Google Security Operations – Übersicht

Google Security Operations ist ein Cloud-Dienst, die Infrastruktur von Google, die Unternehmen entwickelt für die private Aufbewahrung, die großen Mengen an Sicherheits- und Netzwerktelemetriedaten, die generieren.

Google Security Operations normalisiert, indexiert, korreliert und analysiert sofortige Analyse und Kontext zu riskanten Aktivitäten liefern. Google Security Operations kann Bedrohungen zu erkennen, Umfang und Ursache dieser Bedrohungen zu untersuchen und bieten Abhilfemaßnahmen mithilfe vorgefertigter Integrationen in Unternehmensworkflows, Reaktions- und Orchestrierungsplattformen.

Mit Google SecOps können Sie die zusammengefasste Sicherheitsinfrastruktur Informationen für Ihr Unternehmen, die schon seit Monaten oder länger zurückliegen. Verwenden Sie Google Security Operations für die Suche in allen Domains, auf die in Ihrem Unternehmen. Sie können Ihre Suche auf bestimmte Assets, Domains oder IP-Adressen eingrenzen um festzustellen, ob eine Manipulation stattgefunden hat.

Mit der Google SecOps-Plattform können Sicherheitsanalysten eine Sicherheitsbedrohung während ihres gesamten Lebenszyklus zu analysieren und zu mindern. folgende Funktionen:

  • Erfassung: Daten werden mithilfe von Forwardern in die Plattform aufgenommen. Connectors und Webhooks.
  • Erkennung: Diese Daten werden aggregiert und mithilfe des Universal Data Modell (UDM) und mit Erkennung und Bedrohungsdaten verknüpft.
  • Untersuchung: Bedrohungen werden durch Fallverwaltung, Suche, Zusammenarbeit und kontextsensitive Analytics.
  • Antwort: Sicherheitsanalysten können schnell reagieren und Lösungen anbieten mit automatisierten Playbooks und Vorfallmanagement.

Datenerhebung

Google Security Operations kann zahlreiche Sicherheitstelemetrietypen über eine verschiedene Methoden anwenden, darunter:

  • Forwarder: Eine schlanke Softwarekomponente, die im Netzwerk, das Syslog, Paketerfassung und bestehende Logverwaltung unterstützt Security Information and Event Management (SIEM) Daten-Repositorys.

  • Datenaufnahme-APIs: APIs, mit denen Logs direkt an den Google Security Operations-Plattform, sodass keine zusätzlichen Hardware oder Software in Kundenumgebungen.

  • Integrationen von Drittanbietern: Integration in Cloud-APIs von Drittanbietern, um Erleichtern Sie die Aufnahme von Protokollen, einschließlich Quellen wie Office 365 und Azure. ANZEIGE.

Bedrohungsanalyse

Die Analysefunktionen von Google Security Operations werden als Browser-basierten Anwendungen zu erstellen. Viele davon können auch programmatisch über Read APIs aufgerufen werden. Google Security Operations gibt Analysten die Möglichkeit, untersuchen Sie das Problem und finden Sie heraus, wie Sie am besten darauf reagieren.

Zusammenfassung der Google Security Operations-Funktionen

In diesem Abschnitt werden einige der Funktionen beschrieben, die in Google Security Operations

  • UDM-Suche: Hiermit können Sie nach UDM-Ereignissen (Unified Data Model) und Benachrichtigungen suchen. in Ihrer Google Security Operations-Instanz.
  • Raw Log Scan: Durchsucht die unformatierten, nicht geparsten Logs.
  • Reguläre Ausdrücke: Durchsuchen Sie die rohen, nicht geparsten Logs mit regulären Ausdrücken. Ausdrücke.

Fallverwaltung

Gruppieren Sie verwandte Benachrichtigungen in Fälle, sortieren und filtern Sie Anfragen in Warteschlange zur Sichtung und Priorisierung, Zuweisen von Fällen, Zusammenarbeit an jedem Fall, Fallprüfung und Berichterstellung.

Playbook-Designer

Playbooks durch Auswählen vordefinierter Aktionen und Drag-and-drop erstellen ohne zusätzliches Programmieren in den Playbook-Canvas. Mit Playbooks können Sie außerdem eigene Ansichten für jeden Benachrichtigungstyp und jede SOC-Rolle erstellen. Fallverwaltung präsentiert nur die Daten, die für einen bestimmten Benachrichtigungstyp und eine bestimmte Nutzerrolle relevant sind.

Graph Investigator

Das Wer, Was und Wann eines Angriffs visualisieren und Chancen für die Bedrohungssuche, das Gesamtbild und das Ergreifen von Maßnahmen.

Dashboard und Berichterstellung

Abläufe effektiv messen und verwalten, Stakeholdern Mehrwert demonstrieren SOC-Messwerte und KPIs in Echtzeit verfolgen. Sie können integrierte Dashboards und oder eigene Berichte erstellen.

Integrierte Entwicklungsumgebung (Integrated Development Environment, IDE)

Sicherheitsteams mit Programmierkenntnissen können vorhandene Playbooks modifizieren und verbessern. Aktionen ausführen, Code debuggen, neue Aktionen für bestehende Integrationen erstellen Integrationen, die nicht im Google Security Operations SOAR Marketplace verfügbar sind.

Investigative Ansichten

  • Asset-Ansicht: Hier können Sie die Assets Ihres Unternehmens prüfen. oder mit verdächtigen Domains interagiert haben.
  • Ansicht der IP-Adresse: Sie können bestimmte IP-Adressen in Ihrem Unternehmen und deren Auswirkungen auf Ihre Assets.
  • Hashansicht: Dateien basierend auf ihrem Hashwert suchen und untersuchen.
  • Domainansicht: Bestimmte Domains in Ihrem Unternehmen untersuchen und welche Auswirkungen sie auf Ihre Assets haben.
  • Nutzeransicht: Hier können Sie Nutzer in Ihrem Unternehmen untersuchen, die möglicherweise von Sicherheitsereignissen betroffen sind.
  • Prozedurales Filtern: Sie können Informationen zu einem Asset optimieren, z. B. nach Ereignistyp, Protokollquelle, Netzwerkverbindungsstatus und Top-Level-Domain (TLD).

Hervorgehobene Informationen

  • Mit Asset-Statistikblöcken werden die Domains und Benachrichtigungen hervorgehoben, die Sie interessieren könnten um das Problem genauer zu untersuchen.
  • Die Grafik zur Verbreitung zeigt die Anzahl der Domains, mit denen ein Asset über für einen bestimmten Zeitraum.
  • Warnungen von anderen beliebten Sicherheitsprodukten.

Erkennungs-Engine

Mit der Google Security Operations Detection Engine können Sie Ihre Daten nach Sicherheitsproblemen durchsuchen. Sie können Regeln für die Suche festlegen. alle eingehenden Daten abrufen und Sie benachrichtigen, wenn potenzielle und bekannte Bedrohungen in Ihrem Unternehmen.

Zugriffssteuerung

Sie können sowohl vordefinierte Rollen verwenden als auch neue Rollen konfigurieren, um den Zugriff zu steuern an Datenklassen, Benachrichtigungen und Ereignissen, die in Google Security Operations gespeichert sind Instanz. Identity and Access Management bietet Zugriffssteuerung für Google Security Operations