Google Security Operations 概览
Google Security Operations 是一项云服务,作为 Google 基础架构之上的专用层,供企业以私密方式保留、分析和搜索其生成的大量安全和网络遥测数据。
Google Security Operations 会对数据进行标准化、编制索引、关联和分析,以提供有关有风险活动的即时分析和上下文。Google Security Operations 可用于检测威胁,调查这些威胁的范围和原因,并通过与企业工作流、响应和编排平台的预构建集成提供补救措施。
借助 Google SecOps,您可以检查企业回溯数月或更长时间的汇总安全信息。使用 Google Security Operations 在您的企业内访问的所有网域中进行搜索。您可以将搜索范围缩小到任何特定资产、网域或 IP 地址,以确定是否已发生任何泄露。
借助 Google SecOps 平台,安全分析师可以通过利用以下功能,在其整个生命周期内分析和缓解安全威胁:
- 数据收集:使用转发器、解析器、连接器和 webhook,将数据注入到平台中。
- 检测:这些数据使用通用数据模型 (UDM) 进行汇总和标准化,并与检测和威胁情报相关联。
- 调查:通过案例管理、搜索、协作和情境感知分析来调查威胁。
- 响应:安全分析师可以使用自动化策略方案和突发事件管理快速响应并提供解决方案。
数据收集
Google Security Operations 可以通过多种方法注入多种安全遥测类型,其中包括:
转发器:部署在客户网络中的轻量级软件组件,支持 syslog、数据包捕获以及现有日志管理或安全信息和事件管理 (SIEM) 数据存储区。
提取 API:可将日志直接发送到 Google Security Operations 平台的 API,无需在客户环境中使用其他硬件或软件。
第三方集成:与第三方 Cloud API 集成以方便提取日志,包括 Office 365 和 Azure AD 等来源。
威胁分析
Google Security Operations 的分析功能以基于浏览器的应用的形式提供。其中许多功能也可以通过 Read API 以编程方式访问。Google Security Operations 为分析师提供了一种方式,可在他们发现潜在威胁时进一步调查并确定最佳响应方式。
Google Security Operations 功能摘要
本部分介绍 Google Security Operations 中提供的一些功能。
搜索
- UDM 搜索:可让您查找 Google Security Operations 实例中的统一数据模型 (UDM) 事件和提醒。
- 原始日志扫描:搜索未解析的原始日志。
- 正则表达式:使用正则表达式搜索未解析的原始日志。
案例管理
将相关提醒分组到案例中,对案例队列进行排序和过滤,以对其进行分类和优先级排序,分配案例,协作处理每个案例,审核和报告。
playbook 设计器
选择预定义的操作并将其拖放到 playbook 画布中即可构建 playbook,无需额外编码。此外,您可以通过策略方案为每种提醒类型和每个 SOC 角色创建专用视图。案例管理仅显示与特定提醒类型和用户角色相关的数据。
图表调查工具
直观呈现攻击的发生者、事件和时间,发现威胁狩猎机会,捕获完整信息并采取行动。
信息中心和报告
有效衡量和管理运营,向利益相关方展示价值,跟踪实时 SOC 指标和 KPI。您可以使用内置的信息中心和报告,也可以构建自己的信息中心和报告。
集成开发环境 (IDE)
具备编码技能的安全团队可以修改和增强现有的 playbook 操作、调试代码、为现有集成构建新操作,并创建 Google Security Operations SOAR Marketplace 中未提供的集成。
调查视图
- “资产”视图:调查企业内的资产,以及这些资产是否与可疑网域进行过互动。
- IP 地址视图:调查企业中的特定 IP 地址以及这些地址对您的资产的影响。
- 哈希视图:根据文件的哈希值搜索和调查文件。
- 网域视图:调查企业中的特定网域以及这些网域对您的资产有何影响。
- 用户视图:调查企业内可能受安全性事件影响的用户。
- 过程过滤:微调有关资产的信息,包括按事件类型、日志源、网络连接状态和顶级域名 (TLD) 进行微调。
突出显示的信息
- 资产数据分析块会突出显示您可能需要进一步调查的网域和提醒。
- 发生率图表显示了指定时间段内资产关联到的网域数量。
- 来自其他热门安全产品的提醒。
检测引擎
您可以使用 Google Security Operations Detection Engine 自动执行在数据中搜索安全问题的过程。您可以指定规则以搜索所有传入数据,并在您的企业出现潜在和已知威胁时通知您。
访问权限控制
您可以采用预定义角色和配置新角色,以控制对存储在 Google Security Operations 实例中的数据类别、提醒和事件的访问权限。Identity and Access Management 为 Google Security Operations 提供访问权限控制。