Descripción general de Google Security Operations

Se admite en los siguientes países:

Google Security Operations es un servicio en la nube, creado como una capa especializada sobre la infraestructura de Google, diseñado para que las empresas retengan, analicen y busquen de forma privada las grandes cantidades de telemetría de seguridad y de red que generan.

Google Security Operations normaliza, indexa, correlaciona y analiza los datos para proporcionar un análisis y contexto instantáneos de las actividades riesgosas. Google Security Operations se puede usar para detectar amenazas, investigar su alcance y causa, y proporcionar una solución mediante integraciones precompiladas con plataformas de orquestación, respuesta y flujo de trabajo empresariales.

Google SecOps te permite examinar la información de seguridad agregada de tu empresa durante meses o más. Usa Security Operations de Google para realizar búsquedas en todos los dominios a los que se accede en tu empresa. Puedes limitar tu búsqueda a cualquier activo, dominio o dirección IP específicos para determinar si se produjo algún compromiso.

La plataforma de Google SecOps permite a los analistas de seguridad analizar y mitigar una amenaza de seguridad durante todo su ciclo de vida mediante las siguientes capacidades:

  • Recopilación: Los datos se transfieren a la plataforma con reenvío, analizadores, conectores y webhooks.
  • Detección: Estos datos se agregan, se normalizan con el modelo universal de datos (UDM) y se vinculan a las detecciones y la inteligencia contra amenazas.
  • Investigación: Las amenazas se investigan a través de la administración de casos, la búsqueda, la colaboración y las analíticas centradas en el contexto.
  • Respuesta: Los analistas de seguridad pueden responder rápidamente y proporcionar resoluciones con guías automatizadas y administración de incidentes.

Recopilación de datos

Las Operaciones de seguridad de Google pueden transferir numerosos tipos de telemetría de seguridad a través de una variedad de métodos, incluidos los siguientes:

  • Redireccionamiento: Es un componente de software ligero que se implementa en la red del cliente y que admite syslog, captura de paquetes y administración de registros existentes o repositorios de datos de administración de información y eventos de seguridad (SIEM).

  • APIs de transferencia: Son APIs que permiten que los registros se envíen directamente a la plataforma de Google Security Operations, lo que elimina la necesidad de hardware o software adicional en los entornos de los clientes.

  • Integraciones de terceros: Integración con APIs de nube de terceros para facilitar la transferencia de registros, incluidas fuentes como Office 365 y Azure AD.

Análisis de amenazas

Las capacidades analíticas de Google Security Operations se entregan como una aplicación basada en el navegador. También se puede acceder a muchas de estas capacidades de manera programática a través de las APIs de lectura. Google Security Operations les brinda a los analistas una forma, cuando ven una posible amenaza, de investigar más y determinar la mejor manera de responder.

Resumen de las funciones de Google Security Operations

En esta sección, se describen algunas de las funciones disponibles en Google Security Operations.

  • Búsqueda de UDM: Te permite encontrar alertas y eventos del modelo de datos unificado (UDM) dentro de tu instancia de Google Security Operations.
  • Análisis de registros sin procesar: Busca en tus registros sin procesar.
  • Expresiones regulares: Busca en tus registros sin analizar con expresiones regulares.

Administración de casos

Agrupa alertas relacionadas en casos, ordena y filtra la cola de casos para su clasificación y priorización, asigna casos, colabora fácilmente en cada uno y crea informes y auditorías.

Diseñador de guías

Para crear guías, selecciona acciones predefinidas y arrástralas y suéltalas en el lienzo de la guía sin codificación adicional. Las guías de respuesta también te permiten crear vistas exclusivas para cada tipo de alerta y cada rol del SOC. La administración de casos solo presenta los datos relevantes para un tipo de alerta y un rol de usuario específicos.

Investigador de gráficos

Visualiza el quién, qué y cuándo de un ataque, identifica las oportunidades para la búsqueda de amenazas, captura el panorama completo y toma medidas.

Paneles e informes

Mide y gestiona eficazmente las operaciones, demuestra valor a las partes interesadas y realiza un seguimiento en tiempo real de las métricas y los KPI del SOC. Puedes usar los informes y paneles integrados o crear los tuyos propios.

Entorno de desarrollo integrado (IDE)

Los equipos de seguridad con habilidades de programación pueden modificar y mejorar las acciones de las guías existentes, depurar el código, compilar acciones nuevas para integraciones existentes y crear integraciones que no están disponibles en el mercado de SOAR de Google Security Operations.

Vistas de investigación

  • Vista de recursos: Investiga los recursos de tu empresa y si interactuaron o no con dominios sospechosos.
  • Vista de direcciones IP: Investiga direcciones IP específicas dentro de tu empresa y el impacto que tienen en tus recursos.
  • Vista de hash: Busca e investiga archivos según su valor de hash.
  • Vista de dominio: Investiga dominios específicos dentro de tu empresa y el impacto que tienen en tus recursos.
  • Vista de usuario: Investiga a los usuarios de tu empresa que podrían haberse visto afectados por eventos de seguridad.
  • Filtrado procedimental: Ajusta la información sobre un recurso, por ejemplo, por tipo de evento, fuente de registro, estado de conexión de red y dominio de nivel superior (TLD).

Información destacada

  • Los bloques de estadísticas de recursos destacan los dominios y las alertas que te recomendamos investigar más a fondo.
  • El gráfico de prevalencia muestra la cantidad de dominios a los que se conectó un activo durante un período determinado.
  • Alertas de otros productos de seguridad populares

Motor de detección

Puedes usar el motor de detección de Google Security Operations para automatizar el proceso de búsqueda de problemas de seguridad en tus datos. Puedes especificar reglas para buscar todos tus datos entrantes y recibir notificaciones cuando aparezcan amenazas potenciales y conocidas en tu empresa.

Control de acceso

Puedes emplear roles predefinidos y configurar roles nuevos para controlar el acceso a las clases de datos, alertas y eventos almacenados en tu instancia de Google Security Operations. Identity and Access Management proporciona control de acceso para Security Operations de Google.