Chronicle Security Operations – Übersicht

Chronicle Security Operations ist ein Cloud-Dienst, der als spezialisierte Schicht auf der Google-Infrastruktur erstellt wurde. Er wurde entwickelt, damit Unternehmen die großen Mengen an Sicherheits- und Netzwerktelemetriedaten, die sie generieren, privat aufbewahren, analysieren und durchsuchen können.

Chronicle normalisiert, indexiert, korreliert und analysiert die Daten, um eine sofortige Analyse und einen Kontext zu riskanten Aktivitäten bereitzustellen. Chronicle kann verwendet werden, um Bedrohungen zu erkennen, den Umfang und die Ursache dieser Bedrohungen zu untersuchen und Abhilfen mithilfe vorgefertigter Integrationen mit Unternehmensworkflow-, Reaktions- und Orchestrierungsplattformen bereitzustellen.

Chronicle SecOps bietet Ihnen die Möglichkeit, die aggregierten Sicherheitsinformationen für Ihr Unternehmen über Monate oder länger hinweg zu prüfen. Mit Chronicle können Sie in allen Domains suchen, auf die in Ihrem Unternehmen zugegriffen wird. Sie können Ihre Suche auf ein bestimmtes Asset, eine bestimmte Domain oder eine IP-Adresse eingrenzen, um festzustellen, ob eine Manipulation vorliegt.

Mit der Chronicle SecOps-Plattform können Sicherheitsanalysten eine Sicherheitsbedrohung während ihres gesamten Lebenszyklus analysieren und minimieren. Dazu werden die folgenden Funktionen verwendet:

  • Erfassung: Daten werden mithilfe von Forwardern, Parsern, Connectors und Webhooks in die Plattform aufgenommen.
  • Erkennung: Diese Daten werden zusammengefasst, mit dem Universal Data Model (UDM) normalisiert und mit Erkennungsvorgängen und Bedrohungsinformationen verknüpft.
  • Untersuchung: Bedrohungen werden durch Fallverwaltung, Suche, Zusammenarbeit und kontextsensitive Analysen untersucht.
  • Reaktion: Sicherheitsanalysten können mithilfe von automatisierten Playbooks und Vorfallmanagement schnell reagieren und Lösungen bereitstellen.

Datenerfassung

Chronicle Security Operations kann zahlreiche Sicherheitstelemetrietypen über eine Vielzahl von Methoden aufnehmen, darunter:

  • Forwarder: Eine einfache Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird und Syslog, Paketerfassung sowie vorhandene Daten-Repositories für die Logverwaltung oder Security Information and Event Management (SIEM) unterstützt.

  • Aufnahme-APIs: APIs, mit denen Logs direkt an die Chronicle Security Operations Platform gesendet werden können, sodass in Kundenumgebungen keine zusätzliche Hardware oder Software erforderlich ist.

  • Integrationen von Drittanbietern: Einbindung in Cloud-APIs von Drittanbietern zur einfacheren Aufnahme von Logs, einschließlich Quellen wie Office 365 und Azure AD.

Bedrohungsanalyse

Die Analysefunktionen von Chronicle Security Operations werden Sicherheitsexperten als einfache, browserbasierte Anwendung bereitgestellt. Viele dieser Funktionen sind auch programmatisch über Read APIs zugänglich. Chronicle bietet Analysten die Möglichkeit, bei potenziellen Bedrohungen weitere Nachforschungen anzustellen und zu entscheiden, wie sie am besten darauf reagieren können.

Zusammenfassung der Features von Chronicle Security Operations

In diesem Abschnitt werden einige der in Chronicle Security Operations verfügbaren Features beschrieben.

  • UDM-Suche: Hiermit können Sie Ereignisse und Benachrichtigungen zu Unified Data Model (UDM) in Ihrer Chronicle-Instanz finden.
  • Raw Log Scan: Suchen Sie in Ihren nicht geparsten Rohlogs.
  • Reguläre Ausdrücke: Die nicht geparsten Logs mit regulären Ausdrücken durchsuchen.

Fallverwaltung

Gruppieren Sie ähnliche Benachrichtigungen in Fälle, sortieren und filtern Sie Anfragewarteschlangen zur Sichtung und Priorisierung, weisen Sie Fälle zu, erleichtern Sie die Zusammenarbeit bei jedem Fall, Fallprüfung und Berichterstellung.

Playbook-Designer

Sie können Playbooks erstellen, indem Sie vordefinierte Aktionen auswählen und sie per Drag-and-drop in den Playbook-Canvas ziehen – ganz ohne zusätzliche Programmierung. Playbooks ermöglichen es Ihnen außerdem, dedizierte Ansichten für jeden Benachrichtigungstyp und jede SOC-Rolle zu erstellen. Bei der Fallverwaltung werden nur die Daten angezeigt, die für einen bestimmten Benachrichtigungstyp und eine bestimmte Nutzerrolle relevant sind.

Graphenprüfer

Sie können das Wer, Was und Wann eines Angriffs visualisieren, Möglichkeiten zum Aufspüren von Bedrohungen identifizieren, ein umfassendes Bild davon gewinnen und Maßnahmen ergreifen.

Dashboard und Berichterstellung

Messen und verwalten Sie Abläufe effektiv, demonstrieren Sie den Stakeholdern den Nutzen und verfolgen Sie SOC-Messwerte und KPIs in Echtzeit. Sie können integrierte Dashboards und Berichte verwenden oder eigene erstellen.

Integrierte Entwicklungsumgebung (Integrated Development Environment, IDE)

Sicherheitsteams mit Programmierkenntnissen können vorhandene Playbook-Aktionen ändern und optimieren, Code debuggen, neue Aktionen für vorhandene Integrationen erstellen und Integrationen erstellen, die im Chronicle SOAR Marketplace nicht verfügbar sind.

Investigative Ansichten

  • Asset-Ansicht: Analysieren Sie Assets in Ihrem Unternehmen und ob sie mit verdächtigen Domains interagiert haben.
  • IP-Adressansicht: Analysieren Sie bestimmte IP-Adressen in Ihrem Unternehmen und deren Auswirkungen auf Ihre Assets.
  • Hash-Ansicht: Sie können Dateien auf der Grundlage ihres Hashwerts suchen und untersuchen.
  • Domainansicht: Analysieren Sie bestimmte Domains in Ihrem Unternehmen und deren Auswirkungen auf Ihre Assets.
  • Nutzeransicht: Analysieren Sie, welche Nutzer in Ihrem Unternehmen möglicherweise von Sicherheitsereignissen betroffen sind.
  • Prozedurelle Filterung: Hier können Sie Informationen zu einem Asset anpassen, z. B. nach Ereignistyp, Protokollquelle, Netzwerkverbindungsstatus und Top-Level-Domain (TLD).

Hervorgehobene Informationen

  • Bei Blockierungen mit Asset-Statistiken werden die Domains und Benachrichtigungen hervorgehoben, die Sie sich genauer ansehen sollten.
  • Das Diagramm zur Verbreitung zeigt die Anzahl der Domains, mit denen ein Asset in einem bestimmten Zeitraum verbunden war.
  • Benachrichtigungen von anderen beliebten Sicherheitsprodukten.

Erkennungs-Engine

Mit der Chronicle Detection Engine können Sie die Suche in Ihren Daten nach Sicherheitsproblemen automatisieren. Sie können Regeln festlegen, um alle eingehenden Daten zu durchsuchen und Sie über potenzielle und bekannte Bedrohungen in Ihrem Unternehmen zu benachrichtigen.

Zugriffssteuerung

Sie können sowohl vordefinierte Rollen verwenden als auch neue Rollen konfigurieren, um den Zugriff auf Datenklassen, Benachrichtigungen und Ereignisse zu steuern, die in Ihrer Chronicle-Instanz gespeichert sind. Identity and Access Management bietet Zugriffssteuerung für Chronicle.