Visão geral do Google Security Operations

Compatível com:

O Google Security Operations é um serviço em nuvem criado como uma camada especializada na infraestrutura do Google. Ele foi desenvolvido para que as empresas retenham, analisem e pesquisem de forma privada grandes quantidades de telemetria de segurança e de rede que elas geram.

O Google Security Operations normaliza, indexa, correlaciona e analisa os dados para oferecer análise instantânea e contexto sobre atividades de risco. O Google Security Operations pode ser usado para detectar ameaças, investigar o escopo e a causa delas e oferecer correção usando integrações pré-criadas com plataformas de fluxo de trabalho, resposta e orquestração corporativas.

Com o Google SecOps, você pode examinar as informações de segurança agregadas da sua empresa por meses ou mais. Use as operações de segurança do Google para pesquisar em todos os domínios acessados na sua empresa. Você pode restringir sua pesquisa a qualquer recurso, domínio ou endereço IP específico para determinar se houve comprometimento.

A plataforma Google SecOps permite que analistas de segurança analisem e mitiguem uma ameaça de segurança ao longo do ciclo de vida dela usando os seguintes recursos:

  • Coleta: os dados são ingeridos na plataforma usando encaminhadores, parsers, conectores e webhooks.
  • Detecção: esses dados são agregados, normalizados usando o modelo de dados universal (UDM, na sigla em inglês) e vinculados a detecções e inteligência contra ameaças.
  • Investigação: as ameaças são investigadas por meio de gerenciamento de casos, pesquisa, colaboração e análise com base no contexto.
  • Resposta: os analistas de segurança podem responder rapidamente e oferecer resoluções usando manuais automatizados e gerenciamento de incidentes.

Coleta de dados

As operações de segurança do Google podem processar vários tipos de telemetria de segurança por vários métodos, incluindo estes:

  • Forwarder: um componente de software leve, implantado na rede do cliente, que oferece suporte a syslog, captura de pacotes e repositórios de dados de gerenciamento de registros ou de eventos e informações de segurança (SIEM, na sigla em inglês).

  • APIs de ingestão: APIs que permitem que os registros sejam enviados diretamente para a plataforma Google Security Operations, eliminando a necessidade de hardware ou software adicionais nos ambientes do cliente.

  • Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo fontes como o Office 365 e o Azure AD.

Análise de ameaças

Os recursos analíticos do Google Security Operations são fornecidos como um aplicativo baseado em navegador. Muitos desses recursos também estão disponíveis de maneira programática pelas APIs Read. O Google Security Operations oferece aos analistas uma maneira de investigar melhor e determinar a melhor forma de responder quando eles encontram uma possível ameaça.

Resumo dos recursos do Google Security Operations

Esta seção descreve alguns dos recursos disponíveis no Google Security Operations.

  • Pesquisa UDM: permite encontrar eventos e alertas do modelo de dados unificado (UDM, na sigla em inglês) na sua instância do Google Security Operations.
  • Verificação de registro bruto: pesquise seus registros brutos não analisados.
  • Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.

Gerenciamento de casos de suporte

Agrupe alertas relacionados em casos, classifique e filtre a fila de casos para triagem e priorização, atribua casos, colabore em todos os casos, auditorias e relatórios.

Designer de playbook

Crie playbooks selecionando ações predefinidas e arrastando-as e soltando-as na tela do playbook sem programação adicional. Os playbooks também permitem criar visualizações dedicadas para cada tipo de alerta e cada função do SOC. A gestão de casos apresenta apenas os dados relevantes para um tipo de alerta e função do usuário específicos.

Investigator de gráfico

Visualize quem, o quê e quando de um ataque, identifique oportunidades de busca de ameaças, capture o panorama geral e tome medidas.

Painel e relatórios

Meça e gerencie operações de forma eficaz, demonstre valor para as partes interessadas, rastreie métricas e KPIs do SOC em tempo real. Você pode usar painéis e relatórios integrados ou criar os seus.

Ambiente de desenvolvimento integrado (IDE)

As equipes de segurança com habilidades de programação podem modificar e aprimorar as ações dos playbooks, depurar códigos, criar novas ações para integrações existentes e criar integrações que não estão disponíveis no Marketplace de SOAR de operações de segurança do Google.

Visualizações investigativas

  • Visualização de recursos: investigue os recursos na sua empresa e se eles interagiram ou não com domínios suspeitos.
  • Visualização de endereço IP: investigue endereços IP específicos na sua empresa e o impacto deles nos seus recursos.
  • Visualização de hash: pesquise e investigue arquivos com base no valor de hash.
  • Visualização de domínio: investigue domínios específicos na sua empresa e o impacto deles nos seus recursos.
  • Visualização do usuário: investigue os usuários da sua empresa que podem ter sido afetados por eventos de segurança.
  • Filtragem procedural: ajuste fino das informações sobre um recurso, incluindo por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).

Informações em destaque

  • Os blocos de insights de recursos destacam os domínios e alertas que você pode querer investigar melhor.
  • O gráfico de prevalência mostra o número de domínios a que um recurso se conectou em um período especificado.
  • Alertas de outros produtos de segurança conhecidos.

Mecanismo de detecção

Você pode usar o mecanismo de detecção do Google Security Operations para automatizar o processo de pesquisa de problemas de segurança nos seus dados. É possível especificar regras para pesquisar todos os dados recebidos e receber notificações quando ameaças conhecidas e em potencial aparecerem na sua empresa.

Controle de acesso

É possível empregar funções predefinidas e configurar novas funções para controlar o acesso a classes de dados, alertas e eventos armazenados na sua instância do Google Security Operations. O Identity and Access Management oferece controle de acesso para as operações de segurança do Google.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.