Visão geral do SIEM do Chronicle

O Chronicle SIEM é um serviço de nuvem criado como uma camada especializada na infraestrutura principal do Google, projetado para que as empresas retenham, analisem e pesquisem de forma particular as grandes quantidades de segurança e telemetria de rede geradas. O Chronicle normaliza, indexa, correlaciona e analisa os dados para fornecer análise instantânea e contexto sobre atividades arriscadas.

O Chronicle permite examinar as informações de segurança agregadas da sua empresa de meses ou mais. Use o Chronicle para pesquisar todos os domínios acessados na sua empresa. É possível restringir a pesquisa a qualquer recurso, domínio ou endereço IP específico para determinar se ocorreu algum comprometimento.

Visão geral da plataforma Chronicle

Visão geral da plataforma Chronicle

Coleta de dados

O Chronicle pode ingerir vários tipos de telemetria de segurança usando vários métodos, como estes:

  • Encaminhador: um componente de software leve, implantado na rede do cliente, que oferece suporte a syslog, captura de pacotes e repositórios de dados de gerenciamento de registros ou de informações de segurança e eventos (SIEM, na sigla em inglês) atuais.

  • APIs de ingestão: APIs que permitem que os registros sejam enviados diretamente para a plataforma Chronicle, eliminando a necessidade de hardware ou software adicional em ambientes de clientes.

  • Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo origens como o Office 365 e o Azure AD.

Análise de dados

Os recursos analíticos do Chronicle são fornecidos aos profissionais de segurança como um aplicativo simples baseado em navegador. Muitos desses recursos também podem ser acessados programaticamente pelas APIs de leitura. O Chronicle oferece aos analistas uma maneira de determinar o que é uma ameaça em potencial, o que está fazendo, se é importante e a melhor forma de responder.

Segurança e compliance

Por ser uma camada especializada e particular criada sobre a infraestrutura principal do Google, o Chronicle herda os recursos de computação e armazenamento, além do design de segurança e dos recursos dessa infraestrutura.

Como parte do design de segurança, o Chronicle armazena credenciais de usuário (por exemplo, as credenciais fornecidas para que um feed do Chronicle possa ingerir dados de registro de uma API de terceiros) no Secret Manager.

Recursos do Chronicle

  • Raw Log Scan: pesquise seus registros brutos não analisados.
  • Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.

Visualizações investigativas

  • Insights empresariais: mostra os domínios e recursos que mais precisam de investigação.
  • Visualização de recursos: investigue recursos na sua empresa e se eles interagiram com domínios suspeitos ou não.
  • Visualização de endereço IP: investigue endereços IP específicos na sua empresa e o impacto que eles têm nos recursos.
  • Visualização de hash: pesquise e investigue arquivos com base no valor de hash.
  • Visualização de domínios: investigue domínios específicos na sua empresa e o impacto que eles têm nos recursos.
  • Visualização do usuário: investigue os usuários na sua empresa que podem ter sido afetados por ocorrências de segurança.
  • Filtragem processual: ajuste as informações sobre um recurso, inclusive por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).

Informações selecionadas

  • Blocos de insights de recursos: destaca os domínios e alertas que você pode querer investigar mais a fundo.
  • Gráfico de prevalência: mostra o número de domínios a que um recurso se conectou em um período especificado.
  • Alertas de produtos de segurança conhecidos.

Mecanismo de detecção

É possível usar o mecanismo de detecção do Chronicle para automatizar o processo de pesquisa de problemas de segurança nos seus dados. É possível especificar regras para pesquisar todos os dados recebidos e notificar você quando ameaças potenciais e conhecidas surgirem na sua empresa.

Mais ferramentas

  • VirusTotal: inicie o VirusTotal no Chronicle para investigar mais um recurso, domínio ou endereço IP clicando em VT Context.
  • Extensão do Chronicle para Chrome: inicie o Chronicle em qualquer lugar no navegador Chrome.