Visão geral do Chronicle
O Chronicle é um serviço em nuvem, criado como uma camada especializada sobre a infraestrutura principal do Google, projetado para empresas para reter, analisar e pesquisar de forma privada as grandes quantidades de segurança e telemetria de rede que geram. O Chronicle normaliza, indexa, correlaciona e analisa os dados para fornecer análise instantânea e contexto sobre atividades de risco.
Com o Chronicle, é possível examinar as informações de segurança agregadas da empresa por meses ou mais. Use o Chronicle para pesquisar em todos os domínios acessados na sua empresa. É possível restringir a pesquisa a qualquer recurso, domínio ou endereço IP específico para determinar se ocorreu algum comprometimento.
Visão geral da plataforma Chronicle
Coleta de dados
O Chronicle pode ingerir vários tipos de telemetria de segurança por meio de vários métodos, incluindo:
Encaminhador: um componente de software leve, implantado na rede do cliente, que é compatível com syslog, captura de pacote e repositórios de dados de gerenciamento de registros ou informações de segurança e gerenciamento de eventos (SIEM, na sigla em inglês) existentes.
APIs de ingestão: APIs que permitem que os registros sejam enviados diretamente para a plataforma Chronicle, eliminando a necessidade de hardware ou software adicional em ambientes de clientes.
Integrações com terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo fontes como o Office 365 e o Azure AD.
Análise de dados
Os recursos de análise do Chronicle são entregues aos profissionais de segurança como um aplicativo simples baseado no navegador. Muitos desses recursos também podem ser acessados programaticamente pelas APIs de leitura. O Chronicle oferece aos analistas uma maneira, no caso de uma possível ameaça, de determinar o que ela é, o que está fazendo, se é importante e a melhor forma de responder.
Segurança e compliance
Como uma camada particular especializada construída sobre a infraestrutura principal do Google, o Chronicle herda os recursos de computação e armazenamento, bem como o design de segurança e os recursos dessa infraestrutura.
Recursos do Chronicle
Pesquisar
- Verificação bruta de registro: pesquise seus registros brutos não analisados.
- Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.
Visualizações investigativas
- Enterprise Insights: exibe os domínios e recursos que mais precisam de investigação.
- Visualização de recursos: investigue os recursos na sua empresa e se eles interagiram com domínios suspeitos.
- Visualização de endereços IP: investigue endereços IP específicos na sua empresa e o impacto que eles têm nos recursos.
- Visualização de hash: pesquise e investigue arquivos com base no valor de hash.
- Visualização do domínio: investigue domínios específicos na sua empresa e o impacto que eles têm nos recursos.
- Visualização do usuário: investigue os usuários da sua empresa que podem ter sido afetados por ocorrências de segurança.
- Filtragem processual: ajuste as informações sobre um recurso, inclusive por tipo de evento, origem do registro, status de conexão de rede e domínio de nível superior (TLD).
Informações selecionadas
- Blocos de insights do recurso: destaca os domínios e alertas que você pode querer investigar mais.
- Gráfico de prevalência: mostra o número de domínios a que um recurso se conectou durante um período especificado.
- Alertas de produtos de segurança conhecidos.
Mecanismo de detecção
Use o Chronicle Detection Engine para automatizar o processo de pesquisa de dados em problemas de segurança. É possível especificar regras para pesquisar todos os dados recebidos e enviar uma notificação quando ameaças em potencial e conhecidas aparecerem na sua empresa.
Mais ferramentas
- VirusTotal: inicie o VirusTotal no Chronicle para investigar melhor um recurso, um domínio ou um endereço IP clicando em Contexto VT.
- Extensão do Chronicle para Chrome: inicie o Chronicle em qualquer lugar no navegador Chrome.