Visão geral do Google Security Operations
O Google Security Operations é um serviço em nuvem criado como uma camada especializada no topo da infraestrutura do Google, criado para as empresas reterem, de modo privado, analisar e pesquisar as grandes quantidades de telemetria de segurança e rede gerar.
O Google Security Operations normaliza, indexa, correlaciona e analisa os dados para fornecem análise instantânea e contexto sobre atividades arriscadas. As Operações de segurança do Google podem ser usados para detectar ameaças, investigar o escopo e a causa dessas ameaças e oferecer soluções de problemas usando integrações pré-criadas com fluxo de trabalho corporativo, respostas e orquestração de contêineres.
Com o Google SecOps, você pode examinar as informações de segurança agregadas da sua empresa por meses ou mais. Use as operações de segurança do Google para pesquisar em todos os domínios acessados na sua empresa. Você pode limitar sua pesquisa a qualquer recurso, domínio ou endereço IP específico para determinar se houve comprometimento.
A plataforma Google SecOps permite que analistas de segurança analisem e mitiguem uma ameaça de segurança ao longo do ciclo de vida dela usando os seguintes recursos:
- Coleta: os dados são ingeridos na plataforma usando encaminhadores, parsers, conectores e webhooks.
- Detecção: esses dados são agregados e normalizados usando o (UDM) e vinculado a detecções e à inteligência de ameaças.
- Investigação: as ameaças são investigadas por meio do gerenciamento de casos, pesquisa colaboração e baseado em contexto análise de dados.
- Resposta: os analistas de segurança podem responder rapidamente e oferecer resoluções usando manuais automatizados e gerenciamento de incidentes.
Coleta de dados
As operações de segurança do Google podem processar vários tipos de telemetria de segurança por vários métodos, incluindo estes:
Forwarder: um componente de software leve, implantado na rede do cliente, que oferece suporte a syslog, captura de pacotes e repositórios de dados de gerenciamento de logs ou de eventos e informações de segurança (SIEM, na sigla em inglês).
APIs de ingestão: APIs que permitem que os registros sejam enviados diretamente para a plataforma Google Security Operations, eliminando a necessidade de hardware ou software adicionais nos ambientes do cliente.
Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitam a ingestão de registros, incluindo origens como o Office 365 e o Azure d.C.
Análise de ameaças
Os recursos analíticos das Operações de segurança do Google são fornecidos como um aplicativo baseado em navegador. Muitos desses recursos também estão disponíveis de maneira programática pelas APIs Read. O Google Security Operations oferece aos analistas uma maneira de investigar melhor e determinar a melhor forma de responder quando eles encontram uma possível ameaça.
Resumo dos recursos do Google Security Operations
Esta seção descreve alguns dos recursos disponíveis no Operações de segurança do Google.
Pesquisar
- Pesquisa de UDM: permite encontrar eventos e alertas do modelo de dados unificado (UDM, na sigla em inglês) na sua instância do Google Security Operations.
- Verificação de registro bruto: pesquise seus registros brutos não analisados.
- Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.
Gerenciamento de casos de suporte
Agrupe alertas relacionados em casos, classifique e filtre a fila de casos para triagem e priorização, atribua casos, colabore em todos os casos, auditorias e relatórios.
Designer de playbook
Selecione ações predefinidas e arraste e solte para criar playbooks para a tela do playbook sem código adicional. Os playbooks também permitem criar visualizações dedicadas para cada tipo de alerta e cada função do SOC. Gerenciamento de casos apresenta apenas os dados relevantes para um tipo de alerta e função do usuário específicos.
Investigator de gráfico
Visualize quem, o quê e quando de um ataque, identifique oportunidades de busca de ameaças, capture a imagem completa e tome medidas.
Painel e relatórios
Medir e gerenciar as operações com eficiência, demonstrar valor para as partes interessadas monitorar as métricas e KPIs do SOC em tempo real. Você pode usar painéis e relatórios integrados ou criar os seus.
Ambiente de desenvolvimento integrado (IDE)
Equipes de segurança com habilidades de programação podem modificar e aprimorar o playbook atual depurar códigos, criar novas ações para integrações existentes e criar integrações que não estão disponíveis no Marketplace SOAR do Google Security Operations.
Pontos de vista investigativos
- Visualização de recursos: investigue os recursos na sua empresa e se eles interagiram ou não com domínios suspeitos.
- Visualização de endereço IP: investigue endereços IP específicos na sua empresa e o impacto deles nos seus recursos.
- Visualização de hash: pesquise e investigue arquivos com base no valor de hash.
- Visualização de domínio: investigue domínios específicos na sua empresa e o impacto deles nos seus recursos.
- Visualização do usuário: investigue os usuários da sua empresa que podem ter sido afetados por eventos de segurança.
- Filtragem processual: ajuste as informações sobre um recurso, incluindo tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).
Informações em destaque
- Os blocos de insights de recursos destacam os domínios e alertas que você pode querer investigar melhor.
- O gráfico de prevalência mostra o número de domínios a que um recurso está conectado durante um período específico.
- Alertas de outros produtos de segurança conhecidos.
Mecanismo de detecção
Você pode usar o Google Security Operations Detection Engine para automatizar o processo de pesquisando problemas de segurança nos dados. É possível especificar regras para pesquisar todos os dados recebidos e receber notificações quando ameaças conhecidas e em potencial aparecerem na sua empresa.
Controle de acesso
É possível empregar papéis predefinidos e configurar novos para controlar o acesso a classes de dados, alertas e eventos armazenados nas Operações de segurança do Google instância. O Identity and Access Management oferece controle de acesso para as operações de segurança do Google.