O Chronicle é um serviço em nuvem, criado como uma camada especializada sobre a infraestrutura principal do Google, projetado para que as empresas retenham, analisem e pesquisem de forma privada as enormes quantidades de segurança e telemetria de rede que geram. O Chronicle normaliza, indexa, correlaciona e analisa os dados para fornecer análise instantânea e contexto sobre atividades arriscadas.
O Chronicle permite que você examine as informações de segurança agregadas da sua empresa que duram meses ou mais. Use o Chronicle para pesquisar em todos os domínios acessados na sua empresa. É possível restringir a pesquisa a qualquer recurso, domínio ou endereço IP específico para determinar se ocorreu um comprometimento.
Coleta de dados
O Chronicle pode ingerir vários tipos de telemetria de segurança por meio de vários métodos, incluindo:
Encaminhar: um componente de software leve, implantado na rede do cliente, que é compatível com syslog, captura de pacotes e gerenciamento de registros atual ou repositórios de dados de gerenciamento de eventos e segurança (SIEM).
APIs de processamento: APIs que permitem que os registros sejam enviados diretamente para a plataforma Chronicle, eliminando a necessidade de hardware ou software adicional nos ambientes do cliente.
Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo origens como o Office 365 e o Azure AD.
Análise de dados
Os recursos analíticos do Chronicle são fornecidos para profissionais de segurança como um aplicativo simples baseado em navegador. Muitos desses recursos também estão disponíveis de maneira programática por meio das APIs de leitura. O Chronicle oferece uma maneira aos analistas, quando veem uma ameaça em potencial, determinar o que é, o que está fazendo, se importa e como responder melhor.
Segurança e compliance
Como uma camada particular especializada criada sobre a infraestrutura principal do Google, o Chronicle herda os recursos de computação e armazenamento, bem como o design de segurança e os recursos dessa infraestrutura.
Recursos do Chronicle
Pesquisa
- Verificação de registros brutos: pesquise seus registros brutos não analisados.
- Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.
Visualizações investigativas
- Enterprise Insights: exibe os domínios e recursos que mais precisam de investigação.
- Visualização de recursos: investigar recursos na sua empresa e se eles interagiram ou não com domínios suspeitos.
- Visualização do endereço IP: investigue endereços IP específicos na sua empresa e qual impacto eles têm nos seus recursos.
- Visualização com hash: pesquise e investigue arquivos com base no valor de hash.
- Visualização de domínio: investigue domínios específicos na sua empresa e o impacto que eles têm nos seus recursos.
- Visualização do usuário: investigue os usuários da sua empresa que possam ter sido afetados por ocorrências de segurança.
- Filtragem processual: ajuste as informações sobre um recurso, incluindo por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).
Informações selecionadas
- Bloqueios de insights dos recursos: destaca os domínios e os alertas que você pode investigar melhor.
- Gráfico de prevalência: mostra o número de domínios a que um recurso se conectou em um período especificado.
- Alertas de produtos de segurança conhecidos.
Mecanismo de detecção
É possível usar o Chronicle Detection Engine para automatizar o processo de pesquisa de dados em busca de problemas de segurança. É possível especificar regras para pesquisar todos os dados recebidos e notificá-lo quando ameaças potenciais e conhecidas aparecerem na sua empresa.
Integrações e ferramentas
- Integração do VirusTotal: inicie o gráfico VirusTotal do Chronicle para investigar melhor um recurso, um domínio ou um endereço IP.
- Extensão do Chronicle para Chrome: inicie o Chronicle de qualquer lugar no navegador Chrome.