Visão geral do SIEM do Google Security Operations
O SIEM de operações de segurança do Google é um serviço em nuvem criado como uma camada especializada na infraestrutura principal do Google, projetado para que as empresas retenham, analisem e pesquisem de forma privada as grandes quantidades de telemetria de segurança e de rede geradas. O Google Security Operations normaliza, indexa, correlaciona e analisa os dados para oferecer análise instantânea e contexto sobre atividades de risco.
Com o Google Security Operations, você pode examinar as informações de segurança agregadas da sua empresa por meses ou mais. Use o Google Security Operations para pesquisar em todos os domínios acessados na sua empresa. É possível restringir a pesquisa a qualquer recurso, domínio ou endereço IP específico para determinar se houve comprometimento.
Visão geral da plataforma Google Security Operations
Coleta de dados
As operações de segurança do Google podem processar vários tipos de telemetria de segurança por vários métodos, incluindo:
Encaminhador: um componente de software leve, implantado na rede do cliente, que oferece suporte a syslog, captura de pacotes e repositórios de dados de gerenciamento de eventos e informações de segurança (SIEM, na sigla em inglês) ou de gerenciamento de registros.
APIs de ingestão: APIs que permitem que os registros sejam enviados diretamente à plataforma Google Security Operations, eliminando a necessidade de hardware ou software adicional nos ambientes do cliente.
Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo fontes como o Office 365 e o Azure AD.
Análise de dados
Os recursos analíticos do Google Security Operations são entregues aos profissionais de segurança como um aplicativo simples baseado em navegador. Muitos desses recursos também estão disponíveis de maneira programática pelas APIs de leitura. O Google Security Operations oferece aos analistas uma maneira de determinar o que é uma possível ameaça, o que ela está fazendo, se ela é importante e a melhor forma de responder.
Segurança e compliance
Como uma camada privada especializada criada na infraestrutura principal do Google, a Google Security Operations herda recursos de computação e armazenamento, bem como o design de segurança e os recursos dessa infraestrutura.
Como parte do design de segurança, o Google Security Operations armazena credenciais do usuário (por exemplo, as que você fornece para que um feed do Google Security Operations possa receber dados de registro de uma API de terceiros) no Secret Manager.
Recursos do Google Security Operations
Pesquisar
- Verificação de registro bruto: pesquise seus registros brutos não analisados.
- Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.
Visualizações investigativas
- Insights empresariais: mostra os domínios e recursos que mais precisam de investigação.
- Visualização de recursos: investigue os recursos da sua empresa e se eles interagiram ou não com domínios suspeitos.
- Visualização de endereço IP: investigue endereços IP específicos na sua empresa e o impacto deles nos seus recursos.
- Visualização de hash: pesquise e investigue arquivos com base no valor de hash.
- Visão de domínio: investigue domínios específicos da sua empresa e o impacto deles nos seus recursos.
- Visão do usuário: investigue os usuários da sua empresa que podem ter sido afetados por eventos de segurança.
- Filtragem processual: ajuste fino das informações sobre um recurso, incluindo por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).
Informações selecionadas
- Blocos de insights de recursos: destacam os domínios e alertas que você pode querer investigar mais.
- Gráfico de prevalência: mostra o número de domínios aos quais um recurso se conectou em um período especificado.
- Alertas de produtos de segurança populares.
Mecanismo de detecção
Você pode usar o mecanismo de detecção do Google Security Operations para automatizar o processo de pesquisa de problemas de segurança nos seus dados. É possível especificar regras para pesquisar todos os dados recebidos e notificar você quando ameaças potenciais e conhecidas aparecerem na sua empresa.
VirusTotal
Para iniciar o VirusTotal nas Operações de segurança do Google e investigar um recurso, domínio ou endereço IP, clique em Contexto do VT.