Google Security Operations SIEM – Übersicht

Google Security Operations SIEM ist ein Cloud-Dienst, der als spezialisierte Schicht auf Google-Kerninfrastruktur, die Unternehmen für die private Aufbewahrung, Analyse und durchsuchen die riesige Menge an Sicherheits- und Netzwerktelemetriedaten, die sie generieren. Google Security Operations normalisiert, indexiert, korreliert und analysiert sofortige Analyse und Kontext zu riskanten Aktivitäten liefern.

Mit Google Security Operations können Sie die zusammengefassten Sicherheitsinformationen für Ihr Unternehmen, das schon seit Monaten oder länger zurückreicht. Mit Google Security Operations Sie können damit in allen Domains suchen, auf die Sie innerhalb Ihres Unternehmens zugreifen. Sie können die Größe zu einem bestimmten Asset, einer bestimmten Domain oder IP-Adresse, um zu ermitteln, kompromittiert wurde.

Google Security Operations-Plattform – Übersicht

Google Security Operations-Plattform – Übersicht

Datenerhebung

Google Security Operations kann zahlreiche Sicherheitstelemetrietypen mit einer Vielzahl von Methoden aufnehmen, darunter:

  • Forwarder: Eine schlanke Softwarekomponente, die im Kundennetzwerk bereitgestellt wird und Syslog, Paketerfassung, und vorhandene Daten-Repositorys für die Protokollverwaltung oder Security Information and Event Management (SIEM).

  • Datenaufnahme-APIs: APIs, mit denen Logs direkt an die Google Security Operations-Plattform gesendet werden können, sodass in Kundenumgebungen keine zusätzliche Hardware oder Software erforderlich ist.

  • Integrationen von Drittanbietern: Integration in Cloud-APIs von Drittanbietern für eine einfachere Aufnahme von Protokollen, einschließlich Quellen wie Office 365 und Azure AD.

Datenanalyse

Die Analysefunktionen von Google Security Operations werden Sicherheitsfachleuten als einfache, browserbasierte . Viele dieser Funktionen sind auch programmatisch über Lese-APIs zugänglich. Google Security Operations gibt Analysten die Möglichkeit, wenn sie eine potenzielle Bedrohung sehen, und wie Sie am besten darauf reagieren.

Sicherheit und Compliance

Als spezialisierte private Ebene, die auf der Kerninfrastruktur von Google aufbaut, übernimmt Google Security Operations Rechenleistung und Speicher. sowie über das Sicherheitsdesign und die Funktionen dieser Infrastruktur.

Im Rahmen seines Sicherheitskonzepts speichert Google Security Operations Nutzeranmeldedaten (z. B. Anmeldedaten, die Sie angeben, damit ein Google Security Operations-Feed Protokolldaten von einer Drittanbieter-API aufnehmen kann) in Secret Manager.

Google Security Operations-Funktionen

  • Scan von Rohprotokollen: Durchsucht die rohen, nicht geparsten Logs.
  • Reguläre Ausdrücke: Durchsuchen Sie die nicht geparsten Rohdaten der Logs mithilfe regulärer Ausdrücke.

Investigative Ansichten

  • Enterprise Insights: Zeigt die Domains und Assets an, bei denen eine Prüfung am dringendsten ist.
  • Asset-Ansicht: Sie können Assets in Ihrem Unternehmen untersuchen und feststellen, ob sie mit verdächtigen Domains interagiert haben.
  • Ansicht „IP-Adressen“: Sie können bestimmte IP-Adressen in Ihrem Unternehmen und deren Auswirkungen auf Ihre Assets untersuchen.
  • Hash-Ansicht: Dateien basierend auf ihrem Hashwert suchen und untersuchen.
  • Domainansicht: Sie können bestimmte Domains in Ihrem Unternehmen und deren Auswirkungen auf Ihre Assets untersuchen.
  • Nutzeransicht: Hier können Sie Nutzer in Ihrem Unternehmen untersuchen, die möglicherweise von Sicherheitsereignissen betroffen sind.
  • Verfahrensfilter: Sie können Informationen zu einem Asset optimieren, einschließlich Ereignistyp, Protokollquelle, Netzwerkverbindungsstatus und Top-Level-Domain (TLD).

Ausgewählte Informationen

  • Blockierungen mit Asset-Informationen: Hier werden Domains und Benachrichtigungen hervorgehoben, die Sie möglicherweise genauer untersuchen möchten.
  • Grafische Darstellung der Verbreitung: Zeigt die Anzahl der Domains an, mit denen ein Asset über einen bestimmten Zeitraum verknüpft ist.
  • Warnungen von beliebten Sicherheitsprodukten.

Erkennungssystem

Mit der Google Security Operations Detection Engine können Sie die Suche auf Sicherheitsprobleme prüfen. Sie können Regeln festlegen, um alle eingehenden Daten zu durchsuchen, Sie werden über potenzielle und bekannte Bedrohungen in Ihrem Unternehmen informiert.

VirusTotal

Sie können VirusTotal über Google Security Operations starten, um ein Asset, eine Domain oder eine IP-Adresse weiter zu untersuchen. Klicken Sie dazu auf VT-Kontext.