Google Security Operations SIEM – Übersicht

Unterstützt in:

Google Security Operations SIEM ist ein Cloud-Dienst, der als spezialisierte Schicht auf Google-Kerninfrastruktur, die Unternehmen für die private Aufbewahrung, Analyse und durchsuchen die riesige Menge an Sicherheits- und Netzwerktelemetriedaten, die sie generieren. Google Security Operations normalisiert, indexiert, korreliert und analysiert sofortige Analysen und Kontext zu riskanten Aktivitäten liefern.

Mit Google Security Operations können Sie die zusammengefassten Sicherheitsinformationen für Ihr Unternehmen, das schon seit Monaten oder länger zurückreicht. Mit Google Security Operations Sie können damit in allen Domains suchen, auf die Sie innerhalb Ihres Unternehmens zugreifen. Sie können die Größe zu einem bestimmten Asset, einer bestimmten Domain oder IP-Adresse, um zu ermitteln, kompromittiert wurde.

Google Security Operations-Plattform – Übersicht

Google Security Operations-Plattform – Übersicht

Datenerhebung

Google Security Operations kann zahlreiche Arten von Sicherheitsmesswerten auf unterschiedliche Weise aufnehmen, darunter:

  • Forwarder: Eine schlanke Softwarekomponente, die im Kundennetzwerk bereitgestellt wird und Syslog, Paketerfassung, und vorhandene Daten-Repositorys für die Protokollverwaltung oder Security Information and Event Management (SIEM).

  • Datenaufnahme-APIs: APIs, mit denen Logs direkt an die Google Security Operations-Plattform gesendet werden können, sodass in Kundenumgebungen keine zusätzliche Hardware oder Software erforderlich ist.

  • Integrationen externer Anbieter: Integration von Cloud-APIs von Drittanbietern zur einfachen Aufnahme von Protokollen, einschließlich Quellen wie Office 365 und Azure AD.

Datenanalyse

Die Analysefunktionen von Google Security Operations werden Sicherheitsexperten als einfache, browserbasierte Anwendung zur Verfügung gestellt. Viele dieser Funktionen sind auch programmatisch über Lese-APIs zugänglich. Mit Google Security Operations können Analysten bei einer potenziellen Bedrohung feststellen, was es ist, was es tut, ob es wichtig ist und wie am besten darauf reagiert werden sollte.

Sicherheit und Compliance

Als spezielle, private Schicht, die auf der zentralen Google-Infrastruktur aufbaut, übernimmt Google Security Operations die Rechen- und Speicherfunktionen sowie das Sicherheitsdesign und die Funktionen dieser Infrastruktur.

Im Rahmen seiner Sicherheitsgestaltung speichert Google Security Operations Nutzeranmeldedaten (z. B. Anmeldedaten, die Sie angeben, damit ein Google Security Operations-Feed Protokolldaten von einer Drittanbieter-API aufnehmen kann) in Secret Manager.

Funktionen von Google Security Operations

  • Rohlogs durchsuchen: Hier können Sie Ihre Rohlogs durchsuchen, die noch nicht analysiert wurden.
  • Reguläre Ausdrücke: Sie können Ihre Rohlogs mit regulären Ausdrücken durchsuchen.

Explorative Datenanalysen

  • Unternehmensinformationen: Hier sehen Sie die Domains und Assets, die am dringendsten untersucht werden müssen.
  • Asset-Ansicht: Sie können Assets in Ihrem Unternehmen untersuchen und feststellen, ob sie mit verdächtigen Domains interagiert haben.
  • IP-Adressansicht: Hier können Sie bestimmte IP-Adressen in Ihrem Unternehmen untersuchen und ihre Auswirkungen auf Ihre Assets ermitteln.
  • Hash-Ansicht: Hier können Sie Dateien anhand ihres Hashwerts suchen und untersuchen.
  • Domainansicht: Sie können bestimmte Domains in Ihrem Unternehmen und deren Auswirkungen auf Ihre Assets untersuchen.
  • Nutzeransicht: Hier können Sie Nutzer in Ihrem Unternehmen untersuchen, die möglicherweise von Sicherheitsereignissen betroffen sind.
  • Verfahren zur Filterung: Sie können Informationen zu einem Asset optimieren, z. B. nach Ereignistyp, Protokollquelle, Netzwerkverbindungsstatus und Top-Level-Domain (TLD).

Ausgewählte Informationen

  • Blockierungen mit Asset-Informationen: Hier werden Domains und Benachrichtigungen hervorgehoben, die Sie möglicherweise genauer untersuchen möchten.
  • Prävalenzdiagramm: Hier sehen Sie die Anzahl der Domains, mit denen ein Asset in einem bestimmten Zeitraum verbunden war.
  • Warnungen von beliebten Sicherheitsprodukten.

Erkennungssystem

Mit der Google Security Operations Detection Engine können Sie die Suche auf Sicherheitsprobleme prüfen. Sie können Regeln festlegen, um alle eingehenden Daten zu durchsuchen und Sie zu benachrichtigen, wenn potenzielle und bekannte Bedrohungen in Ihrem Unternehmen auftreten.

VirusTotal

Sie können VirusTotal über Google Security Operations starten, um ein Asset, eine Domain oder eine IP-Adresse weiter zu untersuchen. Klicken Sie dazu auf VT-Kontext.