Panoramica delle operazioni di sicurezza di Google

Google Security Operations è un servizio cloud, creato come livello specializzato sull'infrastruttura di Google, progettato per consentire alle aziende di conservare, analizzare e cercare privatamente le grandi quantità di dati di sicurezza e di telemetria di rete che generano.

Google Security Operations normalizza, indicizza, correla e analizza i dati per fornire analisi immediate e contesto sulle attività rischiose. Google Security Operations può essere utilizzato per rilevare le minacce, analizzarne l'ambito e la causa e fornire soluzioni mediante integrazioni predefinite con piattaforme di flusso di lavoro, risposta e orchestrazione aziendali.

Google SecOps ti consente di esaminare le informazioni aggregate sulla sicurezza della tua azienda per mesi o più. Utilizza Google Security Operations per cercare in tutti i domini a cui accede la tua azienda. Puoi restringere la ricerca a qualsiasi asset, dominio o indirizzo IP specifico per determinare se è stata rilevata una compromissione.

La piattaforma Google SecOps consente agli analisti di sicurezza di analizzare e mitigare una minaccia alla sicurezza durante il suo ciclo di vita utilizzando le seguenti funzionalità:

  • Raccolta: i dati vengono importati nella piattaforma utilizzando forwarding, analizzatori, connettori e webhook.
  • Rilevamento: questi dati vengono aggregati, normalizzati utilizzando il modello UDM (Universal Data Model) e collegati ai rilevamenti e all'intelligence sulle minacce.
  • Indagine: le minacce vengono analizzate mediante gestione dei casi, ricerca, collaborazione e analisi sensibile al contesto.
  • Risposta: gli analisti della sicurezza possono rispondere rapidamente e fornire soluzioni utilizzando playbook automatizzati e gestione degli incidenti.

Raccolta dei dati

Google Security Operations può importare numerosi tipi di telemetria sulla sicurezza tramite una serie di metodi, tra cui:

  • Inoltrare: un componente software leggero, di cui è stato eseguito il deployment nella rete del cliente, che supporta i repository di dati syslog, acquisizione pacchetti e gestione dei log o gestione dei log di sicurezza o di gestione degli eventi (SIEM) esistenti.

  • API di importazione: API che consentono l'invio diretto dei log alla piattaforma Google Security Operations, eliminando la necessità di hardware o software aggiuntivi negli ambienti del cliente.

  • Integrazioni di terze parti: integrazione con API cloud di terze parti per semplificare l'importazione di log, incluse origini come Office 365 e Azure AD.

Analisi delle minacce

Le funzionalità analitiche di Google Security Operations vengono fornite come un'applicazione basata su browser. Molte di queste funzionalità sono accessibili anche in modo programmatico tramite le API di lettura. Google Security Operations offre agli analisti un modo per indagare ulteriormente e determinare il modo migliore per reagire quando vedono una potenziale minaccia.

Riepilogo delle funzionalità di Google Security Operations

Questa sezione descrive alcune delle funzionalità disponibili in Google Security Operations.

  • Ricerca UDM: consente di trovare eventi e avvisi del modello di dati unificato (UDM) all'interno dell'istanza Google Security Operations.
  • Scansione log non elaborati: cerca nei log non elaborati non analizzati.
  • Espressioni regolari: cerca nei log non elaborati non analizzati utilizzando le espressioni regolari.

Gestione delle richieste di assistenza

Raggruppa gli avvisi correlati in richieste, ordina e filtra la coda delle richieste per classificazione e assegnazione delle priorità, assegna le richieste, assegna le richieste, collabora su ogni richiesta, controllo e reporting delle richieste.

Designer playbook

Crea i playbook selezionando le azioni predefinite e trascinandole nella tela dei playbook senza programmazione aggiuntiva. I playbook consentono inoltre di creare viste dedicate per ogni tipo di avviso e ogni ruolo del SOC. La gestione delle richieste presenta solo i dati pertinenti per un tipo di avviso e un ruolo utente specifici.

Investigatore dei grafici

Visualizza chi, cosa e quando si verifica un attacco, identifica le opportunità di ricerca delle minacce, acquisisci un quadro completo e passa all'azione.

Dashboard e report

Misura e gestisci le operazioni in modo efficace, dimostra il valore agli stakeholder, monitora metriche e KPI del SOC in tempo reale. Puoi usare dashboard e report integrati o crearne di personalizzati.

Ambiente di sviluppo integrato (IDE)

I team di sicurezza con competenze di programmazione possono modificare e migliorare le azioni di playbook esistenti, eseguire il debug del codice, creare nuove azioni per le integrazioni esistenti e creare integrazioni non disponibili nel Marketplace di Google Security Operations SOAR.

Visualizzazioni investigative

  • Visualizzazione asset: esamina gli asset all'interno della tua azienda e verifica se hanno interagito con domini sospetti.
  • Visualizzazione indirizzo IP: consente di esaminare gli indirizzi IP specifici della tua azienda e il loro impatto sui tuoi asset.
  • Visualizzazione hash: cerca e analizza i file in base al loro valore hash.
  • Visualizzazione dominio: esamina domini specifici all'interno della tua azienda e qual è l'impatto che hanno sui tuoi asset.
  • Vista utente: esamina gli utenti all'interno della tua azienda che potrebbero essere stati interessati da eventi di sicurezza.
  • Filtro procedurale: ottimizza le informazioni su una risorsa, ad esempio per tipo di evento, origine log, stato della connessione di rete e dominio di primo livello (TLD).

Informazioni evidenziate

  • I blocchi degli insight sugli asset evidenziano i domini e gli avvisi che potresti voler analizzare ulteriormente.
  • Il grafico della prevalenza mostra il numero di domini a cui è collegata una risorsa nel corso di un periodo di tempo specificato.
  • Avvisi di altri prodotti per la sicurezza più diffusi.

Motore di rilevamento

Puoi utilizzare Google Security Operations Detection Engine per automatizzare il processo di ricerca nei dati per rilevare eventuali problemi di sicurezza. Puoi specificare regole per cercare in tutti i dati in arrivo e ricevere notifiche quando nella tua azienda si presentano minacce potenziali e note.

Controllo dell'accesso

Puoi utilizzare ruoli predefiniti e configurare nuovi ruoli per controllare l'accesso a classi di dati, avvisi ed eventi archiviati all'interno dell'istanza Google Security Operations. Identity and Access Management fornisce controllo dell'accesso per Google Security Operations.