Descripción general de Chronicle SIEM

Chronicle SIEM es un servicio en la nube, compilado como una capa especializada sobre la infraestructura central de Google, diseñada para que las empresas retengan, analicen y busquen cantidades masivas de telemetría de red y seguridad que generan. Chronicle normaliza, indexa, correlaciona y analiza los datos para proporcionar análisis instantáneo y contexto sobre la actividad riesgosa.

Chronicle te permite examinar la información de seguridad agregada de tu empresa durante meses o más. Usa Chronicle para buscar en todos los dominios a los que se accede dentro de la empresa. Puedes limitar la búsqueda a cualquier elemento, dominio o dirección IP específicos para determinar si se produjo algún compromiso.

Descripción general de la plataforma Chronicle

Recopilación de datos

Chronicle puede transferir varios tipos de telemetría de seguridad a través de una variedad de métodos, incluidos los siguientes:

• Forwarder: Un componente de software liviano, implementado en la red del cliente, que admite syslog, captura de paquetes y repositorios de administración de registros existentes o de administración de información y eventos de seguridad (SIEM)

• APIs de transferencia: Son APIs que permiten enviar los registros directamente a la plataforma de Chronicle, lo que elimina la necesidad de hardware o software adicional en los entornos de los clientes.

• Integraciones de terceros: Integración en APIs de nube de terceros para facilitar la transferencia de registros, incluidas fuentes como Office 365 y Azure AD.

Análisis de datos

Las capacidades analíticas de Chronicle se entregan a los profesionales de seguridad como una aplicación sencilla basada en el navegador. Muchas de estas capacidades también son accesibles de manera programática a través de las APIs de Read. Chronicle les brinda a los analistas una manera, cuando ven una amenaza potencial, para determinar qué es, qué está haciendo, si es importante y cuál es la mejor manera de responder.

Seguridad y cumplimiento

Como una capa especializada y privada compilada en la infraestructura central de Google, Chronicle hereda las capacidades de procesamiento y almacenamiento, así como el diseño y las capacidades de seguridad de esa infraestructura.

Como parte de su diseño de seguridad, Chronicle almacena las credenciales de los usuarios (por ejemplo, las que proporcionas para que un feed de Chronicle pueda transferir datos de registro desde una API de terceros) en Secret Manager.

Funciones de Chronicle

Search

• Análisis de registros sin procesar: Busca tus registros sin procesar y sin analizar.
• Expresiones regulares: Busca tus registros sin analizar y sin analizar mediante expresiones regulares.

Vistas de investigación

• Estadísticas empresariales: Muestra los dominios y recursos que más necesitan investigación.
• Vista de recursos: Investiga los recursos dentro de tu empresa y si interactuaron con dominios sospechosos o no.
• Vista IP Address: Investiga las direcciones IP específicas dentro de tu empresa y qué impacto tienen en tus recursos.
• Vista de hash: Busca e investiga archivos en función de su valor de hash.
• Vista de dominio: Investiga dominios específicos dentro de tu empresa y el impacto que tienen en tus recursos.
• Vista de usuarios: Investiga a los usuarios de tu empresa que podrían haberse visto afectados por eventos de seguridad.
• Filtrado de procedimientos: Ajusta la información sobre un recurso, lo que incluye el tipo de evento, la fuente del registro, el estado de la conexión de red y el dominio de nivel superior (TLD).

Información seleccionada

• Bloqueos de estadísticas de recursos: Destaca los dominios y las alertas que podrían interesarte en una investigación más profunda.
• Gráfico de prevalencia: Muestra la cantidad de dominios a los que se conectó un recurso durante un período específico.
• Alertas de productos de seguridad populares.

Motor de detección

Puedes usar Chronicle Detection Engine para automatizar el proceso de búsqueda de problemas de seguridad en los datos. Puedes especificar reglas para buscar todos tus datos entrantes y que te notifiquen cuando aparezcan amenazas conocidas y potenciales en tu empresa.

VirusTotal

Puedes iniciar VirusTotal desde Chronicle para investigar un recurso, dominio o dirección IP en más detalle. Para ello, haz clic en VT Context.