Informações gerais sobre as Operações de segurança do Google

O Google Security Operations é um serviço em nuvem criado como uma camada especializada no topo da infraestrutura do Google, criado para as empresas reterem, de modo privado, analisar e pesquisar as grandes quantidades de telemetria de segurança e rede gerar.

O Google Security Operations normaliza, indexa, correlaciona e analisa os dados para fornecem análise instantânea e contexto sobre atividades arriscadas. As Operações de segurança do Google podem ser usados para detectar ameaças, investigar o escopo e a causa dessas ameaças e oferecer remediação usando integrações pré-criadas com fluxo de trabalho corporativo, respostas e orquestração de contêineres.

o Google SecOps permite examinar a segurança agregada de dados para sua empresa há meses ou mais. Usar Google Security Operations para pesquisar em todos os domínios acessados na sua em uma empresa. Você pode restringir a pesquisa a qualquer recurso, domínio ou IP específico. para determinar se ocorreu algum comprometimento.

A plataforma Google SecOps permite que os analistas de segurança analisar e mitigar uma ameaça à segurança ao longo de seu ciclo de vida empregando a seguintes recursos:

  • Coleta: os dados são ingeridos na plataforma usando encaminhadores, analisadores, conectores e webhooks.
  • Detecção: esses dados são agregados e normalizados usando o (UDM) e vinculado a detecções e à inteligência de ameaças.
  • Investigação: as ameaças são investigadas por meio do gerenciamento de casos, pesquisa colaboração e baseado em contexto análise de dados.
  • Resposta: os analistas de segurança podem responder rapidamente e fornecer soluções usando playbooks automatizados e gestão de incidentes.

Coleta de dados

As Operações de segurança do Google podem ingerir vários tipos de telemetria de segurança por meio de uma vários métodos, incluindo:

  • Encaminhador: um componente de software leve, implantado no sistema com suporte a syslog, captura de pacotes e gerenciamento de registros ou repositórios de dados de gerenciamento de eventos e informações de segurança (SIEM).

  • APIs de ingestão: permitem que os registros sejam enviados diretamente para o a plataforma Google Security Operations, eliminando a necessidade de hardware ou software em ambientes do cliente.

  • Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitam a ingestão de registros, incluindo origens como o Office 365 e o Azure d.C.

Análise de ameaças

Os recursos analíticos das Operações de segurança do Google são fornecidos como um aplicativo baseado em navegador. Muitos desses também podem ser acessados de modo programático usando APIs de leitura. As Operações de segurança do Google oferecem aos analistas uma maneira, ao identificarem uma possível ameaça, investigar mais a fundo e determinar a melhor forma de responder.

Resumo dos recursos das Operações de segurança do Google

Esta seção descreve alguns dos recursos disponíveis no Operações de segurança do Google.

  • Pesquisa UDM: encontre eventos e alertas do modelo de dados unificado (UDM). na sua instância do Google Security Operations.
  • Verificação de registro bruto: pesquise seus registros brutos não analisados.
  • Expressões regulares: pesquise seus registros brutos não analisados usando funções expressões idiomáticas.

Gerenciamento de casos de suporte

Agrupe os alertas relacionados em casos, classifique e filtre a fila de casos para triagem e priorização, atribuir casos, colaborar em cada caso, auditoria de casos e geração de relatórios.

Designer de playbook

Selecione ações predefinidas e arraste e solte para criar playbooks para a tela do playbook sem código adicional. Eles também permitem que você criar visualizações dedicadas para cada tipo de alerta e papel do SOC. Gerenciamento de casos apresenta apenas os dados relevantes para um tipo de alerta e função do usuário específicos.

Investigador gráfico

Visualize quem, o quê e quando de um ataque, identifique oportunidades para detectar ameaças, ter uma visão completa e agir.

Painel e relatórios

Medir e gerenciar as operações com eficiência, demonstrar valor para as partes interessadas monitorar as métricas e KPIs do SOC em tempo real. Você pode usar painéis integrados e ou criar seus próprios relatórios.

Ambiente de desenvolvimento integrado (IDE)

Equipes de segurança com habilidades de programação podem modificar e aprimorar o playbook atual depurar códigos, criar novas ações para integrações existentes e criar integrações que não estão disponíveis no Marketplace SOAR do Google Security Operations.

Pontos de vista investigativos

  • Visualização de recursos: investigue os recursos na sua empresa e se eles estão ou não eles interagiram com domínios suspeitos.
  • Visualização Endereço IP: investigue endereços IP específicos em sua e o impacto que elas têm nos seus ativos.
  • Visualização de hash: pesquise e investigue arquivos com base no valor de hash deles.
  • Visualização de domínio: investigue domínios específicos na sua empresa e e o impacto que elas têm nos seus recursos.
  • Visualização do usuário: investigue os usuários na empresa que possam ter afetadas por ocorrências de segurança.
  • Filtragem processual: ajuste as informações sobre um recurso, incluindo tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).

Informações em destaque

  • Os blocos de insights de recursos destacam os domínios e alertas que você pode querer para investigar mais a fundo.
  • O gráfico de prevalência mostra o número de domínios a que um recurso está conectado durante um período específico.
  • Alertas de outros produtos de segurança conhecidos.

Mecanismo de detecção

Você pode usar o Google Security Operations Detection Engine para automatizar o processo de pesquisando problemas de segurança nos dados. É possível especificar regras para pesquisar todos os seus dados recebidos e notificar você quando ameaças potenciais e conhecidas aparecerem na sua empresa.

Controle de acesso

É possível empregar papéis predefinidos e configurar novos para controlar o acesso a classes de dados, alertas e eventos armazenados nas Operações de segurança do Google instância. O Identity and Access Management fornece controle de acesso para Operações de segurança do Google.