Descripción general de las operaciones de seguridad de Chronicle

Chronicle Security Operations es un servicio en la nube, creado como una capa especializada sobre la infraestructura de Google, diseñado para que las empresas retengan, analicen y busquen de forma privada las grandes cantidades de telemetría de red y seguridad que generan.

Chronicle normaliza, indexa, correlaciona y analiza los datos para proporcionar análisis instantáneo y contexto sobre la actividad riesgosa. Chronicle se puede usar para detectar amenazas, investigar su alcance y sus causas, y proporcionar soluciones mediante integraciones compiladas previamente con plataformas de flujo de trabajo, respuesta y organización empresariales.

Chronicle SecOps te permite examinar la información de seguridad agregada de tu empresa durante meses o más tiempo. Usa Chronicle para buscar en todos los dominios a los que se accede dentro de la empresa. Puedes limitar la búsqueda a cualquier elemento, dominio o dirección IP específicos para determinar si se produjo algún compromiso.

La plataforma de Chronicle SecOps permite a los analistas de seguridad analizar y mitigar una amenaza de seguridad durante su ciclo de vida con las siguientes funciones:

  • Recopilación: Los datos se transfieren a la plataforma a través de servidores de reenvío, analizadores, conectores y webhooks.
  • Detección: Estos datos se agregan, se normalizan mediante el Modelo de datos universal (UDM) y se vinculan a detecciones e inteligencia de amenazas.
  • Investigación: Las amenazas se investigan mediante la administración de casos, la búsqueda, la colaboración y las estadísticas contextuales.
  • Respuesta: Los analistas de seguridad pueden responder rápidamente y ofrecer soluciones mediante guías automatizadas y la administración de incidentes.

Recopilación de datos

Chronicle Security Operations puede transferir varios tipos de telemetría de seguridad a través de una variedad de métodos, incluidos los siguientes:

  • Forwarder: Es un componente de software liviano, implementado en la red del cliente, que admite syslog, captura de paquetes y repositorios de administración de registros existentes o administración de información y eventos de seguridad (SIEM).

  • APIs de transferencia: APIs que permiten que los registros se envíen directamente a la plataforma de Chronicle Security Operations, lo que elimina la necesidad de hardware o software adicional en los entornos de los clientes.

  • Integraciones de terceros: Integración en APIs de Cloud de terceros para facilitar la transferencia de registros, incluidas fuentes como Office 365 y Azure AD.

Análisis de amenazas

Las funciones analíticas de Chronicle Security Operations se ofrecen a los profesionales de la seguridad como una aplicación sencilla basada en el navegador. Muchas de estas capacidades también son accesibles de manera programática a través de las APIs de Read. Chronicle les brinda a los analistas una manera, cuando ven una posible amenaza, para investigar más a fondo y determinar la mejor manera de responder.

Resumen de las funciones de las operaciones de seguridad de Chronicle

En esta sección, se describen algunas de las funciones disponibles en Chronicle Security Operations.

  • Búsqueda de UDM: Te permite encontrar eventos y alertas del Modelo de datos unificado (UDM) en tu instancia de Chronicle.
  • Análisis de registros sin procesar: Busca tus registros sin procesar y sin analizar.
  • Expresiones regulares: Busca tus registros sin procesar y sin analizar mediante expresiones regulares.

Administración de casos

Agrupa las alertas relacionadas en casos, ordena y filtra la cola de casos para su clasificación y priorización, asigna casos, colabora con facilidad en todos los casos, los informes y la auditoría de casos.

Diseñador de guías

Para compilar guías, selecciona acciones predefinidas y arrástralas y suéltalas en el lienzo de las guías sin programación adicional. Las guías también te permiten crear vistas dedicadas para cada tipo de alerta y cada rol de SOC. La administración de casos presenta solo los datos relevantes para un tipo de alerta y un rol del usuario específicos.

Investigador gráfico

Visualiza quién, qué y cuándo de un ataque, identifica oportunidades para buscar amenazas, captura el panorama completo y toma medidas.

Informes y panel

Mide y administra las operaciones con eficacia, demuestra el valor a las partes interesadas y haz un seguimiento de las métricas del SOC y los KPIs en tiempo real. Puedes usar informes y paneles integrados o crear los tuyos propios.

Entorno de desarrollo integrado (IDE)

Los equipos de seguridad con habilidades de programación pueden modificar y mejorar las acciones existentes de la guía, depurar código, compilar nuevas acciones para integraciones existentes y crear integraciones que no están disponibles en Chronicle SOAR Marketplace.

Vistas de investigación

  • Vista de recursos: Investiga los recursos dentro de tu empresa y si interactuaron con dominios sospechosos o no.
  • Vista Dirección IP: Investiga las direcciones IP específicas dentro de tu empresa y qué impacto tienen en tus recursos.
  • Vista de hash: Busca e investiga archivos en función de su valor de hash.
  • Vista de dominio: Investiga los dominios específicos de tu empresa y el impacto que tienen en tus recursos.
  • Vista de usuario: Investiga a los usuarios de tu empresa que podrían haberse visto afectados por eventos de seguridad.
  • Filtrado de procedimientos: Ajusta la información sobre un recurso, por ejemplo, por tipo de evento, fuente del registro, estado de conexión de red y dominio de nivel superior (TLD).

Información destacada

  • Los bloques de estadísticas de recursos destacan los dominios y las alertas que podría investigar más a fondo.
  • El gráfico de prevalencia muestra la cantidad de dominios a los que se conectó un recurso durante un período específico.
  • Alertas de otros productos de seguridad populares.

Motor de detección

Puedes usar Chronicle Detection Engine para automatizar el proceso de búsqueda de problemas de seguridad en los datos. Puedes especificar reglas para buscar todos tus datos entrantes y que te notifiquen cuando aparezcan amenazas conocidas y potenciales en tu empresa.

Control de acceso

Puedes emplear roles predefinidos y configurar roles nuevos para controlar el acceso a las clases de datos, alertas y eventos almacenados en tu instancia de Chronicle. Identity and Access Management proporciona control de acceso para Chronicle.