Panoramica di Chronicle SIEM

Chronicle SIEM è un servizio cloud, creato come livello specializzato sopra l'infrastruttura di base di Google, progettato per le aziende che devono conservare, analizzare ed eseguire ricerche private per le enormi quantità di sicurezza e telemetria di rete che generano. Chronicle normalizza, indicizza, correla e analizza i dati per fornire analisi immediate e contesto sulle attività rischiose.

Chronicle consente di esaminare le informazioni aggregate sulla sicurezza della tua azienda per mesi o più. Usa Chronicle per eseguire ricerche in tutti i domini a cui accedi all'interno della tua azienda. Puoi restringere la ricerca a qualsiasi asset, dominio o indirizzo IP specifico per determinare se si è verificata una violazione.

Panoramica della piattaforma Chronicle

Panoramica della piattaforma Chronicle

Raccolta dati

Chronicle può importare numerosi tipi di telemetria sulla sicurezza tramite una varietà di metodi, tra cui:

  • Forwarder: un componente software leggero, di cui è stato eseguito il deployment nella rete del cliente, che supporta i repository di dati syslog, acquisizione di pacchetti e gestione dei log o gestione degli eventi di sicurezza (SIEM) esistenti.

  • API di importazione: API che consentono l'invio dei log direttamente alla piattaforma Chronicle, eliminando la necessità di hardware o software aggiuntivo negli ambienti dei clienti.

  • Integrazioni di terze parti: integrazione con API cloud di terze parti per facilitare l'importazione di log, incluse origini come Office 365 e Azure AD.

Analisi dei dati

Le funzionalità analitiche di Chronicle vengono fornite ai professionisti della sicurezza come una semplice applicazione basata su browser. Molte di queste funzionalità sono accessibili anche a livello di programmazione tramite le API di lettura. Chronicle offre agli analisti un modo, quando vedono una potenziale minaccia, per determinarne la natura, il comportamento, se sono importanti e il modo migliore per rispondere.

Sicurezza e conformità

In qualità di livello privato specializzato basato sull'infrastruttura Google di base, Chronicle eredita le funzionalità di calcolo e archiviazione, nonché il design e le funzionalità di sicurezza di questa infrastruttura.

Nell'ambito della sua progettazione di sicurezza, Chronicle archivia le credenziali utente (ad esempio le credenziali che fornisci in modo che un feed Chronicle possa importare i dati di log da un'API di terze parti) in Secret Manager.

Funzionalità di Chronicle

  • Scansione log non elaborata: cerca i log non elaborati non analizzati.
  • Espressioni regolari: utilizza le espressioni regolari per eseguire una ricerca nei log non elaborati e non analizzati.

Punti di vista investigativi

  • Dati aziendali: mostra i domini e gli asset che richiedono un'indagine.
  • Visualizzazione asset: esamina gli asset all'interno della tua azienda e indica se hanno interagito o meno con domini sospetti.
  • Visualizzazione degli indirizzi IP: analizza gli indirizzi IP specifici della tua azienda e il loro impatto sui tuoi asset.
  • Visualizzazione hash: consente di cercare e analizzare i file in base al relativo valore hash.
  • Visualizzazione Dominio: analizza domini specifici all'interno della tua azienda e qual è l'impatto che hanno sui tuoi asset.
  • Visualizzazione utente: analizza gli utenti della tua azienda che potrebbero essere stati interessati dagli eventi di sicurezza.
  • Filtro procedurale: ottimizza le informazioni su una risorsa, inclusi tipo di evento, origine log, stato della connessione di rete e dominio di primo livello (TLD).

Informazioni selezionate

  • Blocchi degli approfondimenti sugli asset: evidenzia i domini e gli avvisi che potresti voler esaminare ulteriormente.
  • Grafico della prevalenza: mostra il numero di domini a cui è collegata una risorsa in un periodo di tempo specificato.
  • Avvisi dei prodotti per la sicurezza più popolari.

Motore di rilevamento

Puoi utilizzare Chronicle Detection Engine per automatizzare il processo di ricerca di problemi di sicurezza nei tuoi dati. Puoi specificare le regole per la ricerca in tutti i dati in entrata e per ricevere una notifica quando nella tua azienda si presentano minacce potenziali e note.

VirusTotal

Puoi avviare VirusTotal da Chronicle per esaminare ulteriormente un asset, un dominio o un indirizzo IP facendo clic su Contesto VT.