Chronicle Security Operations 概览
Chronicle Security Operations 是一项云服务,在 Google 基础架构之上构建为专业层,专为企业设计,可私密地保留、分析和搜索它们生成的大量安全和网络遥测数据。
Chronicle 对数据进行归一化、编入索引、关联和分析数据,以便即时分析并分析存在风险的活动。Chronicle 可用于检测威胁,调查这些威胁的范围和原因,并通过与企业工作流、响应和编排平台的预构建集成进行修复。
借助 Chronicle SecOps,您可以检查过去数月或更长时间的企业的汇总安全信息。使用 Chronicle 在您的企业内部访问的所有网域中执行搜索。您可以将搜索范围缩小到任何特定的资产、网域或 IP 地址,以确定是否发生了任何入侵。
借助 Chronicle SecOps 平台,安全分析师可以使用以下功能在整个生命周期内分析和缓解安全威胁:
- 收集:使用转发器、解析器、连接器和网络钩子将数据提取到平台中。
- 检测:这些数据使用通用数据模型 (UDM) 进行汇总和标准化,并与检测和威胁情报相关联。
- 调查:通过支持请求管理、搜索、协作和情境感知分析来调查威胁。
- 响应:安全分析师可以使用自动化策略方案和突发事件管理快速响应,并提供解决方案。
数据收集
Chronicle Security Operations 可以通过各种方法注入多种安全遥测数据类型,包括:
转发器:部署在客户网络中的轻量级软件组件,支持 syslog、数据包捕获以及现有日志管理或安全信息和事件管理 (SIEM) 数据存储库。
提取 API:此类 API 支持将日志直接发送到 Chronicle Security Operations 平台,因此无需在客户环境中使用其他硬件或软件。
第三方集成:与第三方 Cloud API 集成以提取日志,包括 Office 365 和 Azure AD 等来源的日志。
威胁分析
Chronicle Security Operations 的分析功能以一款基于浏览器的简单应用的形式提供给安全专业人员。其中许多功能也可通过 Read API 以编程方式访问。Chronicle 为分析师提供了一种途径,当他们看到潜在威胁时,可以进行进一步调查并确定应对措施的最佳方式。
Chronicle Security Operations 功能摘要
本部分介绍 Chronicle Security Operations 中提供的一些功能。
搜索
- UDM Search:可让您在 Chronicle 实例中查找统一数据模型 (UDM) 事件和提醒。
- Raw Log Scan:搜索未解析的原始日志。
- 正则表达式:使用正则表达式搜索未解析的原始日志。
案例管理
将相关提醒分组到支持请求中,对支持请求队列进行排序和过滤,以便进行分类和确定优先级,分配支持请求,针对每个支持请求轻松协作,进行支持请求审核和报告。
手册设计人员
选择预定义的操作并将其拖放到 Playbook 画布中,即可构建 playbook,无需其他编码。您还可以为每种提醒类型和每种 SOC 角色创建专用视图。案例管理仅显示与特定提醒类型和用户角色相关的数据。
图调查器
直观了解攻击的人物、事件和时间,发现寻找威胁的机会,掌握全貌并采取行动。
信息中心和报告
有效衡量和管理运营、向利益相关方展示价值、跟踪实时的 SOC 指标和 KPI。您可以使用内置的信息中心和报告,也可以自行构建信息中心和报告。
集成开发环境 (IDE)
具备编码技能的安全团队可以修改和增强现有的 playbook 操作、调试代码、为现有集成构建新操作,以及创建 Chronicle SOAR Marketplace 中未提供的集成。
调查视图
- “素材资源”视图:调查您企业内的资源,以及它们是否与可疑的网域互动过。
- “IP 地址”视图:调查您企业内的特定 IP 地址,以及这些地址对您的资产有何影响。
- 哈希视图:根据文件的哈希值搜索和调查文件。
- “网域”视图:调查企业内的特定网域,以及这些网域对您的资产有何影响。
- 用户视图:调查您企业内可能受到安全事件影响的用户。
- 按过程过滤:按事件类型、日志来源、网络连接状态和顶级域名 (TLD) 微调有关资产的信息。
突出显示的信息
- 素材资源数据分析屏蔽功能会突出显示您可能希望进一步调查的网域和提醒。
- 发生率图表显示的是在特定时间段内,素材资源关联到的域名数量。
- 来自其他热门安全产品的提醒。
检测引擎
您可以使用 Chronicle Detection Engine 自动搜索数据以查找安全问题。您可以指定规则以搜索所有传入数据,并在您的企业出现潜在和已知威胁时通知您。
访问权限控制
您可以使用预定义角色和配置新角色来控制对 Chronicle 实例中存储的数据、提醒和事件类别的访问权限。Identity and Access Management 为 Chronicle 提供了访问权限控制。