Chronicle Security Operations 概览

Chronicle Security Operations 是一项云服务，在 Google 基础架构之上构建为专业层，专为企业设计，可私密地保留、分析和搜索它们生成的大量安全和网络遥测数据。

Chronicle 对数据进行归一化、编入索引、关联和分析数据，以便即时分析并分析存在风险的活动。Chronicle 可用于检测威胁，调查这些威胁的范围和原因，并通过与企业工作流、响应和编排平台的预构建集成进行修复。

借助 Chronicle SecOps，您可以检查过去数月或更长时间的企业的汇总安全信息。使用 Chronicle 在您的企业内部访问的所有网域中执行搜索。您可以将搜索范围缩小到任何特定的资产、网域或 IP 地址，以确定是否发生了任何入侵。

借助 Chronicle SecOps 平台，安全分析师可以使用以下功能在整个生命周期内分析和缓解安全威胁：

数据收集

Chronicle Security Operations 可以通过各种方法注入多种安全遥测数据类型，包括：

转发器：部署在客户网络中的轻量级软件组件，支持 syslog、数据包捕获以及现有日志管理或安全信息和事件管理 (SIEM) 数据存储库。
提取 API：此类 API 支持将日志直接发送到 Chronicle Security Operations 平台，因此无需在客户环境中使用其他硬件或软件。
第三方集成：与第三方 Cloud API 集成以提取日志，包括 Office 365 和 Azure AD 等来源的日志。

Chronicle Security Operations 的分析功能以一款基于浏览器的简单应用的形式提供给安全专业人员。其中许多功能也可通过 Read API 以编程方式访问。Chronicle 为分析师提供了一种途径，当他们看到潜在威胁时，可以进行进一步调查并确定应对措施的最佳方式。

本部分介绍 Chronicle Security Operations 中提供的一些功能。

将相关提醒分组到支持请求中，对支持请求队列进行排序和过滤，以便进行分类和确定优先级，分配支持请求，针对每个支持请求轻松协作，进行支持请求审核和报告。

选择预定义的操作并将其拖放到 Playbook 画布中，即可构建 playbook，无需其他编码。您还可以为每种提醒类型和每种 SOC 角色创建专用视图。案例管理仅显示与特定提醒类型和用户角色相关的数据。

直观了解攻击的人物、事件和时间，发现寻找威胁的机会，掌握全貌并采取行动。

有效衡量和管理运营、向利益相关方展示价值、跟踪实时的 SOC 指标和 KPI。您可以使用内置的信息中心和报告，也可以自行构建信息中心和报告。

具备编码技能的安全团队可以修改和增强现有的 playbook 操作、调试代码、为现有集成构建新操作，以及创建 Chronicle SOAR Marketplace 中未提供的集成。

您可以使用 Chronicle Detection Engine 自动搜索数据以查找安全问题。您可以指定规则以搜索所有传入数据，并在您的企业出现潜在和已知威胁时通知您。

您可以使用预定义角色和配置新角色来控制对 Chronicle 实例中存储的数据、提醒和事件类别的访问权限。Identity and Access Management 为 Chronicle 提供了访问权限控制。