Visão geral do SIEM do Google Security Operations

O SIEM do Google Security Operations é um serviço de nuvem, construído como uma camada especializada infraestrutura central do Google, desenvolvida para que as empresas retenham, analisem e retenham e pesquisam as enormes quantidades de telemetria de segurança e rede que elas geram. O Google Security Operations normaliza, indexa, correlaciona e analisa os dados para fornecem análise instantânea e contexto sobre atividades arriscadas.

As Operações de segurança do Google permitem que você examine as informações de segurança agregadas para sua empresa por meses ou mais. Use as Operações de segurança do Google para pesquisar em todos os domínios acessados na empresa. É possível restringir sua pesquisa a qualquer ativo, domínio ou endereço IP específico para determinar se há que o comprometimento tenha ocorrido.

Visão geral da plataforma Google Security Operations

Visão geral da plataforma Google Security Operations

Coleta de dados

As Operações de segurança do Google podem ingerir vários tipos de telemetria de segurança por meio de uma variedade de métodos, incluindo:

  • Encaminhador: um componente de software leve, implantado na rede do cliente, que oferece suporte a syslog, captura de pacotes, e os repositórios de dados de gerenciamento de registros ou de gerenciamento de eventos e informações de segurança (SIEM).

  • APIs de ingestão: APIs que permitem o envio de registros diretamente para a plataforma Google Security Operations, eliminando a necessidade de hardware ou software adicional nos ambientes do cliente.

  • Integrações com terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo origens como o Office 365 e o Azure AD.

Análise de dados

Os recursos analíticos das Operações de segurança do Google são fornecidos aos profissionais de segurança como um serviço simples, baseado no navegador para o aplicativo. Muitos desses recursos também podem ser acessados de modo programático usando as APIs de leitura. As Operações de segurança do Google oferecem aos analistas uma forma, quando veem uma possível ameaça, de determinar o que ela é, o que está fazendo se ele é importante e qual é a melhor forma de responder.

Segurança e compliance

Como uma camada privada especializada criada sobre a infraestrutura principal do Google, as Operações de segurança do Google herdam a computação e o armazenamento bem como o design de segurança e os recursos dessa infraestrutura.

Como parte do design de segurança, as Operações de segurança do Google armazenam credenciais de usuários no Secret Manager, por exemplo, credenciais fornecidas para que um feed de Operações de Segurança do Google possa processar dados de registro de uma API de terceiros.

Recursos das Operações de segurança do Google

  • Varredura de registro bruto: pesquise seus registros brutos não analisados.
  • Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.

Pontos de vista investigativos

  • Insights corporativos: exibe os domínios e recursos que mais precisam ser investigados.
  • Visualização de recursos: investigue os recursos na sua empresa e se eles interagiram ou não com domínios suspeitos.
  • Visualização "Endereço IP": investigue endereços IP específicos na sua empresa e o impacto que eles têm nos ativos.
  • Visualização de hash: pesquise e investigue arquivos com base no valor de hash deles.
  • Visualização de domínio: investigue domínios específicos na sua empresa e o impacto que eles têm nos ativos.
  • Visualização do usuário: investigue os usuários da sua empresa que podem ter sido afetados por ocorrências de segurança.
  • Filtragem processual: ajuste as informações sobre um ativo, inclusive por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).

Informações selecionadas

  • Blocos de insights de recursos: destaca os domínios e alertas que talvez você queira investigar mais.
  • Gráfico de prevalência: mostra o número de domínios a que um recurso se conectou durante um período especificado.
  • Alertas de produtos de segurança conhecidos.

Mecanismo de detecção

Você pode usar o Google Security Operations Detection Engine para automatizar o processo de pesquisa em seus dados em busca de problemas de segurança. Você pode especificar regras para pesquisar todos os dados recebidos e notificar você quando ameaças potenciais e conhecidas aparecerem na sua empresa.

VirusTotal

Clique em VT Context para iniciar o VirusTotal nas Operações de segurança do Google para investigar um recurso, domínio ou endereço IP.