Présentation de Google Security Operations SIEM

Google Security Operations SIEM est un service cloud conçu comme une couche spécialisée au-dessus de l'infrastructure principale de Google. Il est conçu pour permettre aux entreprises de conserver, d'analyser et d'effectuer des recherches de manière privée sur les énormes volumes de données télémétriques de sécurité et de réseau qu'elles génèrent. Google Security Operations normalise, indexe, corréle et analyse les données pour fournir une analyse instantanée et un contexte sur les activités à risque.

Google Security Operations vous permet d'examiner les informations de sécurité agrégées relatives à votre entreprise depuis des mois ou plus. Utilisez Google Security Operations pour effectuer des recherches dans tous les domaines accessibles au sein de votre entreprise. Vous pouvez limiter votre recherche à un élément, un domaine ou une adresse IP spécifique pour déterminer si un piratage a été constaté.

Présentation de la plate-forme Google Security Operations

Présentation de la plate-forme Google Security Operations

Collecte des données

Google Security Operations peut ingérer de nombreux types de télémétrie de sécurité via différentes méthodes, y compris:

  • redirecteur: composant logiciel léger, déployé sur le réseau du client, compatible avec syslog, la capture de paquets et les dépôts de données de gestion des journaux ou de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management) existants.

  • API d'ingestion: API qui permettent d'envoyer les journaux directement à la plate-forme Google Security Operations, éliminant le besoin de matériel ou de logiciels supplémentaires dans les environnements des clients.

  • Intégrations tierces: l'intégration à des API cloud tierces facilite l'ingestion de journaux, y compris de sources telles qu'Office 365 et Azure AD.

Analyse des données

Les fonctionnalités d'analyse de Google Security Operations sont mises à la disposition des professionnels de la sécurité sous la forme d'une simple application intégrée au navigateur. Bon nombre de ces fonctionnalités sont également accessibles de manière automatisée via les API Read. Google Security Operations permet aux analystes, lorsqu'ils identifient une menace potentielle, de déterminer de quoi il s'agit, ce qu'elle fait, si elle est importante et la meilleure façon d'y répondre.

Sécurité et conformité

En tant que couche privée spécialisée basée sur l'infrastructure principale de Google, Google Security Operations hérite des fonctionnalités de calcul et de stockage, ainsi que de la conception et des fonctionnalités de sécurité de cette infrastructure.

Dans le cadre de sa conception de la sécurité, Google Security Operations stocke les identifiants utilisateur (par exemple, les identifiants que vous fournissez pour qu'un flux Google Security Operations puisse ingérer les données de journaux d'une API tierce) dans Secret Manager.

Fonctionnalités de Google Security Operations

  • Analyse des journaux bruts: recherchez vos journaux bruts non analysés.
  • Expressions régulières: effectuez des recherches dans vos journaux bruts non analysés à l'aide d'expressions régulières.

Points de vue d'investigation

  • Enterprise Insights: affiche les domaines et les éléments qui nécessitent le plus d'examen.
  • Vue des éléments: examinez les ressources de votre entreprise et déterminez s'ils ont interagi avec des domaines suspects.
  • Vue des adresses IP: recherchez des adresses IP spécifiques dans votre entreprise et l'impact qu'elles ont sur vos ressources.
  • Vue de hachage: recherchez et examinez des fichiers en fonction de leur valeur de hachage.
  • Vue du domaine: examinez des domaines spécifiques de votre entreprise et l'impact qu'ils ont sur vos ressources.
  • Vue des utilisateurs: examinez les utilisateurs de votre entreprise qui ont pu être affectés par des événements liés à la sécurité.
  • Filtrage procédural: affinez les informations sur une ressource, y compris par type d'événement, source du journal, état de connexion réseau et domaine de premier niveau (TLD).

Informations sélectionnées

  • Blocs d'insights sur les éléments: indique les domaines et les alertes que vous pourriez vouloir examiner plus en détail.
  • Graphique de prévalence: indique le nombre de domaines auxquels un composant s'est connecté sur une période donnée.
  • Alertes de produits de sécurité populaires.

Moteur de détection

Vous pouvez utiliser Google Security Operations Detection Engine pour automatiser le processus de recherche dans vos données afin de détecter d'éventuels problèmes de sécurité. Vous pouvez spécifier des règles pour rechercher toutes vos données entrantes et vous avertir lorsque des menaces potentielles et connues apparaissent dans votre entreprise.

VirusTotal

Vous pouvez lancer VirusTotal à partir de Google Security Operations pour examiner plus en détail un élément, un domaine ou une adresse IP en cliquant sur VT Context (Contexte de la vérification).