Descripción general de Google Security Operations

Google Security Operations es un servicio en la nube, creado como una capa especializada en mejor de la infraestructura de Google, diseñada para que las empresas retengan, analizar y buscar las grandes cantidades de telemetría de seguridad y red que generar.

Google Security Operations normaliza, indexa, correlaciona y analiza los datos para proporcionar análisis y contexto instantáneos sobre la actividad riesgosa. Google Security Operations puede usarse para detectar amenazas, investigar el alcance y la causa de esas amenazas, y ofrecer soluciones mediante integraciones prediseñadas con el flujo de trabajo empresarial de procesamiento, respuesta ante incidentes y organización de contenedores.

Las SecOps de Google permiten examinar el nivel de seguridad información para tu empresa que se extenderá por meses o más. Usa Google Security Operations te permite buscar en todos los dominios a los que accedes desde tu . Puedes limitar tu búsqueda a cualquier activo, dominio o IP específico para determinar si hubo alguna vulneración.

La plataforma de Google SecOps permite a los analistas de seguridad realizar las siguientes tareas: a analizar y mitigar una amenaza de seguridad a lo largo de su ciclo de vida las siguientes capacidades:

  • Recopilación: Los datos se transfieren a la plataforma mediante servidores de reenvío. analizadores, conectores y webhooks.
  • Detección: Estos datos se agregan y normalizan mediante el uso de la (UDM) y está vinculado a las detecciones y la inteligencia de amenazas.
  • Investigación: Las amenazas se investigan mediante la administración de casos, la búsqueda, la colaboración y la reconocimiento las estadísticas.
  • Respuesta: Los analistas de seguridad pueden responder rápidamente y proporcionar soluciones con el uso de guías automatizadas y administración de incidentes.

Recopilación de datos

Google Security Operations puede transferir numerosos tipos de telemetría de seguridad a través de un varios métodos, entre los que se incluyen los siguientes:

  • Forwarder: Es un componente de software ligero que se implementa en las que admite syslog, captura de paquetes y administración de registros existentes o repositorios de información y administración de eventos de seguridad (SIEM).

  • APIs de transferencia: Son las APIs que permiten enviar registros directamente al de Google Security Operations, que elimina la necesidad de el hardware o software en los entornos de los clientes.

  • Integraciones de terceros: La integración con las APIs de Cloud de terceros para facilitar la transferencia de registros, incluidas fuentes como Office 365 y Azure ANUNCIO.

Análisis de amenazas

Las capacidades analíticas de Google Security Operations se ofrecen como basada en el navegador. Muchos de estos también se puede acceder a ellas de manera programática a través de las APIs de Read. Google Security Operations ofrece a los analistas una forma de, cuando ven una amenaza potencial, investigar más a fondo y determinar la mejor manera de responder.

Resumen de las funciones de Google Security Operations

Esta sección describe algunas de las funciones disponibles en Google Security Operations.

  • Búsqueda de UDM: Te permite encontrar eventos y alertas del modelo de datos unificado (UDM). en tu instancia de Google Security Operations.
  • Análisis de registros sin procesar: Busca tus registros sin procesar sin analizar.
  • Expresiones regulares: busca registros sin procesar sin analizar mediante con expresiones regulares.

Administración de casos

Agrupa alertas relacionadas en casos, ordena y filtra la cola de casos para su clasificación. priorizar, asignar casos, colaborar en cada caso, auditoría de casos y informes.

Diseñador de guías

Crea guías seleccionando acciones predefinidas, arrastrándolas y soltándolas al lienzo de guías sin programación adicional. Las guías también te permiten crear vistas dedicadas para cada tipo de alerta y cada rol de SOC. Administración de casos presenta solo los datos relevantes para un tipo de alerta y un rol del usuario específicos.

Investigador de gráficos

Visualiza el quién, el qué y el cuándo de un ataque, e identifica oportunidades para de la búsqueda de amenazas, captura el panorama completo y toma medidas.

Informes y panel

Medir y administrar con eficacia las operaciones, demostrar el valor a las partes interesadas, hacer un seguimiento de las métricas y KPI del SOC en tiempo real. Puedes usar paneles integrados y o crear los tuyos propios.

Entorno de desarrollo integrado (IDE)

Los equipos de seguridad con habilidades de programación pueden modificar y mejorar la guía existente de alta calidad, depurar código, crear nuevas acciones para integraciones existentes y crear integraciones que no están disponibles en el mercado de SOAR de Google Security Operations.

Vistas de la investigación

  • Vista de activos: Investiga los activos de tu empresa y determina si es así. interactuaron con dominios sospechosos.
  • Vista IP Address: investiga direcciones IP específicas dentro de tu y el impacto que tienen en tus recursos.
  • Vista de hash: Busca y, luego, investiga archivos en función de su valor de hash.
  • Vista de dominio: Consulta dominios específicos de tu empresa y y qué impacto tienen en tus recursos.
  • Vista del usuario: Investiga los usuarios de tu empresa que podrían haber estado afectadas por eventos de seguridad.
  • Filtrado de procedimientos: Ajusta la información sobre un activo, por ejemplo, tipo de evento, fuente de registro, estado de conexión de red y dominio de nivel superior (TLD).

Información destacada

  • Los bloques de estadísticas de recursos destacan los dominios y las alertas que podría desear para investigar más a fondo.
  • El gráfico de prevalencia muestra la cantidad de dominios a los que se conectó un recurso durante más de durante un período específico.
  • Alertas de otros productos de seguridad populares.

Motor de detección

Puedes usar Google Security Operations Detection Engine para automatizar el proceso de buscando problemas de seguridad en tus datos. Puedes especificar reglas para buscar todos sus datos entrantes y le notificarán cuando aparezcan amenazas potenciales y conocidas en tu empresa.

Control de acceso

Puedes emplear roles predefinidos y configurar roles nuevos para controlar el acceso a las clases de datos, alertas y eventos almacenados en tu cuenta de Google Security Operations instancia. Identity and Access Management permite controlar el acceso Google Security Operations.