Cette page a été traduite par l'API Cloud Translation.

Présentation de Google Security Operations

Compatible avec :

Google SecOps

Google Security Operations est un service cloud, conçu comme une couche spécialisée sur l'infrastructure Google, qui permet aux entreprises de conserver, d'analyser et de rechercher de manière privée les grandes quantités de télémétrie de sécurité et de réseau qu'elles génèrent.

Google Security Operations normalise, indexe, corrèle et analyse les données pour fournir une analyse instantanée et du contexte sur les activités à risque. Google Security Operations peut détecter les menaces, en examiner la portée et la cause, et offrent des solutions correctives à l'aide d'intégrations prédéfinies avec les workflows d'entreprise ; de réponse et d'orchestration.

Google SecOps vous permet d'examiner les informations de sécurité agrégées de votre entreprise qui remontent à plusieurs mois ou plus. Utilisez Google Security Operations pour effectuer des recherches dans tous les domaines consultés pour les entreprises. Vous pouvez affiner votre recherche à un élément, un domaine ou une adresse IP spécifique pour déterminer si une compromission a eu lieu.

La plate-forme Google SecOps permet aux analystes sécurité d'analyser et d'atténuer une menace de sécurité tout au long de son cycle de vie à l'aide du les fonctionnalités suivantes:

Collecte: les données sont ingérées dans la plate-forme à l'aide de redirecteurs, les analyseurs, les connecteurs et les webhooks.
Détection: ces données sont agrégées et normalisées à l'aide de Universal Data (UDM) et lié aux détections et à la Threat Intelligence.
Investigation: les menaces sont examinées à l'aide de la gestion des cas, de la recherche, la collaboration et le contexte données analytiques.
Réponse : les analystes de sécurité peuvent répondre rapidement et proposer des solutions à l'aide de playbooks automatisés et de la gestion des incidents.

Collecte des données

Google Security Operations peut ingérer de nombreux types de télémétrie de sécurité via diverses méthodes, y compris les suivantes :

Forwarder: composant logiciel léger, déployé dans le système d'exploitation du client compatible avec syslog, la capture de paquets et la gestion des journaux ou dans des référentiels de données de gestion des informations et des événements de sécurité (SIEM).
API d'ingestion : API permettant d'envoyer des journaux directement à la plate-forme Google Security Operations, ce qui élimine le besoin de matériel ou de logiciels supplémentaires dans les environnements client.
Intégrations tierces : intégration aux API cloud tierces pour faciliter l'ingestion des journaux, y compris des sources telles qu'Office 365 et Azure AD.

Analyse des menaces

Les fonctionnalités d'analyse de Google Security Operations sont fournies basée sur un navigateur. Nombre d'entre elles sont également accessibles de manière automatisée via les API Read. Google Security Operations permet aux analystes, lorsqu'ils détectent une menace potentielle, d'enquêter plus en détail et de déterminer la meilleure façon d'y répondre.

Résumé des fonctionnalités de Google Security Operations

Cette section décrit certaines des fonctionnalités disponibles dans Google Security Operations.

Recherche

Recherche UMD: permet de rechercher des événements et des alertes de modèle de données unifié (UDM). dans votre instance Google Security Operations.
Analyse des journaux bruts : recherchez dans vos journaux bruts non analysés.
Expressions régulières : recherchez dans vos journaux bruts non analysés à l'aide d'expressions régulières.

Gestion des demandes

Regroupez les alertes associées dans des demandes, triez et filtrez la file d'attente des demandes pour le tri et la hiérarchisation, attribuez des demandes, collaborez sur chaque demande, effectuez des audits et créez des rapports.

Concepteur de playbooks

Créez des playbooks en sélectionnant des actions prédéfinies, puis en les faisant glisser-déposer dans le canevas du playbook sans code supplémentaire. Les playbooks vous permettent également de créer des vues dédiées pour chaque type d'alerte et chaque rôle de SOC. La gestion des demandes ne présente que les données pertinentes pour un type d'alerte et un rôle utilisateur spécifiques.

Outil d'exploration des graphiques

Visualisez le qui, le quoi et le moment d'une attaque, identifiez les opportunités de la recherche des menaces, de capturer la vue d’ensemble et de prendre des mesures.

Tableau de bord et rapports

Mesurez et gérez efficacement les opérations, démontrez la valeur aux personnes concernées et suivez les métriques et les KPI des SOC en temps réel. Vous pouvez utiliser des tableaux de bord et des rapports intégrés ou créer les vôtres.

Environnement de développement intégré (IDE)

Les équipes de sécurité qui ont des compétences en codage peuvent modifier et améliorer les playbooks existants des actions, déboguer du code, créer des actions pour les intégrations existantes et créer d'intégrations qui ne sont pas disponibles dans Google Security Operations SOAR Marketplace.

Points de vue d'investigation

Vue des composants : examinez les composants de votre entreprise et vérifiez s'ils ont interagi avec des domaines suspects.
Vue des adresses IP: recherchez des adresses IP spécifiques dans votre votre entreprise et leur impact sur vos ressources.
Vue "Hash" : recherchez et examinez les fichiers en fonction de leur valeur de hachage.
Vue par domaine : examinez des domaines spécifiques de votre entreprise et leur impact sur vos composants.
Vue utilisateur : examinez les utilisateurs de votre entreprise qui ont peut-être été affectés par des événements de sécurité.
Filtrage procédural : affinez les informations sur un élément, y compris par type d'événement, source de journal, état de la connexion réseau et domaine de premier niveau (TLD).

Informations en surbrillance

Les blocs d'insights sur les composants mettent en évidence les domaines et les alertes que vous souhaitez examiner plus en détail.
Le graphique de prévalence indique le nombre de domaines auxquels un composant a été connecté sur une période donnée.
Alertes provenant d'autres produits de sécurité populaires.

Moteur de détection

Vous pouvez utiliser Google Security Operations Detection pour automatiser le processus de rechercher dans vos données des problèmes de sécurité. Vous pouvez spécifier des règles de recherche toutes vos données entrantes, et vous avertir en cas de menaces potentielles ou connues dans votre entreprise.

Contrôle des accès

Vous pouvez utiliser des rôles prédéfinis et configurer de nouveaux rôles pour contrôler l'accès à des classes de données, d'alertes et d'événements stockés dans votre instance Google Security Operations. Identity and Access Management fournit un contrôle des accès pour Google Security Operations.