Google Security Operations – Übersicht

Google Security Operations ist ein Cloud-Dienst, der als spezialisierte Ebene auf der Google-Infrastruktur aufgesetzt wird und Unternehmen entwickelt, um die von ihnen generierten großen Mengen an Sicherheits- und Netzwerktelemetriedaten privat aufzubewahren, zu analysieren und zu durchsuchen.

Google Security Operations normalisiert, indexiert, korreliert und analysiert die Daten, um sofortige Analysen und Kontextinformationen zu riskanten Aktivitäten bereitzustellen. Google Security Operations kann verwendet werden, um Bedrohungen zu erkennen, den Umfang und die Ursache dieser Bedrohungen zu untersuchen und Abhilfen mithilfe von vordefinierten Integrationen für Unternehmensworkflow-, Reaktions- und Orchestrierungsplattformen zu bieten.

Mit Google SecOps können Sie die aggregierten Sicherheitsinformationen für Ihr Unternehmen prüfen, die über Monate oder länger zurückliegen. Mit Google Security Operations können Sie alle Domains durchsuchen, auf die in Ihrem Unternehmen zugegriffen wird. Sie können Ihre Suche auf ein bestimmtes Asset, eine Domain oder eine IP-Adresse eingrenzen, um festzustellen, ob eine Manipulation stattgefunden hat.

Mit der Google SecOps-Plattform können Sicherheitsanalysten eine Sicherheitsbedrohung während des gesamten Lebenszyklus mithilfe der folgenden Funktionen analysieren und minimieren:

  • Erfassung: Daten werden mithilfe von Forwardern, Parsern, Connectors und Webhooks in die Plattform aufgenommen.
  • Erkennung: Diese Daten werden aggregiert, mit dem Universal Data Model (UDM) normalisiert und mit Erkennungen und Bedrohungsdaten verknüpft.
  • Untersuchung: Bedrohungen werden durch Fallverwaltung, Suche, Zusammenarbeit und kontextsensitive Analysen untersucht.
  • Reaktion: Sicherheitsanalysten können mithilfe von automatisierten Playbooks und Vorfallmanagement schnell reagieren und Lösungen bereitstellen.

Datenerhebung

Google Security Operations kann zahlreiche Sicherheitstelemetrietypen über eine Vielzahl von Methoden aufnehmen, darunter:

  • Forwarder: Eine schlanke Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird und Syslog, Paketerfassung sowie vorhandene Daten-Repositories für die Logverwaltung oder für Sicherheitsinformationen und Ereignisverwaltung (SIEM) unterstützt.

  • Aufnahme-APIs: APIs, mit denen Logs direkt an die Google Security Operations-Plattform gesendet werden können, sodass keine zusätzliche Hardware oder Software in Kundenumgebungen erforderlich ist

  • Integrationen von Drittanbietern: Einbindung in Cloud APIs von Drittanbietern zur einfacheren Aufnahme von Logs, einschließlich Quellen wie Office 365 und Azure AD.

Bedrohungsanalyse

Die Analysefunktionen von Google Security Operations werden als browserbasierte Anwendung bereitgestellt. Viele dieser Funktionen sind auch programmatisch über Read APIs zugänglich. Google Security Operations bietet Analysten die Möglichkeit, wenn sie eine potenzielle Bedrohung entdecken, die Angelegenheit weiter zu untersuchen und zu entscheiden, wie sie am besten darauf reagieren sollten.

Zusammenfassung der Google Security Operations-Funktionen

In diesem Abschnitt werden einige der in Google Security Operations verfügbaren Funktionen beschrieben.

  • UDM-Suche: Hiermit können Sie Ereignisse und Warnungen zu Unified Data Model (UDM) in Ihrer Google Security Operations-Instanz suchen.
  • Raw Log Scan: Sie können in Ihren nicht geparsten Rohdaten suchen.
  • Reguläre Ausdrücke: Sie können nicht geparste Rohdaten mit regulären Ausdrücken durchsuchen.

Fallverwaltung

Gruppieren Sie zugehörige Benachrichtigungen in Supportanfragen, sortieren und filtern Sie Anfragen in der Warteschlange für die Ersteinschätzung und Priorisierung, weisen Sie Anfragen zu, weisen Sie bei jedem Fall mit, Fallprüfung und Berichterstellung.

Playbook-Designer

Erstellen Sie Playbooks, indem Sie vordefinierte Aktionen auswählen und sie per Drag-and-drop in den Playbook-Canvas ziehen, ohne zusätzliche Programmierung vorzunehmen. Playbooks ermöglichen es Ihnen auch, dedizierte Ansichten für jeden Benachrichtigungstyp und jede SOC-Rolle zu erstellen. Bei der Fallverwaltung werden nur die Daten angezeigt, die für einen bestimmten Benachrichtigungstyp und eine bestimmte Nutzerrolle relevant sind.

Grafikermittler

Visualisieren Sie das Wer, Was und Wann eines Angriffs, identifizieren Sie Möglichkeiten für die Spurensuche, erfassen Sie das Gesamtbild und ergreifen Sie Maßnahmen.

Dashboard und Berichterstellung

Messen und verwalten Sie Abläufe effektiv, zeigen Sie Stakeholdern den Mehrwert, verfolgen Sie SOC-Messwerte und KPIs in Echtzeit. Sie können integrierte Dashboards und Berichte verwenden oder Ihre eigenen erstellen.

Integrierte Entwicklungsumgebung (Integrated Development Environment, IDE)

Sicherheitsteams mit Programmierkenntnissen können vorhandene Playbook-Aktionen ändern und verbessern, Code debuggen, neue Aktionen für vorhandene Integrationen erstellen und Integrationen erstellen, die im Google Security Operations SOAR Marketplace nicht verfügbar sind.

Investigative Ansichten

  • Asset-Ansicht: Untersuchen Sie Assets in Ihrem Unternehmen und prüfen Sie, ob sie mit verdächtigen Domains interagiert haben oder nicht.
  • Ansicht „IP-Adresse“: Untersuchen Sie bestimmte IP-Adressen in Ihrem Unternehmen und deren Auswirkungen auf Ihre Assets.
  • Hash-Ansicht: Sie können Dateien anhand ihres Hashwerts suchen und untersuchen.
  • Domainansicht: Untersuchen Sie bestimmte Domains innerhalb Ihres Unternehmens und deren Auswirkungen auf Ihre Assets.
  • Nutzeransicht: Hier erfahren Sie, welche Nutzer in Ihrem Unternehmen von Sicherheitsereignissen betroffen waren.
  • Prozedurisches Filtern: Hiermit können Sie Informationen zu einem Asset anpassen, einschließlich Ereignistyp, Logquelle, Netzwerkverbindungsstatus und Top-Level-Domain (TLD).

Hervorgehobene Informationen

  • In den Asset-Statistikblöcken werden die Domains und Benachrichtigungen hervorgehoben, die Sie genauer untersuchen sollten.
  • Das Häufigkeitsdiagramm zeigt die Anzahl der Domains, mit denen ein Asset über einen bestimmten Zeitraum verbunden war.
  • Benachrichtigungen von anderen beliebten Sicherheitsprodukten.

Erkennungs-Engine

Mit der Google Security Operations Detection Engine können Sie die Suche in Ihren Daten nach Sicherheitsproblemen automatisieren. Sie können Regeln festlegen, um alle eingehenden Daten zu durchsuchen und sich benachrichtigen zu lassen, wenn potenzielle und bekannte Bedrohungen in Ihrem Unternehmen auftreten.

Zugriffssteuerung

Sie können sowohl vordefinierte Rollen verwenden als auch neue Rollen konfigurieren, um den Zugriff auf Klassen von Daten, Benachrichtigungen und Ereignissen zu steuern, die in Ihrer Google Security Operations-Instanz gespeichert sind. Identity and Access Management bietet Zugriffssteuerung für Google-Sicherheitsvorgänge.