Présentation de la suite Opérations de sécurité Google

Google Security Operations est un service cloud conçu comme une couche spécialisée superposée à l'infrastructure Google. Il est conçu pour permettre aux entreprises de conserver, d'analyser et d'explorer de manière privée les grandes quantités de données de sécurité et de télémétrie réseau qu'elles génèrent.

Google Security Operations normalise, indexe, met en corrélation et analyse les données pour fournir une analyse instantanée et contextualiser les activités à risque. Google Security Operations permet de détecter des menaces, d'examiner la portée et la cause de ces menaces, et de remédier à ces menaces à l'aide d'intégrations prédéfinies avec les plates-formes de workflow, de réponse et d'orchestration de l'entreprise.

Google SecOps vous permet d'examiner les informations de sécurité agrégées de votre entreprise depuis des mois ou plus. Utilisez la suite Opérations de sécurité Google pour effectuer des recherches dans tous les domaines accessibles au sein de votre entreprise. Vous pouvez limiter votre recherche à un élément, un domaine ou une adresse IP spécifiques pour déterminer s'il y a eu un piratage.

La plate-forme SecOps de Google permet aux analystes de sécurité d'analyser et d'atténuer une menace de sécurité tout au long de son cycle de vie à l'aide des fonctionnalités suivantes:

  • Collecte: les données sont ingérées dans la plate-forme à l'aide d'outils de transfert, d'analyseurs, de connecteurs et de webhooks.
  • Détection: ces données sont agrégées, normalisées à l'aide de l'UDM (Universal Data Model) et associées aux détections et à la Threat Intelligence.
  • Investigation: les menaces sont examinées par le biais de la gestion des cas, de la recherche, de la collaboration et d'analyses contextuelles.
  • Réponse: les analystes en sécurité peuvent répondre rapidement et résoudre les problèmes à l'aide de playbooks automatisés et de gestion des incidents.

Collecte des données

Google Security Operations peut ingérer de nombreux types de télémétrie de sécurité à l'aide de différentes méthodes:

  • redirecteur: composant logiciel léger, déployé sur le réseau du client, qui est compatible avec les journaux syslog, les captures de paquets et les dépôts de données de gestion des journaux existants ou de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management).

  • API d'ingestion: API qui permettent d'envoyer les journaux directement à la plate-forme Opérations de sécurité Google, ce qui évite d'avoir à utiliser du matériel ou des logiciels supplémentaires dans les environnements client.

  • Intégrations tierces: intégration à des API cloud tierces afin de faciliter l'ingestion de journaux, y compris de sources telles qu'Office 365 et Azure AD.

Analyse des menaces

Les fonctionnalités d'analyse des opérations de sécurité Google sont fournies sous la forme d'une application basée sur un navigateur. Un grand nombre de ces fonctionnalités sont également accessibles de manière programmatique via les API Read. Lorsqu'ils détectent une menace potentielle, les opérations de sécurité Google permettent aux analystes d'approfondir leurs investigations et de déterminer la meilleure façon de réagir.

Récapitulatif des fonctionnalités Opérations de sécurité Google

Cette section décrit certaines des fonctionnalités disponibles dans la suite Opérations de sécurité Google.

  • Recherche UDM: permet de rechercher des événements et des alertes UDM (Unified Data Model) dans votre instance Opérations de sécurité Google.
  • Analyse de journaux bruts: recherchez des journaux bruts non analysés.
  • Expressions régulières: recherchez des journaux bruts non analysés à l'aide d'expressions régulières.

Gestion des demandes

Regroupez les alertes associées par demandes, triez et filtrez la file d'attente des demandes pour les trier et les hiérarchiser, attribuez les demandes, collaborez sur chaque cas, auditez les demandes et créez des rapports.

Concepteur de playbooks

Créez des playbooks en sélectionnant des actions prédéfinies, puis en les faisant glisser et en les déposant dans la toile des playbooks sans codage supplémentaire. Ces playbooks vous permettent également de créer des vues dédiées pour chaque type d'alerte et chaque rôle SOC. La gestion des demandes ne présente que les données pertinentes pour un type d'alerte et un rôle utilisateur spécifiques.

Enquêteur graphique

Visualisez le qui, le quoi et le moment d’une attaque, identifiez les opportunités de traque, capturez une vue d’ensemble et prenez les mesures nécessaires.

Tableau de bord et rapports

Mesurez et gérez efficacement les opérations, démontrez la valeur aux personnes concernées, et suivez les métriques et les KPI SOC en temps réel. Utilisez des tableaux de bord et des rapports intégrés, ou créez les vôtres.

Environnement de développement intégré (IDE)

Les équipes de sécurité ayant des compétences en codage peuvent modifier et améliorer les actions existantes des playbooks, déboguer le code, créer de nouvelles actions pour les intégrations existantes et créer des intégrations qui ne sont pas disponibles dans le SOAR Marketplace de Google Security Operations.

Vues d'investigation

  • Vue des éléments: examinez les éléments de votre entreprise pour vérifier s'ils ont interagi avec des domaines suspects.
  • Vue des adresses IP: examinez des adresses IP spécifiques au sein de votre entreprise et examinez leur impact sur vos éléments.
  • Vue de hachage: recherchez et examinez des fichiers en fonction de leur valeur de hachage.
  • Vue du domaine: examinez des domaines spécifiques de votre entreprise et leur impact sur vos éléments.
  • Vue utilisateur: examinez les utilisateurs de votre entreprise qui ont pu être affectés par des événements liés à la sécurité.
  • Filtrage procédural: affinez les informations concernant un élément, y compris le type d'événement, la source du journal, l'état de la connexion réseau et le domaine de premier niveau (TLD).

Informations mises en surbrillance

  • Les blocs "Insights sur les éléments" mettent en évidence les domaines et les alertes que vous pourriez examiner plus en détail.
  • Le graphique de prévalence indique le nombre de domaines auxquels un élément est connecté sur une période donnée.
  • Alertes provenant d'autres produits de sécurité courants.

Moteur de détection

Vous pouvez utiliser le moteur de détection des opérations de sécurité de Google pour automatiser le processus de recherche de problèmes de sécurité dans vos données. Vous pouvez spécifier des règles pour effectuer des recherches dans toutes vos données entrantes et être informé de l'apparition de menaces potentielles et connues dans votre entreprise.

Contrôle des accès

Vous pouvez utiliser des rôles prédéfinis et configurer de nouveaux rôles pour contrôler l'accès aux classes de données, aux alertes et aux événements stockés dans votre instance Opérations de sécurité Google. Identity and Access Management permet de contrôle des accès pour les opérations de sécurité Google.