Panoramica di Google Security Operations
Google Security Operations è un servizio cloud, creato come livello specializzato all'avanguardia dell'infrastruttura Google, progettata per le aziende analizzare e cercare grandi quantità di dati telemetrici di sicurezza e rete che generati.
Google Security Operations normalizza, indicizza, correla e analizza i dati per forniscono analisi istantanee e contesto sulle attività rischiose. Google Security Operations può essere utilizzati per rilevare minacce, indagare sulla portata e sulla causa delle minacce e fornire correzioni utilizzando integrazioni predefinite con il flusso di lavoro aziendale, piattaforme di risposta e orchestrazione.
Google SecOps ti consente di esaminare i dati sulla sicurezza per la tua azienda, tornando indietro per mesi o più. Utilizza le funzionalità di Google Security Operations per cercare in tutti i domini a cui si accede all'interno di per l'azienda. Puoi restringere la ricerca a qualsiasi asset, dominio o IP specifico per stabilire se si è verificata una violazione.
La piattaforma Google SecOps consente agli analisti della sicurezza di analizzare e mitigare una minaccia alla sicurezza durante il suo ciclo di vita utilizzando le seguenti funzionalità:
- Raccolta: i dati vengono importati nella piattaforma utilizzando i server di inoltro, parser, connettori e webhook.
- Rilevamento: questi dati vengono aggregati, normalizzati utilizzando gli Universal Data modello (UDM) e collegato ai rilevamenti e all'intelligence sulle minacce.
- Indagine: le minacce vengono analizzate attraverso la gestione dei casi, la ricerca, collaborazione e sensibili al contesto e analisi.
- Risposta: gli analisti della sicurezza possono rispondere rapidamente e fornire soluzioni. mediante playbook automatizzati e gestione degli incidenti.
Raccolta dei dati
Google Security Operations può importare numerosi tipi di dati di telemetria sulla sicurezza tramite una diversi metodi, tra cui:
Forwarder: un componente software leggero, implementato nel client che supporta syslog, l'acquisizione di pacchetti e la gestione dei log esistenti o repository di dati SIEM (Security Information and Event Management).
API di importazione: API che consentono l'invio dei log direttamente Google Security Operations, eliminando la necessità di l'hardware o il software negli ambienti del cliente.
Integrazioni di terze parti: integrazione con API cloud di terze parti per facilitano l’importazione dei log, incluse origini come Office 365 e Azure ANNUNCIO.
Analisi delle minacce
Le funzionalità analitiche delle Operazioni di sicurezza di Google sono fornite sotto forma di basata su browser. Molti di questi sono inoltre accessibili in modo programmatico tramite le API di lettura. Google Security Operations offre agli analisti un modo, quando rilevano una potenziale minaccia, per indaga ulteriormente per stabilire la risposta migliore.
Riepilogo delle funzionalità di Google Security Operations
In questa sezione vengono descritte alcune delle funzionalità disponibili in Google Security Operations.
Cerca
- Ricerca UDM: consente di trovare eventi e avvisi nel modello di dati unificato (UDM). nell'istanza di Google Security Operations.
- Scansione dei log non elaborati: cerca i log non elaborati e non analizzati.
- Espressioni regolari: cerca nei log non elaborati e non analizzati utilizzando le espressioni regolari. le espressioni regolari.
Gestione delle richieste di assistenza
Raggruppa gli avvisi correlati in richieste, ordina e filtra la coda delle richieste per la classificazione e assegnazione delle priorità, assegnazione dei casi, collaborazione su ogni caso, controllo dei casi e i report.
Designer di playbook
Crea playbook selezionando azioni predefinite e trascinandole nel canvas del playbook senza programmazione aggiuntiva. I playbook ti consentono inoltre di creare viste dedicate per ogni tipo di avviso e ogni ruolo del SOC. Gestione richieste presenta solo i dati pertinenti a un tipo di avviso e a un ruolo utente specifici.
Investitore grafici
Visualizzate chi, cosa e quando di un attacco, identificando le opportunità la caccia alle minacce, acquisire un quadro completo e agire di conseguenza.
Dashboard e report
Misurare e gestire efficacemente le operazioni, dimostrare il valore agli stakeholder, monitorare metriche e KPI del SOC in tempo reale. Puoi usare le dashboard integrate report personalizzati o crearne uno tuo.
Ambiente di sviluppo integrato (IDE)
I team di sicurezza con competenze di programmazione possono modificare e migliorare i playbook esistenti azioni, eseguire il debug del codice, creare nuove azioni per le integrazioni esistenti e creare integrazioni che non sono disponibili nel marketplace SOAR di Google Security Operations.
Visualizzazioni investigative
- Visualizzazione degli asset: consente di esaminare le risorse all'interno della tua azienda e scoprire se sono presenti o meno. hanno interagito con domini sospetti.
- Visualizzazione indirizzo IP: esamina indirizzi IP specifici all'interno del tuo la loro azienda e il loro impatto sui tuoi asset.
- Visualizzazione hash: cerca e analizza i file in base al loro valore hash.
- Vista dominio: esamina domini specifici all'interno della tua azienda e sull'impatto di questi ultimi sui tuoi asset.
- Vista utenti: consente di esaminare gli utenti della tua azienda che potrebbero essere stati influenzate da eventi di sicurezza.
- Filtro procedurale: ottimizza le informazioni su una risorsa, ad esempio in base al tipo di evento, sorgente log, stato della connessione di rete e dominio di primo livello (TLD).
Informazioni evidenziate
- I blocchi degli approfondimenti sugli asset evidenziano i domini e gli avvisi che ti interessano per svolgere ulteriori indagini.
- Il grafico di prevalenza mostra il numero di domini a cui è collegato un asset per un determinato periodo di tempo.
- Avvisi da altri prodotti di sicurezza più diffusi.
Motore di rilevamento
Puoi utilizzare Google Security Operations Detection Engine per automatizzare il processo di alla ricerca di problemi di sicurezza tra i dati. Puoi specificare le regole di ricerca tutti i tuoi dati in arrivo e ti avvisa quando vengono visualizzate minacce potenziali e note della tua azienda.
Controllo degli accessi
Puoi utilizzare ruoli predefiniti e configurare nuovi ruoli per controllare l'accesso alle classi di dati, avvisi ed eventi archiviati in Google Security Operations in esecuzione in un'istanza Compute Engine. Identity and Access Management fornisce il controllo dell'accesso per Google Security Operations.