Chronicle-Übersicht

Chronicle ist ein Clouddienst, der als spezialisierte Ebene auf der Basis der Google-Infrastruktur erstellt wurde. Er wurde für Unternehmen entwickelt, die eine große Menge an Sicherheits- und Netzwerktelemetriedaten speichern, analysieren und durchsuchen. Chronicle normalisiert, indexiert, korreliert und analysiert die Daten, um sofortige Analysen und den Kontext zu riskanten Aktivitäten zur Verfügung zu stellen.

Mit Chronicle können Sie die aggregierten Sicherheitsinformationen Ihres Unternehmens für einen Zeitraum von mehreren Monaten oder länger analysieren. Mit Chronicle können Sie in allen Domains suchen, auf die in Ihrem Unternehmen zugegriffen wird. Sie können die Suche auf ein bestimmtes Asset, eine bestimmte Domain oder eine IP-Adresse beschränken, um herauszufinden, ob eine Manipulation stattgefunden hat.

Chronicle-Plattform – Übersicht

Chronicle-Plattform

Datenerfassung

Chronicle kann zahlreiche Sicherheitstelemetrietypen auf verschiedene Arten aufnehmen, darunter:

  • Forwarder: Eine leichte Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird und Syslog-, Paketerfassungs- und vorhandene SIEM-Daten-Repositories mit Logverwaltungs- oder Sicherheitsinformationen und Ereignisverwaltung unterstützt.

  • Aufnahme-APIs: APIs, mit denen Logs direkt an die Chronicle-Plattform gesendet werden, sodass keine zusätzliche Hardware oder Software in Kundenumgebungen erforderlich ist.

  • Integration von Drittanbietern: Integration mit Cloud-APIs von Drittanbietern, um die Aufnahme von Logs zu ermöglichen, einschließlich Quellen wie Office 365 und Azure AD.

Datenanalyse

Die Analysefunktionen von Chronicle werden Sicherheitsexperten als einfache, browserbasierte Anwendung zur Verfügung gestellt. Viele dieser Funktionen sind auch programmatisch über Read APIs zugänglich. Mit Chronicle können Analysten eine potenzielle Bedrohung erkennen und so herausfinden, welche Aktion sie ausführt, was sie tun und ob sie wichtig ist und wie sie am besten darauf reagieren.

Sicherheit und Compliance

Als spezialisierte, private Ebene, die auf der Kerninfrastruktur von Google aufbaut, übernimmt Chronicle sowohl die Rechen- und Speicherfunktionen als auch das Sicherheitsdesign und die Funktionen dieser Infrastruktur.

Im Rahmen seines Sicherheitsdesigns speichert Chronicle Anmeldedaten von Nutzern in Secret Manager. Das können beispielsweise Anmeldedaten sein, die Sie für einen Chronicle-Feed bereitstellen, um Protokolldaten von einer Drittanbieter-API aufzunehmen.

Chronicle-Features

  • Roh-Log-Scan: Suchen Sie in Ihren rohen, nicht geparsten Logs.
  • Reguläre Ausdrücke: Mit Standardausdrücken in Ihren nicht geparsten Logs suchen

Investigative Ansichten

  • Enterprise Insights: Hier sind die Domains und Assets zu sehen, die am ehesten untersucht werden müssen.
  • Asset-Ansicht: Untersuchen Sie Assets in Ihrem Unternehmen und ob mit verdächtigen Domains interagiert wurde.
  • IP-Adressen-Ansicht: Untersuchen Sie bestimmte IP-Adressen in Ihrem Unternehmen und welche Auswirkungen diese auf Ihre Assets haben.
  • Hash-Ansicht: Dateien anhand ihres Hashwerts suchen und untersuchen.
  • Domainansicht: Untersuchen Sie bestimmte Domains in Ihrem Unternehmen und welche Auswirkungen sie auf Ihre Assets haben.
  • Nutzeransicht: Untersuchen Sie Nutzer in Ihrem Unternehmen, die von Sicherheitsereignissen betroffen sein könnten.
  • Verfahrensfilter: Optimieren Sie Informationen zu einem Asset, einschließlich Ereignistyp, Protokollquelle, Netzwerkverbindungsstatus und Top-Level-Domain (TLD).

Ausgewählte Informationen

  • Blockierungen von Asset-Informationen: Hier werden Domains und Benachrichtigungen hervorgehoben, die Sie näher untersuchen möchten.
  • Diagramm zur Verbreitung: Zeigt die Anzahl der Domains an, mit denen ein Asset über einen bestimmten Zeitraum verbunden ist.
  • Benachrichtigungen von beliebten Sicherheitsprodukten.

Erkennungsmodul

Mit der Chronicle Detection Engine können Sie die Suche in Ihren Daten nach Sicherheitsproblemen automatisieren. Sie können Regeln für die Suche in allen eingehenden Daten festlegen und Sie benachrichtigen, wenn in Ihrem Unternehmen potenzielle und bekannte Bedrohungen angezeigt werden.

Weitere Tools

  • VirusTotal: Sie können VirusTotal von Chronicle starten, indem Sie ein Asset, eine Domain oder eine IP-Adresse untersuchen. Klicken Sie dazu auf VT Context.
  • Chronicle-Erweiterung für Chrome: Starten Sie Chronicle von überall im Chrome-Browser.