Présentation de Google Security Operations

Google Security Operations est un service cloud conçu comme une couche spécialisée au-dessus de l'infrastructure Google. Il est conçu pour permettre aux entreprises de conserver, d'analyser et d'effectuer des recherches de manière privée sur les grandes quantités de données télémétriques de sécurité et de réseau qu'elles génèrent.

Google Security Operations normalise, indexe, corréle et analyse les données pour fournir une analyse instantanée et un contexte sur les activités à risque. Google Security Operations peut être utilisé pour détecter les menaces, examiner l'étendue et la cause de ces menaces, et fournir des mesures correctives à l'aide d'intégrations prédéfinies avec les plates-formes de workflow, de réponse et d'orchestration d'entreprise.

Google SecOps vous permet d'examiner les informations de sécurité agrégées pour votre entreprise sur une période de plusieurs mois ou plus. Utilisez Google Security Operations pour effectuer des recherches dans tous les domaines consultés au sein de votre entreprise. Vous pouvez limiter votre recherche à un élément, un domaine ou une adresse IP spécifique pour déterminer si un piratage a eu lieu.

La plate-forme Google SecOps permet aux analystes de sécurité d'analyser et d'atténuer une menace de sécurité tout au long de son cycle de vie en utilisant les fonctionnalités suivantes:

  • Collecte: les données sont ingérées dans la plate-forme à l'aide de redirecteurs, d'analyseurs, de connecteurs et de webhooks.
  • Détection: ces données sont agrégées, normalisées à l'aide de l'UDM (Universal Data Model), et associées aux détections et aux renseignements sur les menaces.
  • Investigation: les menaces sont examinées grâce à la gestion des demandes, la recherche, la collaboration et les analyses contextuelles.
  • Réponse: les analystes de sécurité peuvent réagir rapidement et résoudre les problèmes à l'aide de playbooks automatisés et de gestion des incidents.

Collecte des données

Google Security Operations peut ingérer de nombreux types de télémétrie de sécurité grâce à diverses méthodes, y compris les suivantes:

  • Transférer: composant logiciel léger, déployé sur le réseau du client, compatible avec syslog, la capture de paquets et les dépôts de données de gestion des journaux ou de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management) existants.

  • API d'ingestion: API permettant d'envoyer directement des journaux à la plate-forme Google Security Operations, éliminant le besoin de matériel ou de logiciels supplémentaires dans les environnements client.

  • Intégrations tierces: intégration à des API cloud tierces pour faciliter l'ingestion de journaux, y compris de sources telles qu'Office 365 et Azure AD.

Analyse des menaces

Les fonctionnalités d'analyse de Google Security Operations sont fournies sous la forme d'une application basée sur un navigateur. Bon nombre de ces fonctionnalités sont également accessibles de manière automatisée via les API Read. Google Security Operations permet aux analystes, lorsqu'ils identifient une menace potentielle, d'approfondir leurs investigations et de déterminer la meilleure façon d'y répondre.

Résumé des fonctionnalités de Google Security Operations

Cette section décrit certaines des fonctionnalités disponibles dans Google Security Operations.

  • Recherche UMD: permet de rechercher des événements et des alertes de modèle de données unifié (UDM) dans votre instance Google Security Operations.
  • Analyse de journaux bruts: recherchez vos journaux bruts non analysés.
  • Expressions régulières: effectuez des recherches dans vos journaux bruts non analysés à l'aide d'expressions régulières.

Gestion des demandes

Regroupez les alertes associées dans des demandes, triez-les et filtrez-les en vue de leur tri et de leur hiérarchisation, attribuez les demandes, collaborez sur chaque demande, auditez les demandes et créez des rapports.

Concepteur de playbooks

Créez des playbooks en sélectionnant des actions prédéfinies et en les faisant glisser et en les déposant dans la toile des playbooks sans codage supplémentaire. Les playbooks vous permettent également de créer des vues dédiées pour chaque type d'alerte et chaque rôle SOC. La gestion des demandes ne présente que les données pertinentes pour un type d'alerte et un rôle utilisateur spécifiques.

Chercheur des graphes

Visualisez le qui, le quoi et le moment d'une attaque, identifiez les possibilités de chasse aux menaces, capturez la vue d'ensemble et prenez des mesures.

Tableau de bord et rapports

Mesurer et gérer efficacement les opérations, démontrer la valeur ajoutée aux parties prenantes, suivre en temps réel les métriques et les KPI de votre SOC. Vous pouvez utiliser des tableaux de bord et des rapports intégrés, ou créer les vôtres.

Environnement de développement intégré (IDE)

Les équipes de sécurité dotées de compétences en codage peuvent modifier et améliorer les actions de playbook existantes, déboguer du code, créer des actions pour les intégrations existantes et créer des intégrations qui ne sont pas disponibles sur Google Security Operations SOAR Marketplace.

Points de vue d'investigation

  • Vue des éléments: examinez les ressources de votre entreprise et déterminez s'ils ont interagi avec des domaines suspects.
  • Vue des adresses IP: recherchez des adresses IP spécifiques dans votre entreprise et leur impact sur vos ressources.
  • Vue de hachage: recherchez et examinez des fichiers en fonction de leur valeur de hachage.
  • Vue du domaine: examinez des domaines spécifiques de votre entreprise et leur impact sur vos ressources.
  • Vue utilisateur: examinez les utilisateurs de votre entreprise qui ont pu être impactés par des événements liés à la sécurité.
  • Filtrage procédural: affinez les informations sur un élément, y compris par type d'événement, source du journal, état de connexion réseau et domaine de premier niveau (TLD).

Informations mises en avant

  • Les blocs d'insights sur les éléments mettent en évidence les domaines et les alertes que vous pourriez vouloir examiner plus en détail.
  • Le graphique de prévalence indique le nombre de domaines auxquels un élément s'est connecté au cours d'une période spécifiée.
  • Alertes provenant d'autres produits de sécurité populaires.

Moteur de détection

Vous pouvez utiliser Google Security Operations Detection Engine pour automatiser le processus de recherche dans vos données afin de détecter d'éventuels problèmes de sécurité. Vous pouvez spécifier des règles pour rechercher toutes les données entrantes et vous avertir lorsque des menaces potentielles et connues apparaissent dans votre entreprise.

Contrôle des accès

Vous pouvez à la fois utiliser des rôles prédéfinis et configurer de nouveaux rôles pour contrôler l'accès aux classes de données, aux alertes et aux événements stockés dans votre instance Google Security Operations. Identity and Access Management permet de contrôle des accès à Google Security Operations.