Google Security Operations – Übersicht

Google Security Operations ist ein Cloud-Dienst, der als spezialisierte Ebene auf der Google-Infrastruktur aufgebaut wurde und mit der Unternehmen die großen Mengen an Sicherheits- und Netzwerktelemetrie, die sie generieren, privat aufbewahren, analysieren und durchsuchen können.

Google Security Operations normalisiert, indexiert, korreliert und analysiert die Daten, um eine sofortige Analyse und einen Kontext für riskante Aktivitäten bereitzustellen. Google Security Operations kann verwendet werden, um Bedrohungen zu erkennen, den Umfang und die Ursache dieser Bedrohungen zu untersuchen und Abhilfemaßnahmen mithilfe vorgefertigter Integrationen in Unternehmensworkflow-, Abwehr- und Orchestrierungsplattformen zu bieten.

Mit Google SecOps können Sie die aggregierten Sicherheitsinformationen Ihres Unternehmens untersuchen, die seit Monaten oder länger bestehen. Mit Google Security Operations können Sie in allen Domains suchen, auf die in Ihrem Unternehmen zugegriffen wird. Sie können die Suche auf bestimmte Assets, Domains oder IP-Adressen eingrenzen, um festzustellen, ob eine Manipulation stattgefunden hat.

Mit der Google SecOps-Plattform können Sicherheitsanalysten mithilfe der folgenden Funktionen eine Sicherheitsbedrohung während ihres gesamten Lebenszyklus analysieren und mindern:

  • Erfassung: Daten werden mithilfe von Forwardern, Parsern, Connectors und Webhooks in die Plattform aufgenommen.
  • Erkennung: Diese Daten werden aggregiert, mithilfe des Universal Data Model (UDM) normalisiert und mit Erkennungen und Bedrohungsinformationen verknüpft.
  • Untersuchung: Bedrohungen werden durch Fallverwaltung, Suche, Zusammenarbeit und kontextsensitive Analysen untersucht.
  • Antwort: Sicherheitsanalysten können mithilfe automatisierter Playbooks und des Vorfallmanagements schnell reagieren und Lösungen anbieten.

Datenerhebung

Google Security Operations kann zahlreiche Sicherheitstelemetrietypen über verschiedene Methoden aufnehmen, darunter:

  • Forwarder: Eine einfache Softwarekomponente, die im Kundennetzwerk bereitgestellt wird und Syslog, die Paketerfassung sowie vorhandene Logverwaltungs- oder SIEM-Daten-Repositories (Security Information and Event Management) unterstützt.

  • Datenaufnahme-APIs: APIs, mit denen Logs direkt an die Google Security Operations-Plattform gesendet werden können, sodass in Kundenumgebungen keine zusätzliche Hardware oder Software erforderlich ist.

  • Integrationen von Drittanbietern: Einbindung in Cloud-APIs von Drittanbietern zur Erleichterung der Aufnahme von Logs, einschließlich Quellen wie Office 365 und Azure AD.

Bedrohungsanalyse

Die Analysefunktionen von Google Security Operations werden als browserbasierte Anwendung bereitgestellt. Viele dieser Funktionen sind auch programmatisch über Read APIs zugänglich. Mit Google Security Operations können Analysten, wenn sie eine potenzielle Bedrohung sehen, weiter untersuchen und entscheiden, wie sie am besten darauf reagieren.

Zusammenfassung der Google Security Operations-Funktionen

In diesem Abschnitt werden einige der in Google Security Operations verfügbaren Features beschrieben.

  • UDM-Suche: Hiermit können Sie nach UDM-Ereignissen (Unified Data Model) und Benachrichtigungen in Ihrer Google Security Operations-Instanz suchen.
  • Raw Log Scan: Durchsucht die unformatierten, nicht geparsten Logs.
  • Reguläre Ausdrücke: Durchsuchen Sie die nicht geparsten Rohdaten der Logs mithilfe von regulären Ausdrücken.

Fallverwaltung

Gruppieren Sie zugehörige Benachrichtigungen in Anfragen, sortieren und filtern Sie Fallwarteschlangen zur Sichtung und Priorisierung, weisen Sie Fälle zu, arbeiten Sie an allen Fällen zusammen, prüfen Sie Fälle und erstellen Sie Berichte.

Playbook-Designer

Erstellen Sie Playbooks, indem Sie vordefinierte Aktionen auswählen und sie per Drag-and-drop in den Playbook-Canvas ziehen, ohne zusätzliche Programmierung vornehmen zu müssen. Mit Playbooks können Sie außerdem spezielle Ansichten für jeden Benachrichtigungstyp und jede SOC-Rolle erstellen. In der Fallverwaltung werden nur die Daten angezeigt, die für einen bestimmten Benachrichtigungstyp und eine bestimmte Nutzerrolle relevant sind.

Graph Investigator

Visualisieren Sie das Wer, Was und Wann eines Angriffs, identifizieren Sie Möglichkeiten für die Spurensuche, erfassen Sie das Gesamtbild und ergreifen Sie Maßnahmen.

Dashboard und Berichterstellung

Messen und verwalten Sie Abläufe effektiv, demonstrieren Sie Stakeholdern den Wert, verfolgen Sie SOC-Messwerte und -KPIs in Echtzeit. Sie können integrierte Dashboards und Berichte verwenden oder eigene erstellen.

Integrierte Entwicklungsumgebung (Integrated Development Environment, IDE)

Sicherheitsteams mit Programmierkenntnissen können vorhandene Playbook-Aktionen ändern und verbessern, Code debuggen, neue Aktionen für vorhandene Integrationen erstellen und Integrationen erstellen, die im Google Security Operations SOAR Marketplace nicht verfügbar sind.

Investigative Ansichten

  • Assetansicht: Hier können Sie Assets in Ihrem Unternehmen untersuchen und feststellen, ob sie mit verdächtigen Domains interagiert haben.
  • Ansicht der IP-Adresse: Untersuchen Sie bestimmte IP-Adressen in Ihrem Unternehmen und welche Auswirkungen sie auf Ihre Assets haben.
  • Hashansicht: Dateien basierend auf ihrem Hashwert suchen und untersuchen.
  • Domainansicht: Untersuchen Sie bestimmte Domains in Ihrem Unternehmen und welche Auswirkungen sie auf Ihre Assets haben.
  • Nutzeransicht: Hier können Sie Nutzer in Ihrem Unternehmen untersuchen, die möglicherweise von Sicherheitsereignissen betroffen sind.
  • Prozedurales Filtern: Sie können Informationen zu einem Asset optimieren, einschließlich Ereignistyp, Logquelle, Netzwerkverbindungsstatus und Top-Level-Domain (TLD).

Hervorgehobene Informationen

  • Asset-Statistikblöcke heben die Domains und Benachrichtigungen hervor, die Sie möglicherweise genauer untersuchen möchten.
  • Das Diagramm zur Verbreitung zeigt die Anzahl der Domains, mit denen ein Asset in einem bestimmten Zeitraum verknüpft ist.
  • Warnungen von anderen beliebten Sicherheitsprodukten.

Erkennungs-Engine

Sie können die Google Security Operations Detection Engine verwenden, um die Suche in Ihren Daten nach Sicherheitsproblemen zu automatisieren. Sie können Regeln zum Durchsuchen aller eingehenden Daten festlegen und Sie benachrichtigen, wenn potenzielle und bekannte Bedrohungen in Ihrem Unternehmen auftreten.

Zugriffssteuerung

Sie können sowohl vordefinierte Rollen verwenden als auch neue Rollen konfigurieren, um den Zugriff auf Klassen von Daten, Benachrichtigungen und Ereignisse zu steuern, die in Ihrer Google Security Operations-Instanz gespeichert sind. Identity and Access Management bietet die Zugriffssteuerung für Google Security Operations.