Panoramica Chronicle
Chronicle è un servizio cloud, costruito come livello specializzato in aggiunta all'infrastruttura principale di Google, pensato per consentire alle aziende di conservare, analizzare e cercare privatamente i enormi livelli di sicurezza e telemetria di rete che generano. Chronicle normalizza, indicizza, correla e analizza i dati per fornire analisi e contesto immediati sull'attività rischiosa.
Chronicle ti consente di esaminare le informazioni di sicurezza aggregate per la tua azienda risalenti a mesi o più. Utilizza Chronicle per eseguire ricerche in tutti i domini a cui accedi nell'azienda. Puoi restringere la ricerca a qualsiasi asset, dominio o indirizzo IP specifico per determinare se si è verificata alcuna compromissione.
Panoramica della piattaforma Chronicle
Raccolta dei dati
Chronicle può importare diversi tipi di telemetria di sicurezza tramite vari metodi, tra cui:
Forwarder: un componente software leggero, implementato nella rete del cliente, che supporta syslog, acquisizione pacchetti e repository di dati SIEM (Gestione dei log o informazioni di sicurezza e gestione degli eventi)
API di importazione: API che consentono di inviare i log direttamente alla piattaforma Chronicle, eliminando la necessità di hardware o software aggiuntivi negli ambienti dei clienti.
Integrazioni di terze parti: integrazione con API cloud di terze parti per facilitare l'importazione dei log, incluse origini come Office 365 e Azure AD.
Analisi dei dati
Le funzionalità analitiche di Chronicle vengono fornite ai professionisti della sicurezza come un'applicazione semplice basata su browser. Molte di queste funzionalità sono accessibili anche in modo programmatico tramite le API di lettura. Chronicle offre agli analisti un modo in cui individuare una potenziale minaccia per determinare di cosa si tratta, cosa fa, se è importante e come rispondere meglio.
Sicurezza e conformità
Essendo un livello privato specializzato costruito sull'infrastruttura Google di base, Chronicle eredita le funzionalità di calcolo e archiviazione, nonché la progettazione e le capacità di sicurezza di tale infrastruttura.
Funzionalità Chronicle
Cerca
- Scansione log non elaborati: cerca nei log non elaborati non elaborati.
- Espressioni regolari: cerca nei log non elaborati non elaborati utilizzando espressioni regolari.
Visualizzazioni dell'indagine
- Enterprise Insights: mostra i domini e gli asset che richiedono ulteriori indagini.
- Visualizzazione asset: esamina gli asset all'interno della tua azienda e se hanno interagito o meno con domini sospetti.
- Visualizzazione Indirizzo IP: esamina indirizzi IP specifici all'interno della tua azienda e il loro impatto sui tuoi asset.
- Visualizzazione hash: consente di cercare e analizzare i file in base al valore hash.
- Visualizzazione dominio: esamina domini specifici all'interno della tua azienda e scopri il relativo impatto sui tuoi asset.
- Visualizzazione utenti: esamina gli utenti della tua azienda che potrebbero essere stati interessati dagli eventi di sicurezza.
- Filtro procedurale: ottimizza le informazioni su un asset, tra cui tipo di evento, origine log, stato della connessione di rete e dominio di primo livello (TLD).
Informazioni selezionate
- Blocchi informazioni asset: evidenzia i domini e gli avvisi che vuoi esaminare ulteriormente.
- Grafico di prevalenza: mostra il numero di domini a cui è collegato un asset in un periodo di tempo specificato.
- Avvisi dai prodotti per la sicurezza più diffusi.
Motore di rilevamento
Puoi usare Chronicle Detection Engine per automatizzare il processo di ricerca nei dati nei problemi di sicurezza. Puoi specificare le regole per eseguire ricerche in tutti i dati in entrata e avvisarti quando appaiono minacce potenziali e note nella tua azienda.
Strumenti aggiuntivi
- VirusTotal: avvia VirusTotal da Chronicle per analizzare ulteriormente un asset, un dominio o un indirizzo IP facendo clic su VT Context (VT Contesto).
- Estensione Chronicle per Chrome: avvia Chronicle da qualsiasi punto del browser Chrome.