Visão geral das Operações de Segurança do Google

O serviço de Operações de Segurança do Google é um serviço em nuvem, criado como uma camada especializada sobre a infraestrutura do Google, projetado para que as empresas retenham, analisem e pesquisem de maneira particular as grandes quantidades de segurança e telemetria de rede geradas.

As Operações de segurança do Google normalizam, indexam, correlacionam e analisam os dados para fornecer análise instantânea e contexto sobre atividades de risco. As Operações de segurança do Google podem ser usadas para detectar ameaças, investigar o escopo e a causa delas e fornecer correções usando integrações predefinidas com plataformas de orquestração, de resposta e fluxo de trabalho corporativo.

O Google SecOps permite examinar as informações de segurança agregadas da sua empresa de meses ou mais. Use as Operações de Segurança do Google para pesquisar em todos os domínios acessados na sua empresa. É possível restringir a pesquisa a qualquer recurso, domínio ou endereço IP específico para determinar se ocorreu algum comprometimento.

A plataforma Google SecOps permite que os analistas de segurança analisem e reduzam uma ameaça à segurança durante todo o ciclo de vida usando os seguintes recursos:

  • Coleta: os dados são ingeridos na plataforma usando encaminhadores, analisadores, conectores e webhooks.
  • Detecção: esses dados são agregados, normalizados com o uso do Modelo Universal de Dados (UDM) e vinculados a detecções e inteligência contra ameaças.
  • Investigação: as ameaças são investigadas por meio de gerenciamento de casos, pesquisa, colaboração e análise de dados com base no contexto.
  • Resposta: os analistas de segurança podem responder rapidamente e fornecer resoluções usando manuais automatizados e gerenciamento de incidentes.

Coleta de dados

O departamento de Operações de Segurança do Google pode ingerir vários tipos de telemetria de segurança por meio de vários métodos, incluindo os seguintes:

  • Encaminhador: um componente de software leve, implantado na rede do cliente, compatível com syslog, captura de pacotes e repositórios de dados de gerenciamento de eventos e informações de segurança (SIEM, na sigla em inglês) e gerenciamento de registros existentes.

  • APIs de ingestão: APIs que permitem o envio de registros diretamente para a plataforma Operações de segurança do Google, eliminando a necessidade de hardware ou software extras nos ambientes dos clientes.

  • Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo fontes como o Office 365 e o Azure AD.

Análise de ameaças

Os recursos analíticos das Operações de segurança do Google são entregues como um aplicativo baseado em navegador. Muitos desses recursos também podem ser acessados programaticamente pelas APIs Read. As operações de segurança do Google oferecem aos analistas uma maneira, quando veem uma ameaça em potencial, de investigar mais a fundo e determinar a melhor resposta.

Resumo dos recursos das Operações de Segurança do Google

Esta seção descreve alguns dos recursos disponíveis nas Operações de segurança do Google.

  • Pesquisa do UDM: permite que você encontre eventos e alertas do Modelo de dados unificado (UDM, na sigla em inglês) na sua instância das Operações de Segurança do Google.
  • Verificação de registro bruto: pesquise seus registros brutos não analisados.
  • Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.

Gerenciamento de casos de suporte

Agrupe alertas relacionados em casos, classifique e filtre filas de casos para triagem e priorização, atribua casos, colabore com cada um deles, faça auditorias de casos e relatórios.

Designer de playbooks

Crie playbooks selecionando ações predefinidas e arrastando-as e soltando-os na tela do playbook sem codificação adicional. Os manuais também permitem criar visualizações dedicadas para cada tipo de alerta e cada papel do SOC. O gerenciamento de casos apresenta apenas os dados relevantes para um tipo de alerta e função do usuário específicos.

Investigador de gráficos

Visualize quem, o quê e quando de um ataque, identifique oportunidades de caça a ameaças, capture o quadro completo e entre em ação.

Painel e relatórios

Avalie e gerencie operações com eficácia, demonstre valor para as partes interessadas, acompanhe métricas e KPIs do SOC em tempo real. Use os painéis e relatórios integrados ou crie seus próprios.

Ambiente de desenvolvimento integrado (IDE)

Equipes de segurança com habilidades de programação podem modificar e melhorar as ações do manual, depurar código, criar novas ações para integrações existentes e criar integrações que não estão disponíveis no Marketplace SOAR de Operações de Segurança do Google.

Opiniões investigativas

  • Visualização de recursos: investigue os recursos na sua empresa e se eles interagiram ou não com domínios suspeitos.
  • Visualização de endereços IP: investigue endereços IP específicos dentro da sua empresa e qual impacto eles têm nos seus recursos.
  • Visualização de hash: pesquise e investigue arquivos com base no valor de hash deles.
  • Visualização de domínios: investigue domínios específicos da sua empresa e qual impacto eles têm nos recursos.
  • Visualização do usuário: investigue os usuários da empresa que podem ter sido afetados por eventos de segurança.
  • Filtragem de procedimentos: ajuste as informações sobre um recurso, incluindo por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).

Informações destacadas

  • Os blocos de insights de recursos destacam os domínios e alertas que você pode querer investigar mais a fundo.
  • O gráfico de prevalência mostra o número de domínios a que um recurso se conectou em um período especificado.
  • Alertas de outros produtos de segurança conhecidos.

Mecanismo de detecção

Use o mecanismo de detecção de operações de segurança do Google para automatizar o processo de pesquisa de problemas de segurança nos seus dados. Você pode especificar regras para pesquisar todos os dados recebidos e notificar quando ameaças potenciais e conhecidas apareçam na empresa.

Controle de acesso

É possível empregar papéis predefinidos e configurar novos papéis para controlar o acesso a classes de dados, alertas e eventos armazenados na instância de Operações de segurança do Google. O Identity and Access Management fornece controle de acesso para as operações de segurança do Google.