Google 安全运维概览
Google 安全运营是一项云服务,是基于 Google 基础架构构建的专用层,适合企业以私密方式保留、分析和搜索其生成的大量安全和网络遥测数据。
Google 安全操作团队会对数据进行标准化、编入索引、关联和分析,以针对存在风险的活动提供即时分析和背景信息。Google 安全运维套件可用于检测威胁,调查这些威胁的范围和原因,并通过与企业工作流、响应和编排平台的预构建集成提供修复措施。
Google SecOps 可让您检查企业历时数月或更长时间的汇总安全信息。使用 Google 安全运维套件在您的企业内访问的所有网域中进行搜索。您可以将搜索范围缩小到任何特定资产、网域或 IP 地址,以确定是否发生任何威胁。
借助 Google SecOps 平台,安全分析师可以使用以下功能,在其整个生命周期内分析和缓解安全威胁:
- 收集:使用转发器、解析器、连接器和 webhook 将数据注入平台。
- 检测:这些数据经过汇总和使用通用数据模型 (UDM) 标准化,并与检测和威胁情报相关联。
- 调查:通过案例管理、搜索、协作和情境感知分析调查威胁。
- 响应:安全分析师可以使用自动化策略方案和突发事件管理快速响应并提供解决方案。
数据收集
Google 安全运维套件可以通过各种方法注入大量安全遥测数据,包括以下方法:
转发器:部署在客户网络中的轻量级软件组件,支持 syslog、数据包捕获以及现有日志管理或安全信息和事件管理 (SIEM) 数据存储库。
提取 API:此类 API 用于将日志直接发送到 Google 安全运营平台,这样您就无需在客户环境中使用其他硬件或软件。
第三方集成:与第三方云 API 集成以方便提取日志,包括 Office 365 和 Azure AD 等来源。
威胁分析
Google 安全运营的分析功能以基于浏览器的应用的形式提供。其中许多功能也可以通过 Read API 以编程方式访问。Google 安全运维套件为分析师提供了一种途径,当他们发现潜在威胁时,可进行进一步调查并确定最佳应对方式。
Google Security Operations 功能摘要
本部分介绍了 Google Security Operations 中提供的一些功能。
搜索
- UDM Search:可让您在 Google Security Operations 实例中查找统一数据模型 (UDM) 事件和提醒。
- Raw Log Scan:搜索未解析的原始日志。
- 正则表达式:使用正则表达式搜索未解析的原始日志。
案例管理
将相关的提醒分组为案例,对案例队列进行排序和过滤以进行分类和优先级,分配案例,对每个案例进行协作,案例审核和报告。
手册设计师
通过选择预定义的操作并将其拖放到 playbook 画布中,无需额外编码即可构建 playbook。您还可以为每种提醒类型和每种 SOC 角色创建专用视图。案例管理仅显示与特定提醒类型和用户角色相关的数据。
图调查器
可视化攻击的人物、事件和时间,识别威胁狩猎机会,捕获完整信息并采取行动。
信息中心和报告
有效衡量和管理运营、向利益相关方展示价值,并跟踪实时 SOC 指标和 KPI。您可以使用内置的信息中心和报告 也可以构建自己的信息中心和报告
集成开发环境 (IDE)
具备编码技能的安全团队可以修改和改进现有 playbook 操作、调试代码、为现有集成构建新操作,并创建 Google Security Operations SOAR Marketplace 中未提供的集成。
调查视图
- “素材资源”视图:调查您企业中的资产,以及它们是否与可疑网域互动过。
- IP 地址视图:调查企业中的特定 IP 地址,以及这些地址对您的资产有何影响。
- 哈希视图:根据文件的哈希值搜索和调查文件。
- 网域视图:调查企业内的特定网域,以及这些网域对您的资产有何影响。
- 用户视图:调查企业中可能受到安全事件影响的用户。
- 过程过滤:微调有关资产的信息,包括按事件类型、日志来源、网络连接状态和顶级域名 (TLD) 进行微调。
突出显示的信息
- 资产数据分析块会突出显示您可能希望进一步调查的网域和提醒。
- 发生率图表显示指定时间段内某项资产连接到的网域数量。
- 来自其他热门安全产品的提醒。
检测引擎
您可以使用 Google Security Operations Detection Engine 自动在数据中搜索安全问题。您可以指定规则以搜索所有传入数据,并在企业中出现潜在和已知威胁时通知您。
访问权限控制
您可以使用预定义角色并配置新角色,以控制对存储在 Google Security Operations 实例中的各类数据、提醒和事件的访问权限。Identity and Access Management 为 Google 安全操作提供访问权限控制。