Informações gerais sobre as Operações de segurança do Google

O Google Security Operations é um serviço em nuvem criado como uma camada especializada na infraestrutura do Google. Ele foi projetado para que as empresas retenham, analisem e pesquisem de maneira particular grandes quantidades de telemetria de segurança e rede que geram.

O Google Security Operations normaliza, indexa, correlaciona e analisa os dados para fornecer análise instantânea e contexto sobre atividades de risco. As Operações de segurança do Google podem ser usadas para detectar ameaças, investigar o escopo e a causa delas e fornecer correções usando integrações predefinidas com plataformas de orquestração, resposta e fluxo de trabalho empresarial.

O Google SecOps permite examinar informações de segurança agregadas da sua empresa por meses ou mais. Use as Operações de segurança do Google para pesquisar em todos os domínios acessados na sua empresa. É possível restringir a pesquisa a qualquer recurso, domínio ou endereço IP específico para determinar se ocorreu algum comprometimento.

A plataforma Google SecOps permite que os analistas de segurança analisem e reduzam uma ameaça à segurança ao longo do ciclo de vida deles empregando os seguintes recursos:

  • Coleta: os dados são ingeridos na plataforma usando encaminhadores, analisadores, conectores e webhooks.
  • Detecção: esses dados são agregados, normalizados com o Modelo de dados universal (UDM, na sigla em inglês) e vinculados a detecções e à inteligência contra ameaças.
  • Investigação: as ameaças são investigadas por meio do gerenciamento de casos, pesquisa, colaboração e análise baseada no contexto.
  • Resposta: os analistas de segurança podem responder rapidamente e fornecer soluções usando manuais automatizados e gerenciamento de incidentes.

Coleta de dados

As Operações de segurança do Google podem ingerir vários tipos de telemetria de segurança por meio de diversos métodos, incluindo os seguintes:

  • Encaminhador: um componente de software leve, implantado na rede do cliente, que oferece suporte a syslog, captura de pacotes e repositórios de dados de gerenciamento de registros ou de informações de segurança e gerenciamento de eventos (SIEM).

  • APIs de ingestão: permitem que os registros sejam enviados diretamente para a plataforma de operações de segurança do Google, eliminando a necessidade de hardware ou software adicional nos ambientes do cliente.

  • Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo origens como o Office 365 e o Azure AD.

Análise de ameaças

Os recursos analíticos das Operações de segurança do Google são fornecidos como um aplicativo baseado em navegador. Muitos desses recursos também podem ser acessados de modo programático por meio das APIs de leitura. As Operações de segurança do Google oferecem aos analistas uma maneira, quando percebem uma possível ameaça, fazer investigações mais detalhadas e determinar a melhor forma de responder.

Resumo dos recursos das Operações de segurança do Google

Nesta seção, descrevemos alguns dos recursos disponíveis nas Operações de segurança do Google.

  • Pesquisa UDM: permite encontrar eventos e alertas do Modelo de dados unificado (UDM, na sigla em inglês) na sua instância do Google Security Operations.
  • Verificação de registro bruto: pesquise seus registros brutos não analisados.
  • Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.

Gerenciamento de casos de suporte

Agrupe os alertas relacionados em casos, classifique e filtre a fila de casos para triagem e priorização, atribua casos, colabore em cada caso, faça auditoria e geração de relatórios de casos.

Designer de playbook

Para criar playbooks, selecione ações predefinidas e arraste e solte-as na tela do manual sem programação adicional. Eles também permitem criar visualizações dedicadas para cada tipo de alerta e papel do SOC. O gerenciamento de casos apresenta apenas os dados relevantes para um tipo de alerta e função do usuário específicos.

Investigador gráfico

Visualize quem, o quê e quando de um ataque, identifique oportunidades para buscar ameaças, capture o panorama completo e entre em ação.

Painel e relatórios

Meça e gerencie operações com eficiência, demonstre valor às partes interessadas e acompanhe as métricas e KPIs do SOC em tempo real. Você pode usar painéis e relatórios integrados ou criar seus próprios.

Ambiente de desenvolvimento integrado (IDE)

Equipes de segurança com habilidades de programação podem modificar e aprimorar as ações atuais do playbook, depurar código, criar novas ações para integrações atuais e criar integrações que não estão disponíveis no Google Security Operations SOAR Marketplace.

Pontos de vista investigativos

  • Visualização de recursos: investigue os recursos na sua empresa e se eles interagiram ou não com domínios suspeitos.
  • Visualização Endereço IP: investigue endereços IP específicos na sua empresa e o impacto que eles têm nos ativos.
  • Visualização de hash: pesquise e investigue arquivos com base no valor de hash deles.
  • Visualização de domínio: investigue domínios específicos na sua empresa e o impacto que eles têm nos recursos.
  • Visualização do usuário: investigue os usuários da empresa que podem ter sido afetados por ocorrências de segurança.
  • Filtragem processual: ajuste as informações sobre um recurso, incluindo por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).

Informações em destaque

  • Os blocos de insights de recursos destacam os domínios e alertas que talvez você queira investigar mais a fundo.
  • O gráfico de prevalência mostra o número de domínios a que um recurso se conectou durante um período especificado.
  • Alertas de outros produtos de segurança conhecidos.

Mecanismo de detecção

Use o Google Security Operations Detection Engine para automatizar o processo de pesquisa nos seus dados em busca de problemas de segurança. É possível especificar regras para pesquisar todos os dados recebidos e notificar você quando ameaças potenciais e conhecidas aparecerem na sua empresa.

Controle de acesso

É possível usar papéis predefinidos e configurar novos para controlar o acesso a classes de dados, alertas e eventos armazenados na instância do Google Security Operations. O Identity and Access Management fornece controle de acesso para as Operações de segurança do Google.