Diese Seite wurde von der Cloud Translation API übersetzt.

Chronicle SIEM – Übersicht

Chronicle SIEM ist ein Cloud-Dienst, der als spezialisierte Schicht auf der Google-Kerninfrastruktur aufgebaut ist. Er wurde entwickelt, damit Unternehmen die enormen Mengen an Sicherheits- und Netzwerktelemetriedaten, die sie generieren, privat aufbewahren, analysieren und durchsuchen können. Chronicle normalisiert, indexiert, korreliert und analysiert die Daten, um eine sofortige Analyse und einen Kontext zu riskanten Aktivitäten bereitzustellen.

Mit Chronicle können Sie die aggregierten Sicherheitsinformationen für Ihr Unternehmen über mehrere Monate oder länger zurückreichen. Mit Chronicle können Sie in allen Domains suchen, auf die in Ihrem Unternehmen zugegriffen wird. Sie können Ihre Suche auf ein bestimmtes Asset, eine bestimmte Domain oder eine IP-Adresse eingrenzen, um festzustellen, ob eine Manipulation vorliegt.

Chronicle-Plattform – Übersicht

Übersicht über die Chronicle-Plattform

Datenerfassung

Chronicle kann zahlreiche Sicherheitstelemetrietypen über eine Vielzahl von Methoden aufnehmen, darunter:

Forwarder: Eine einfache Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird und Syslog, Paketerfassung sowie vorhandene Daten-Repositories für die Logverwaltung oder Security Information and Event Management (SIEM) unterstützt.
Ingestion APIs: APIs, mit denen Logs direkt an die Chronicle-Plattform gesendet werden können, sodass in Kundenumgebungen keine zusätzliche Hardware oder Software erforderlich ist.
Integrationen von Drittanbietern: Einbindung in Cloud-APIs von Drittanbietern zur einfacheren Aufnahme von Logs, einschließlich Quellen wie Office 365 und Azure AD.

Datenanalyse

Die Analysefunktionen von Chronicle werden Sicherheitsexperten als einfache browserbasierte Anwendung bereitgestellt. Viele dieser Funktionen sind auch programmatisch über Read APIs zugänglich. Chronicle bietet Analysten die Möglichkeit, bei einem Auftreten einer potenziellen Bedrohung festzustellen, um was es sich handelt, was es tut, ob es relevant ist und wie am besten darauf reagiert wird.

Sicherheit und Compliance

Als spezialisierte, private Ebene, die auf der Kerninfrastruktur von Google basiert, übernimmt Chronicle die Rechen- und Speicherkapazitäten sowie das Sicherheitsdesign und die Funktionen dieser Infrastruktur.

Im Rahmen des Sicherheitsdesigns speichert Chronicle Nutzeranmeldedaten (z. B. Anmeldedaten, die Sie bereitstellen, damit ein Chronicle-Feed Logdaten von einer Drittanbieter-API aufnehmen kann) in Secret Manager.

Chronicle-Funktionen

Suche

Raw Log Scan (Raw-Log-Scan): Durchsuchen Sie Ihre nicht geparsten Rohdaten-Logs.
Reguläre Ausdrücke: Sie können Ihre nicht geparsten Rohdaten mit regulären Ausdrücken durchsuchen.

Investigative Ansichten

Enterprise Insights: Zeigt die Domains und Assets an, die am meisten untersucht werden müssen.
Asset-Ansicht: Analysieren Sie Assets in Ihrem Unternehmen und ob sie mit verdächtigen Domains interagiert haben.
IP-Adressansicht: Analysieren Sie bestimmte IP-Adressen in Ihrem Unternehmen und deren Auswirkungen auf Ihre Assets.
Hash-Ansicht: Sie können Dateien auf der Grundlage ihres Hashwerts suchen und untersuchen.
Domainansicht: Untersuchen Sie bestimmte Domains in Ihrem Unternehmen und deren Auswirkungen auf Ihre Assets.
Nutzeransicht: Analysieren Sie die Nutzer in Ihrem Unternehmen, die möglicherweise von Sicherheitsereignissen betroffen sind.
Verfahrensbasierte Filterung: Hier können Sie Informationen über ein Asset anpassen, einschließlich Ereignistyp, Protokollquelle, Status der Netzwerkverbindung und Top-Level-Domain (TLD).

Ausgewählte Informationen

Blockierungen von Asset-Statistiken: Hier werden die Domains und Benachrichtigungen hervorgehoben, die Sie sich genauer ansehen sollten.
Diagramm zur Verbreitung: Hier sehen Sie die Anzahl der Domains, mit denen ein Asset in einem bestimmten Zeitraum verbunden war.
Benachrichtigungen von beliebten Sicherheitsprodukten.

Erkennungsmodul

Mit der Chronicle Detection Engine können Sie die Suche in Ihren Daten nach Sicherheitsproblemen automatisieren. Sie können Regeln festlegen, um alle eingehenden Daten zu durchsuchen und Sie über potenzielle und bekannte Bedrohungen in Ihrem Unternehmen zu benachrichtigen.

VirusTotal

Sie können VirusTotal aus Chronicle starten, um ein Asset, eine Domain oder eine IP-Adresse weiter zu untersuchen. Klicken Sie dazu auf VT Context (VT-Kontext).