Visão geral do Chronicle
O Chronicle é um serviço de nuvem, criado como uma camada especializada sobre a infraestrutura principal do Google, projetado para que as empresas retenham, analisem e pesquisem de forma privada as enormes quantidades de segurança e telemetria de rede geradas. O Chronicle normaliza, indexa, correlaciona e analisa os dados para fornecer análise instantânea e contexto sobre atividades arriscadas.
Com o Chronicle, é possível examinar as informações de segurança agregadas para sua empresa por meses ou mais. Use o Chronicle para pesquisar todos os domínios acessados na sua empresa. Você pode restringir sua pesquisa a qualquer recurso, domínio ou endereço IP específico para determinar se houve comprometimento.
Coleta de dados
O Chronicle pode ingerir vários tipos de telemetria de segurança por vários métodos, incluindo:
Encaminhador: um componente de software leve, implantado na rede do cliente, compatível com syslog, captura de pacotes e repositórios de dados de gerenciamento de registros ou segurança e informações de gerenciamento de eventos (SIEM, na sigla em inglês).
APIs de processamento: APIs que permitem que os registros sejam enviados diretamente para a plataforma Chronicle, eliminando a necessidade de hardware ou software adicional nos ambientes do cliente.
Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo fontes como o Office 365 e o Azure AD.
Análise de dados
Os recursos analíticos do Chronicle são enviados a profissionais de segurança como um aplicativo simples baseado em navegador. Muitos desses recursos também podem ser acessados de maneira programática com APIs de leitura. Com o Chronicle, os analistas podem encontrar uma ameaça em potencial para determinar o que é, o que está fazendo, se é importante e como responder melhor.
Segurança e compliance
Como uma camada particular e especializada criada com base na infraestrutura principal do Google, o Chronicle herda os recursos de computação e armazenamento, além do design de segurança e dos recursos dessa infraestrutura.
Recursos do Chronicle
Pesquisa
- Verificação de registro bruto: pesquise os registros brutos não analisados.
- Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.
Vistas investigativas
- Enterprise Insights: mostra os domínios e recursos que mais precisam de investigação.
- Visualização de recursos: investigue os recursos na sua empresa e verifique se eles interagiram com domínios suspeitos.
- Visualização do endereço IP: investigue endereços IP específicos na sua empresa e o impacto que eles causam nos recursos.
- Visualização de hash: pesquise e investigue arquivos com base no valor de hash.
- Visualização de domínio: investigue domínios específicos na sua empresa e o impacto deles nos recursos.
- Visualização do usuário: investigue os usuários da sua empresa que podem ter sido afetados por ocorrências de segurança.
- Filtragem procedural: ajuste as informações sobre um recurso, incluindo por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).
Informações selecionadas
- Bloqueios de insights dos recursos: destaca os domínios e os alertas que você pode investigar mais a fundo.
- Gráfico de prevalência: para quantos domínios um recurso conectou ao longo de um período especificado.
- Alertas de produtos de segurança conhecidos.
Mecanismo de detecção
Use o mecanismo de detecção do Chronicle para automatizar o processo de pesquisa em seus dados em busca de problemas de segurança. É possível especificar regras para pesquisar todos os dados recebidos e notificar você quando ameaças potenciais e conhecidas forem exibidas na empresa.
Integrações e ferramentas
- Integração com o VirusTotal: inicia o VirusTotal Graph do Chronicle para investigar melhor um recurso, domínio ou endereço IP.
- Extensão Chronicle para Chrome: inicie o Chronicle em qualquer lugar no navegador Chrome.