Panoramica di Google Security Operations
Google Security Operations è un servizio cloud, creato come livello specializzato all'avanguardia dell'infrastruttura Google, progettata per le aziende analizzare e cercare grandi quantità di dati telemetrici di sicurezza e rete che generati.
Google Security Operations normalizza, indicizza, correla e analizza i dati per fornire analisi e contesto istantanei sulle attività rischiose. Google Security Operations può essere utilizzati per rilevare minacce, indagare sulla portata e sulla causa delle minacce e fornire correzioni utilizzando integrazioni predefinite con il flusso di lavoro aziendale, piattaforme di risposta e orchestrazione.
Google SecOps ti consente di esaminare le informazioni sulla sicurezza aggregate della tua azienda per periodi di mesi o più. Utilizza le funzionalità di Google Security Operations per cercare in tutti i domini a cui si accede all'interno di per l'azienda. Puoi restringere la ricerca a una risorsa, un dominio o un indirizzo IP specifico per determinare se si è verificato un compromesso.
La piattaforma Google SecOps consente agli analisti della sicurezza di analizzare e mitigare una minaccia alla sicurezza durante il suo ciclo di vita utilizzando le seguenti funzionalità:
- Raccolta: i dati vengono importati nella piattaforma utilizzando i server di inoltro, parser, connettori e webhook.
- Rilevamento: questi dati vengono aggregati, normalizzati utilizzando il Universal Data Model (UDM) e collegati a rilevamenti e intelligence sulle minacce.
- Indagine: le minacce vengono analizzate attraverso la gestione dei casi, la ricerca, collaborazione e sensibili al contesto e analisi.
- Risposta: gli analisti della sicurezza possono rispondere rapidamente e fornire soluzioni. mediante playbook automatizzati e gestione degli incidenti.
Raccolta dei dati
Google Security Operations può importare numerosi tipi di telemetria di sicurezza tramite una serie di metodi, tra cui:
Forwarder: un componente software leggero, di cui viene eseguito il deployment nella rete del cliente, che supporta syslog, l'acquisizione di pacchetti e la gestione dei log esistenti o i repository di dati di gestione degli eventi e delle informazioni di sicurezza (SIEM).
API di importazione: API che consentono l'invio dei log direttamente Google Security Operations, eliminando la necessità di l'hardware o il software negli ambienti del cliente.
Integrazioni di terze parti: integrazione con API cloud di terze parti per facilitano l’importazione dei log, incluse origini come Office 365 e Azure ANNUNCIO.
Analisi delle minacce
Le funzionalità di analisi di Google Security Operations vengono fornite come applicazione basata su browser. Molte di queste funzionalità sono accessibili anche a livello di programmazione tramite le API di lettura. Google Security Operations offre agli analisti un modo, quando rilevano una potenziale minaccia, per indaga ulteriormente per stabilire la risposta migliore.
Riepilogo delle funzionalità di Google Security Operations
Questa sezione descrive alcune delle funzionalità disponibili in Google Security Operations.
Cerca
- Ricerca UDM: consente di trovare eventi e avvisi Unified Data Model (UDM) all'interno dell'istanza Google Security Operations.
- Scansione dei log non elaborati: cerca i log non elaborati e non analizzati.
- Espressioni regolari: cerca nei log non analizzati non elaborati utilizzando le espressioni regolari.
Gestione delle richieste di assistenza
Raggruppa gli avvisi correlati in richieste, ordina e filtra la coda delle richieste per la classificazione e assegnazione delle priorità, assegnazione dei casi, collaborazione su ogni caso, controllo dei casi e i report.
Progettista di playbook
Crea playbook selezionando azioni predefinite e trascinandole nella tela del playbook senza dover scrivere codice aggiuntivo. I playbook ti consentono inoltre di creare viste dedicate per ogni tipo di avviso e ogni ruolo del SOC. La gestione delle richieste presenta solo i dati pertinenti a un tipo di avviso e a un ruolo utente specifici.
Investitore grafici
Visualizzate chi, cosa e quando di un attacco, identificando le opportunità la caccia alle minacce, acquisire un quadro completo e agire di conseguenza.
Dashboard e report
Misurare e gestire efficacemente le operazioni, dimostrare il valore agli stakeholder, monitorare metriche e KPI del SOC in tempo reale. Puoi usare le dashboard integrate report personalizzati o crearne uno tuo.
Ambiente di sviluppo integrato (IDE)
I team di sicurezza con competenze di programmazione possono modificare e migliorare le azioni dei playbook esistenti, eseguire il debug del codice, creare nuove azioni per le integrazioni esistenti e creare integrazioni non disponibili nel marketplace SOAR di Google Security Operations.
Visualizzazioni investigative
- Visualizzazione asset: esamina le risorse all'interno della tua azienda e verifica se hanno interagito o meno con domini sospetti.
- Visualizzazione indirizzo IP: esamina indirizzi IP specifici all'interno del tuo la loro azienda e il loro impatto sui tuoi asset.
- Visualizzazione hash: cerca ed esamina i file in base al loro valore hash.
- Visualizzazione dei domini: esamina domini specifici all'interno della tua azienda e il loro impatto sulle risorse.
- Vista utenti: consente di esaminare gli utenti della tua azienda che potrebbero essere stati influenzate da eventi di sicurezza.
- Filtro procedurale: ottimizza le informazioni su una risorsa, ad esempio in base al tipo di evento, sorgente log, stato della connessione di rete e dominio di primo livello (TLD).
Informazioni in evidenza
- I blocchi di informazioni sugli asset mettono in evidenza i domini e gli avvisi su cui potresti voler approfondire.
- Il grafico di prevalenza mostra il numero di domini a cui è collegato un asset per un determinato periodo di tempo.
- Avvisi da altri prodotti di sicurezza più diffusi.
Motore di rilevamento
Puoi utilizzare il motore di rilevamento di Google Security Operations per automatizzare il processo di ricerca di problemi di sicurezza nei tuoi dati. Puoi specificare le regole di ricerca tutti i tuoi dati in arrivo e ti avvisa quando vengono visualizzate minacce potenziali e note della tua azienda.
Controllo degli accessi
Puoi utilizzare ruoli predefiniti e configurare nuovi ruoli per controllare l'accesso alle classi di dati, avvisi ed eventi archiviati in Google Security Operations in esecuzione in un'istanza Compute Engine. Identity and Access Management fornisce il controllo degli accessi per Google Security Operations.