Descripción general de Google Security Operations

Google Security Operations es un servicio en la nube, compilado como una capa especializada sobre la infraestructura de Google, diseñado para que las empresas retengan, analicen y busquen de forma privada las grandes cantidades de telemetría de red y seguridad que generan.

Google Security Operations normaliza, indexa, correlaciona y analiza los datos para proporcionar un análisis instantáneo y un contexto sobre la actividad riesgosa. Google Security Operations se puede usar para detectar amenazas, investigar el alcance y la causa de esas amenazas, y proporcionar soluciones mediante integraciones compiladas previamente en plataformas de organización, respuesta y flujo de trabajo empresarial.

Con Google SecOps, puedes examinar la información de seguridad agregada de tu empresa con varios meses de antigüedad. Usa Google Security Operations para buscar en todos los dominios a los que se accede dentro de tu empresa. Puedes limitar tu búsqueda a cualquier activo, dominio o dirección IP específicos para determinar si se produjo algún ataque.

La plataforma de Google SecOps permite a los analistas de seguridad analizar y mitigar una amenaza de seguridad durante su ciclo de vida con las siguientes capacidades:

  • Recopilación: Los datos se transfieren a la plataforma mediante servidores de reenvío, analizadores, conectores y webhooks.
  • Detección: Estos datos se agregan, normalizan mediante el modelo universal de datos (UDM) y se vinculan a las detecciones y la inteligencia de amenazas.
  • Investigación: Las amenazas se investigan mediante la administración de casos, la búsqueda, la colaboración y estadísticas contextuales.
  • Respuesta: Los analistas de seguridad pueden responder con rapidez y proporcionar soluciones mediante el uso de guías automatizadas y administración de incidentes.

Recopilación de datos

Google Security Operations puede transferir numerosos tipos de telemetría de seguridad a través de una variedad de métodos, incluidos los siguientes:

  • Forwarder: Es un componente de software ligero, implementado en la red del cliente, que admite syslog, captura de paquetes y repositorios de datos existentes de administración de registros o información de seguridad y administración de eventos (SIEM).

  • API de transferencia: API que permiten que los registros se envíen directamente a la plataforma de Google Security Operations, lo que elimina la necesidad de hardware o software adicionales en los entornos de clientes.

  • Integraciones de terceros: Integración con las API de Cloud de terceros para facilitar la transferencia de registros, incluidas fuentes como Office 365 y Azure AD.

Análisis de amenazas

Las capacidades analíticas de Google Security Operations se entregan como una aplicación basada en el navegador. También se puede acceder a muchas de estas funciones de manera programática a través de las APIs de Read. Google Security Operations ofrece a los analistas una forma, cuando ven una amenaza potencial, para investigar más y determinar la mejor manera de responder.

Resumen de las funciones de Google Security Operations

En esta sección, se describen algunas de las funciones disponibles en Google Security Operations.

  • UDM Search: Te permite encontrar eventos y alertas del modelo de datos unificado (UDM) en tu instancia de Google Security Operations.
  • Análisis de registros sin procesar: Busca tus registros sin procesar sin analizar.
  • Expresiones regulares: Busca tus registros sin analizar mediante expresiones regulares.

Administración de casos

Agrupa alertas relacionadas en casos, ordena y filtra la cola de casos para su clasificación y priorización, asigna casos, colabora en cada caso, auditoría y generación de informes.

Diseñador de guías

Para compilar guías, selecciona acciones predefinidas, arrástralas y suéltalas en el lienzo de la guía sin programación adicional. Las guías también te permiten crear vistas dedicadas para cada tipo de alerta y función de SOC. La administración de casos presenta solo los datos relevantes para un tipo de alerta y un rol de usuario específicos.

Investigador de gráficos

Visualiza el quién, qué y cuándo de un ataque, identifica oportunidades para la búsqueda de amenazas, captura el panorama completo y toma medidas.

Informes y panel

Mide y administra operaciones con eficacia, demuestra valor a las partes interesadas y haz un seguimiento de las métricas y KPI del SOC en tiempo real. Puedes usar informes y paneles integrados o crear los tuyos propios.

Entorno de desarrollo integrado (IDE)

Los equipos de seguridad con habilidades de programación pueden modificar y mejorar las acciones existentes de la guía, depurar el código, compilar acciones nuevas para integraciones existentes y crear integraciones que no están disponibles en el mercado de SOAR de Google Security Operations.

Vistas de la investigación

  • Vista de recursos: Investiga los recursos de tu empresa y si interactuaron o no con dominios sospechosos.
  • Vista IP Address: Investiga direcciones IP específicas dentro de tu empresa y el impacto que tienen en los recursos.
  • Vista de hash: Busca y, luego, investiga archivos en función de su valor de hash.
  • Vista de dominio: Investiga dominios específicos dentro de tu empresa y el impacto que tienen en tus recursos.
  • Vista del usuario: Investiga los usuarios de tu empresa que puedan haberse visto afectados por eventos de seguridad.
  • Filtrado de procedimientos: Ajusta la información sobre un recurso, incluso por tipo de evento, fuente de registro, estado de conexión de red y dominio de nivel superior (TLD).

Información destacada

  • Los bloques de estadísticas de recursos destacan los dominios y las alertas que tal vez quieras investigar más a fondo.
  • El gráfico de prevalencia muestra la cantidad de dominios a los que se conectó un recurso durante un período específico.
  • Alertas de otros productos de seguridad populares.

Motor de detección

Puedes usar Google Security Operations Detection Engine para automatizar el proceso de búsqueda de problemas de seguridad en los datos. Puedes especificar reglas para buscar todos los datos entrantes y notificarte cuando aparezcan amenazas potenciales y conocidas en tu empresa.

Control de acceso

Puedes emplear roles predefinidos y configurar roles nuevos para controlar el acceso a las clases de datos, alertas y eventos almacenados dentro de tu instancia de Google Security Operations. Identity and Access Management proporciona control de acceso para Google Security Operations.