Google Security Operations

Unterstützt in:

Google Security Operations ist ein Cloud-Dienst, die Infrastruktur von Google, die Unternehmen entwickelt für die private Aufbewahrung, die großen Mengen an Sicherheits- und Netzwerktelemetriedaten, die generieren.

Google Security Operations normalisiert, indexiert, korreliert und analysiert sofortige Analysen und Kontext zu riskanten Aktivitäten liefern. Google Security Operations kann Bedrohungen zu erkennen, Umfang und Ursache dieser Bedrohungen zu untersuchen und bieten Abhilfemaßnahmen mithilfe vorgefertigter Integrationen in Unternehmensworkflows, Reaktions- und Orchestrierungsplattformen.

Mit Google SecOps können Sie zusammengefasste Sicherheitsinformationen für Ihr Unternehmen speichern, suchen und prüfen. Dabei kann es mehrere Monate oder länger dauern. Mit Google Security Operations können Sie in allen Domains suchen, auf die in Ihrem Unternehmen zugegriffen wird. Sie können die Suche auf ein bestimmtes Asset, eine Domain oder eine IP-Adresse beschränken, um festzustellen, ob es zu einer Manipulation gekommen ist.

Mit der Google SecOps-Plattform können Sicherheitsanalysten eine Sicherheitsbedrohung während ihres gesamten Lebenszyklus zu analysieren und zu mindern. folgende Funktionen:

  • Erfassung: Daten werden mithilfe von Forwardern in die Plattform aufgenommen. Connectors und Webhooks.
  • Erkennung: Diese Daten werden aggregiert und mithilfe des Universal Data Modell (UDM) und mit Erkennung und Bedrohungsdaten verknüpft.
  • Untersuchung: Bedrohungen werden durch Fallverwaltung, Suche, Zusammenarbeit und kontextsensitive Analytics.
  • Antwort: Sicherheitsanalysten können schnell reagieren und Lösungen anbieten mit automatisierten Playbooks und Vorfallmanagement.

Datenerhebung

Google Security Operations kann zahlreiche Sicherheitstelemetrietypen über eine verschiedene Methoden anwenden, darunter:

  • Forwarder: Eine schlanke Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird und syslog, Paketerfassung und die vorhandene Protokollverwaltung oder SIEM-Datenspeicher (Security Information and Event Management) unterstützt.

  • Aufnahme-APIs: APIs, mit denen Protokolle direkt an die Google Security Operations-Plattform gesendet werden können, sodass keine zusätzliche Hardware oder Software in Kundenumgebungen erforderlich ist.

  • Integrationen von Drittanbietern: Integration in Cloud-APIs von Drittanbietern, um Erleichtern Sie die Aufnahme von Protokollen, einschließlich Quellen wie Office 365 und Azure. ANZEIGE.

Bedrohungsanalyse

Die Analysefunktionen von Google Security Operations werden als browserbasierte Anwendung bereitgestellt. Viele dieser Funktionen sind auch programmatisch über Lese-APIs zugänglich. Google Security Operations bietet Analysten die Möglichkeit, bei einer potenziellen Bedrohung weitere Untersuchungen durchzuführen und zu entscheiden, wie sie am besten darauf reagieren.

Zusammenfassung der Funktionen von Google Security Operations

In diesem Abschnitt werden einige der Funktionen beschrieben, die in Google Security Operations verfügbar sind.

  • UDM-Suche: Damit können Sie UDM-Ereignisse (Unified Data Model) und -Benachrichtigungen in Ihrer Google Security Operations-Instanz finden.
  • Rohlog-Scan: Hier können Sie Ihre Rohlogs durchsuchen, die noch nicht geparst wurden.
  • Reguläre Ausdrücke: Sie können Ihre Rohlogs mit regulären Ausdrücken durchsuchen.

Fallverwaltung

Sie können ähnliche Benachrichtigungen zu Fällen gruppieren, die Warteschlange mit Fällen für die Triage und Priorisierung sortieren und filtern, Fälle zuweisen, an jedem Fall zusammenarbeiten, Fallprüfungen durchführen und Berichte erstellen.

Playbook-Designer

Playbooks durch Auswählen vordefinierter Aktionen und Drag-and-drop erstellen ohne zusätzliches Programmieren in den Playbook-Canvas. Mit Playbooks können Sie außerdem eigene Ansichten für jeden Benachrichtigungstyp und jede SOC-Rolle erstellen. In der Fallverwaltung werden nur die Daten angezeigt, die für einen bestimmten Benachrichtigungstyp und eine bestimmte Nutzerrolle relevant sind.

Graph Investigator

Visualisieren Sie das „Wer“, „Was“ und „Wann“ eines Angriffs, identifizieren Sie Möglichkeiten für die Bedrohungssuche, erhalten Sie ein vollständiges Bild und ergreifen Sie Maßnahmen.

Dashboards und Berichte

Abläufe effektiv messen und verwalten, Stakeholdern Mehrwert demonstrieren SOC-Messwerte und KPIs in Echtzeit verfolgen. Sie können vordefinierte Dashboards und Berichte verwenden oder eigene erstellen.

Integrierte Entwicklungsumgebung (Integrated Development Environment, IDE)

Sicherheitsteams mit Programmierkenntnissen können vorhandene Playbook-Aktionen ändern und verbessern, Code debuggen, neue Aktionen für vorhandene Integrationen erstellen und Integrationen erstellen, die nicht im Google Security Operations SOAR Marketplace verfügbar sind.

Explorative Datenanalysen

  • Asset-Ansicht: Hier können Sie Assets in Ihrem Unternehmen prüfen und nachsehen, ob sie mit verdächtigen Domains interagiert haben.
  • Ansicht der IP-Adresse: Sie können bestimmte IP-Adressen in Ihrem Unternehmen und deren Auswirkungen auf Ihre Assets.
  • Hashansicht: Dateien basierend auf ihrem Hashwert suchen und untersuchen.
  • Domainansicht: Bestimmte Domains in Ihrem Unternehmen untersuchen und welche Auswirkungen sie auf Ihre Assets haben.
  • Nutzeransicht: Hier können Sie Nutzer in Ihrem Unternehmen untersuchen, die möglicherweise von Sicherheitsereignissen betroffen sind.
  • Prozedurales Filtern: Sie können Informationen zu einem Asset optimieren, z. B. nach Ereignistyp, Protokollquelle, Netzwerkverbindungsstatus und Top-Level-Domain (TLD).

Hervorgehobene Informationen

  • Mit Asset-Statistikblöcken werden die Domains und Benachrichtigungen hervorgehoben, die Sie interessieren könnten um das Problem genauer zu untersuchen.
  • Die Grafik zur Verbreitung zeigt die Anzahl der Domains, mit denen ein Asset über für einen bestimmten Zeitraum.
  • Warnungen von anderen beliebten Sicherheitsprodukten.

Erkennungs-Engine

Mit der Detection Engine von Google Security Operations können Sie die Suche nach Sicherheitsproblemen in Ihren Daten automatisieren. Sie können Regeln festlegen, um alle eingehenden Daten zu durchsuchen und Sie zu benachrichtigen, wenn potenzielle und bekannte Bedrohungen in Ihrem Unternehmen auftreten.

Zugriffssteuerung

Sie können sowohl vordefinierte Rollen verwenden als auch neue Rollen konfigurieren, um den Zugriff zu steuern an Datenklassen, Benachrichtigungen und Ereignissen, die in Google Security Operations gespeichert sind Instanz. Die Identitäts- und Zugriffsverwaltung bietet eine Zugriffssteuerung für Google Security Operations.