
• 过程过滤：微调有关资产的信息，包括按事件类型、日志源、网络连接状态和顶级域名 (TLD)。

精选信息

• 资产数据洞察块：突出显示您可能需要进一步调查的网域和提醒。
• 普及率图表：显示指定时间段内资产关联的网域数量。
• 来自热门安全产品的提醒。

检测引擎

您可以使用 Chronicle Detection Engine 自动搜索数据以查找安全问题。您可以指定规则以搜索所有传入数据，并在您的企业出现潜在和已知威胁时通知您。

VirusTotal

您可以点击 VT Context，从 Chronicle 启动 VirusTotal，以进一步调查资产、域名或 IP 地址。