Visão geral do Chronicle SIEM

O Chronicle SIEM é um serviço de nuvem, criado como uma camada especializada sobre a infraestrutura principal do Google, projetado para que as empresas retenham, analisem e pesquisem, de forma particular, as enormes quantidades de segurança e telemetria de rede que geram. O Chronicle normaliza, indexa, correlaciona e analisa os dados para fornecer análise instantânea e contexto sobre atividades de risco.

Com o Chronicle, é possível examinar as informações de segurança agregadas da sua empresa com dados antigos de meses ou mais. Use o Chronicle para pesquisar todos os domínios acessados na sua empresa. É possível restringir a pesquisa a qualquer recurso, domínio ou endereço IP específico para determinar se ocorreu algum comprometimento.

Visão geral da plataforma Chronicle

Visão geral da plataforma Chronicle

Coleta de dados

O Chronicle pode ingerir vários tipos de telemetria de segurança usando vários métodos, como estes:

  • Encaminhador: um componente de software leve, implantado na rede do cliente, compatível com syslog, captura de pacotes e repositórios de dados de gerenciamento de registros ou informações de segurança e gerenciamento de eventos (SIEM, na sigla em inglês).

  • APIs de ingestão: APIs que permitem o envio de registros diretamente para a plataforma Chronicle, eliminando a necessidade de hardware ou software adicional nos ambientes do cliente.

  • Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo origens como o Office 365 e o Azure AD.

Análise de dados

Os recursos analíticos do Chronicle são fornecidos para profissionais de segurança como um aplicativo simples baseado em navegador. Muitos desses recursos também podem ser acessados programaticamente pelas APIs de leitura. O Chronicle oferece aos analistas uma maneira de determinar o que é uma ameaça, o que está fazendo, se é importante e a melhor forma de responder.

Segurança e compliance

Como uma camada particular especializada criada sobre a infraestrutura principal do Google, o Chronicle herda os recursos de computação e armazenamento, além do design de segurança e dos recursos dessa infraestrutura.

Como parte do design de segurança, o Chronicle armazena credenciais de usuário (por exemplo, credenciais que você fornece para que um feed do Chronicle possa ingerir dados de registro de uma API de terceiros) no Secret Manager.

Recursos do Chronicle

  • Verificação de registros brutos: pesquise registros brutos não analisados.
  • Expressões regulares: pesquise seus registros brutos e não analisados usando expressões regulares.

Visualizações investigativas

  • Insights empresariais: mostra os domínios e recursos que mais precisam de investigação.
  • Visualização de recursos: investigue os recursos na sua empresa e se eles interagiram ou não com domínios suspeitos.
  • Visualização de endereços IP: investigue endereços IP específicos na sua empresa e o impacto deles nos seus recursos.
  • Visualização de hash: pesquise e investigue arquivos com base no valor de hash.
  • Visualização de domínio: investigue domínios específicos da sua empresa e o impacto que eles têm nos recursos.
  • Visualização do usuário: investigue os usuários na sua empresa que podem ter sido afetados por ocorrências de segurança.
  • Filtragem processual: ajuste as informações sobre um recurso, incluindo por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).

Informações selecionadas

  • Blocos de insights de recursos: destaca os domínios e alertas que você pode querer investigar mais a fundo.
  • Gráfico de prevalência: mostra o número de domínios a que um recurso se conectou durante um período específico.
  • Alertas de produtos de segurança conhecidos.

Mecanismo de detecção

É possível usar o mecanismo de detecção do Chronicle para automatizar o processo de pesquisa de dados em busca de problemas de segurança. É possível especificar regras para pesquisar todos os dados recebidos e avisar quando surgirem ameaças conhecidas e potenciais na sua empresa.

VirusTotal

Você pode iniciar o VirusTotal no Chronicle para investigar um recurso, domínio ou endereço IP clicando em VT Context.