Descripción general de las operaciones de seguridad de Google

Las operaciones de seguridad de Google son un servicio en la nube, creado como una capa especializada sobre la infraestructura de Google y diseñado para que las empresas retengan, analicen y busquen de forma privada las grandes cantidades de telemetría de seguridad y de red que generan.

Las operaciones de seguridad de Google normalizan, indexan, correlacionan y analizan los datos para proporcionar análisis y contexto instantáneos de la actividad riesgosa. Las operaciones de seguridad de Google se pueden usar para detectar amenazas, investigar el alcance y la causa de esas amenazas, y proporcionar soluciones mediante integraciones prediseñadas con plataformas de organización, respuesta y flujo de trabajo empresarial.

Con Google SecOps, puedes examinar la información de seguridad agregada de tu empresa durante meses o más tiempo. Usa las operaciones de seguridad de Google para buscar en todos los dominios a los que se accede dentro de tu empresa. Puedes limitar tu búsqueda a cualquier elemento, dominio o dirección IP específicos para determinar si se produjo algún compromiso.

La plataforma de SecOps de Google permite a los analistas de seguridad analizar y mitigar una amenaza de seguridad a lo largo de su ciclo de vida mediante el uso de las siguientes funciones:

  • Recopilación: Los datos se transfieren a la plataforma mediante reenviadores, analizadores, conectores y webhooks.
  • Detección: Estos datos se agregan, se normalizan mediante el Modelo de datos universales (UDM) y se vinculan a detecciones y a inteligencia de amenazas.
  • Investigación: Las amenazas se investigan a través de la administración de casos, la búsqueda, la colaboración y las estadísticas adaptadas al contexto.
  • Respuesta: Los analistas de seguridad pueden responder con rapidez y proporcionar soluciones mediante guías automatizadas y administración de incidentes.

Recopilación de datos

Las operaciones de seguridad de Google pueden transferir varios tipos de telemetría de seguridad a través de diversos métodos, incluidos los siguientes:

  • Reenviador: Un componente de software ligero, implementado en la red del cliente, que admite syslog, la captura de paquetes y los repositorios existentes de administración de registros o información de seguridad y administración de eventos (SIEM).

  • APIs de transferencia: APIs que permiten enviar los registros directamente a la plataforma de operaciones de seguridad de Google, lo que elimina la necesidad de hardware o software adicional en los entornos de los clientes.

  • Integraciones de terceros: Integración con API de nube de terceros para facilitar la transferencia de registros, incluidas fuentes como Office 365 y Azure AD.

Análisis de amenazas

Las capacidades analíticas de las operaciones de seguridad de Google se entregan como una aplicación basada en un navegador. Muchas de estas funciones también son accesibles de manera programática a través de las APIs de Read. Las operaciones de seguridad de Google brindan a los analistas una forma, cuando ven una amenaza potencial, para investigar más a fondo y determinar la mejor manera de responder.

Resumen de las funciones de operaciones de seguridad de Google

En esta sección, se describen algunas de las funciones disponibles en las operaciones de seguridad de Google.

  • Búsqueda de UDM: Te permite encontrar eventos y alertas del Modelo de datos unificado (UDM) en tu instancia de operaciones de seguridad de Google.
  • Análisis de registros sin procesar: Busca tus registros sin procesar y sin analizar.
  • Expresiones regulares: Busca tus registros sin procesar sin analizar mediante expresiones regulares.

Administración de casos

Agrupa las alertas relacionadas en casos, ordena y filtra los casos en cola para su clasificación y priorización, asigna casos, colabora en cada caso, genera informes y auditorías.

Diseñador de guías

Para compilar guías, selecciona acciones predefinidas y arrástralas y suéltalas en el recuadro de la guía sin programación adicional. Las guías también te permiten crear vistas dedicadas para cada tipo de alerta y cada función del SOC. La administración de casos solo presenta los datos relevantes para un tipo de alerta y un rol del usuario específicos.

Investigador de gráficos

Visualiza el quién, qué y cuándo de un ataque, identifica oportunidades para la cacería de amenazas, captura el panorama completo y toma medidas.

Panel e informes

Medir y administrar de manera eficaz las operaciones, demostrar el valor a las partes interesadas, realizar un seguimiento de las métricas y los KPI del SOC en tiempo real. Puedes usar informes y paneles integrados o crear los tuyos.

Entorno de desarrollo integrado (IDE)

Los equipos de seguridad con habilidades de programación pueden modificar y mejorar las acciones existentes de la guía, depurar código, compilar acciones nuevas para integraciones existentes y crear integraciones que no están disponibles en el mercado SOAR de operaciones de seguridad de Google.

Vistas de investigación

  • Vista de recursos: Investiga los recursos dentro de tu empresa y si interactuaron con dominios sospechosos o no.
  • Vista de dirección IP: Investiga direcciones IP específicas dentro de tu empresa y el impacto que tienen en tus recursos.
  • Vista de hash: Investiga y busca archivos en función de su valor de hash.
  • Vista de dominio: Investiga dominios específicos dentro de tu empresa y qué impacto tienen en tus recursos.
  • Vista de usuario: Investiga a los usuarios de tu empresa que puedan haberse visto afectados por eventos de seguridad.
  • Filtrado de procedimientos: Ajusta la información sobre un recurso, incluidos por tipo de evento, fuente del registro, estado de conexión de red y dominio de nivel superior (TLD).

Información destacada

  • Los bloques de estadísticas de los recursos destacan los dominios y las alertas que quizás desees investigar más a fondo.
  • El gráfico de prevalencia muestra la cantidad de dominios a los que se conectó un recurso durante un período específico.
  • Alertas de otros productos de seguridad populares.

Motor de detección

Puedes usar el motor de detección de operaciones de seguridad de Google para automatizar el proceso de búsqueda en tus datos en busca de problemas de seguridad. Puedes especificar reglas para buscar todos los datos entrantes y que se te notifique cuando aparezcan amenazas conocidas y potenciales en tu empresa.

Control de acceso

Puedes emplear roles predefinidos y configurar roles nuevos para controlar el acceso a las clases de datos, alertas y eventos almacenados en tu instancia de operaciones de seguridad de Google. Identity and Access Management proporciona control de acceso para las operaciones de seguridad de Google.