Présentation de Google Security Operations

Google Security Operations est un service cloud conçu comme une couche spécialisée en haut de l'infrastructure Google, conçue pour permettre aux entreprises de conserver de manière privée, d'analyser et d'explorer les grandes quantités de données télémétriques et de sécurité générer.

Google Security Operations normalise, indexe, corréle et analyse les données pour fournissent une analyse instantanée et du contexte sur les activités à risque. Google Security Operations peut détecter les menaces, en examiner la portée et la cause, et offrent des solutions correctives à l'aide d'intégrations prédéfinies avec les workflows d'entreprise ; de réponse et d'orchestration.

Google SecOps vous permet d'examiner les métriques de sécurité agrégées les données de votre entreprise pendant des mois, voire plus. Utilisez Google Security Operations pour effectuer des recherches dans tous les domaines consultés pour les entreprises. Vous pouvez limiter votre recherche à un élément, un domaine ou une adresse IP spécifique pour déterminer si une compromission a eu lieu.

La plate-forme Google SecOps permet aux analystes sécurité d'analyser et d'atténuer une menace de sécurité tout au long de son cycle de vie à l'aide du les fonctionnalités suivantes:

  • Collecte: les données sont ingérées dans la plate-forme à l'aide de redirecteurs, les analyseurs, les connecteurs et les webhooks.
  • Détection: ces données sont agrégées et normalisées à l'aide de Universal Data (UDM) et lié aux détections et à la Threat Intelligence.
  • Investigation: les menaces sont examinées à l'aide de la gestion des cas, de la recherche, la collaboration et le contexte données analytiques.
  • Réponse: Les analystes en sécurité peuvent répondre rapidement et proposer des solutions. à l'aide de playbooks automatisés et de gestion des incidents.

Collecte des données

Google Security Operations peut ingérer de nombreux types de télémétrie de sécurité via un diverses méthodes, y compris les suivantes:

  • Forwarder: composant logiciel léger, déployé dans le système d'exploitation du client compatible avec syslog, la capture de paquets et la gestion des journaux ou dans des référentiels de données de gestion des informations et des événements de sécurité (SIEM).

  • API d'ingestion: API qui permettent d'envoyer les journaux directement au de la plate-forme Google Security Operations, éliminant le besoin du matériel ou des logiciels dans les environnements des clients.

  • Intégrations tierces: intégration à des API cloud tierces pour faciliter l'ingestion de journaux, y compris de sources comme Office 365 et Azure ; AD.

Analyse des menaces

Les fonctionnalités d'analyse de Google Security Operations sont fournies basée sur un navigateur. Nombre d'entre elles sont également accessibles de manière automatisée via les API Read. Google Security Operations permet aux analystes, lorsqu'ils identifient une menace potentielle, de enquêter plus en détail et déterminer la meilleure façon d'y répondre.

Résumé des fonctionnalités de Google Security Operations

Cette section décrit certaines des fonctionnalités disponibles dans Google Security Operations.

  • Recherche UMD: permet de rechercher des événements et des alertes de modèle de données unifié (UDM). de votre instance Google Security Operations.
  • Analyse de journaux bruts: recherchez vos journaux bruts non analysés.
  • Expressions régulières: recherchez vos journaux bruts non analysés à l'aide de la fonction .

Gestion des demandes

Regroupez les alertes associées par cas, triez et filtrez les demandes en file d'attente pour les trier et de hiérarchisation, attribuer les demandes, collaborer sur chaque dossier, effectuer un audit des demandes, la création de rapports.

Concepteur de playbooks

Créez des playbooks en sélectionnant des actions prédéfinies et en les glissant-déposant dans le playbook sans codage supplémentaire. Les playbooks vous permettent également de créer des vues dédiées pour chaque type d'alerte et chaque rôle de SOC. Gestion des demandes ne présente que les données pertinentes pour un type d'alerte et un rôle utilisateur spécifiques.

Chercheur des graphes

Visualisez le qui, le quoi et le moment d'une attaque, identifiez les opportunités de la recherche des menaces, de capturer la vue d’ensemble et de prendre des mesures.

Tableau de bord et rapports

Mesurer et gérer efficacement les opérations, démontrer la valeur aux partenaires, suivre en temps réel les métriques et les KPI de votre SOC. Vous pouvez utiliser des tableaux de bord intégrés et rapports ou créer les vôtres.

Environnement de développement intégré (IDE)

Les équipes de sécurité qui ont des compétences en codage peuvent modifier et améliorer les playbooks existants des actions, déboguer du code, créer des actions pour les intégrations existantes et créer d'intégrations qui ne sont pas disponibles dans Google Security Operations SOAR Marketplace.

Points de vue d'investigation

  • Vue des ressources: permet d'examiner les ressources de votre entreprise et de déterminer si elles s'ils ont interagi avec des domaines suspects.
  • Vue des adresses IP: recherchez des adresses IP spécifiques dans votre votre entreprise et leur impact sur vos ressources.
  • Vue de hachage: recherchez et examinez des fichiers en fonction de leur valeur de hachage.
  • Vue du domaine: examinez des domaines spécifiques de votre entreprise et leur impact sur vos composants.
  • Vue des utilisateurs: examinez les utilisateurs de votre entreprise qui ont pu être impactées par des événements liés à la sécurité.
  • Filtrage procédural: affinez les informations sur un élément, y compris en le type d'événement, la source du journal, l'état de la connexion réseau et le domaine de premier niveau (TLD).

Informations mises en avant

  • Les blocs d'insights sur les éléments mettent en évidence les domaines et les alertes dont vous pourriez avoir besoin afin d'approfondir nos recherches.
  • Le graphique de prévalence indique le nombre de domaines auxquels un composant est connecté une période spécifiée.
  • Alertes provenant d'autres produits de sécurité populaires.

Moteur de détection

Vous pouvez utiliser Google Security Operations Detection pour automatiser le processus de rechercher dans vos données des problèmes de sécurité. Vous pouvez spécifier des règles de recherche toutes vos données entrantes, et vous avertir en cas de menaces potentielles ou connues dans votre entreprise.

Contrôle des accès

Vous pouvez à la fois utiliser des rôles prédéfinis et configurer de nouveaux rôles pour contrôler les accès aux classes de données, d'alertes et d'événements stockés dans votre Compute Engine. Identity and Access Management permet de contrôle des accès Google Security Operations.