Présentation de la suite Opérations de sécurité Chronicle

La suite Opérations de sécurité Chronicle est un service cloud reposant sur une couche spécialisée qui s'ajoute à l'infrastructure Google. Elle est conçue pour permettre aux entreprises de conserver, d'analyser et d'effectuer des recherches en privé dans les grandes quantités de données de sécurité et de télémétrie réseau qu'elles génèrent.

Chronicle normalise, indexe, met en corrélation et analyse les données afin de fournir une analyse instantanée et un contexte sur les activités à risque. Chronicle vous permet de détecter les menaces, d'examiner leur portée et leur cause, et de les corriger à l'aide d'intégrations prédéfinies avec les plates-formes de workflow, de réponse et d'orchestration d'entreprise.

Chronicle SecOps vous permet d'examiner les informations de sécurité agrégées de votre entreprise sur des mois ou plus. Chronicle vous permet d'effectuer des recherches dans tous les domaines accessibles dans votre entreprise. Vous pouvez limiter votre recherche à un élément, un domaine ou une adresse IP spécifique afin de déterminer s'il y a eu un problème.

La plate-forme Chronicle SecOps permet aux analystes de sécurité d'analyser et de limiter une menace de sécurité tout au long de son cycle de vie grâce aux fonctionnalités suivantes:

  • Collecte: les données sont ingérées dans la plate-forme à l'aide de redirecteurs, d'analyseurs, de connecteurs et de webhooks.
  • Détection: ces données sont agrégées, normalisées à l'aide de l'UDM (Universal Data Model) et associées à des détections et des renseignements sur les menaces.
  • Investigation: les menaces sont examinées à l'aide de la gestion des demandes, de la recherche, de la collaboration et d'analyses contextuelles.
  • Réponse: les analystes en sécurité peuvent réagir rapidement et résoudre les problèmes à l'aide de playbooks automatisés et de gestion des incidents.

Collecte des données

La suite Opérations de sécurité Chronicle peut ingérer de nombreux types de télémétrie de sécurité à l'aide de différentes méthodes, dont les suivantes:

  • Forwarder: composant logiciel léger, déployé sur le réseau du client, qui prend en charge syslog, la capture de paquets et les dépôts de données existants de gestion des journaux ou de gestion des informations et des événements de sécurité (SIEM).

  • API d'ingestion: API qui permettent d'envoyer les journaux directement à la plate-forme Opérations de sécurité Chronicle, ce qui évite d'avoir à utiliser du matériel ou des logiciels supplémentaires dans les environnements client.

  • Intégrations tierces: l'intégration à des API cloud tierces facilite l'ingestion de journaux, y compris de sources telles qu'Office 365 et Azure AD.

Analyse des menaces

Les fonctionnalités d'analyse de la solution Opérations de sécurité Chronicle sont mises à la disposition des professionnels de la sécurité sous la forme d'une application simple basée sur un navigateur. La plupart de ces fonctionnalités sont également accessibles de manière automatisée via les API Read. Chronicle offre aux analystes un moyen, lorsqu'ils détectent une menace potentielle, d'enquêter plus en détail et de déterminer la meilleure façon de réagir.

Résumé des fonctionnalités de la suite Opérations de sécurité Chronicle

Cette section décrit certaines des fonctionnalités disponibles dans la suite Opérations de sécurité Chronicle.

  • Recherche UDM: vous permet de trouver des alertes et des événements Unified Data Model (UDM) dans votre instance Chronicle.
  • Raw Log Scan (Analyse de journaux bruts) : recherchez vos journaux bruts non analysés.
  • Expressions régulières: recherchez des journaux bruts non analysés à l'aide d'expressions régulières.

Gestion des demandes

Regroupez les alertes associées, triez et filtrez la file d'attente des demandes pour les trier et les hiérarchiser, attribuez les demandes, collaborez facilement sur chaque demande, auditez et créez des rapports.

Concepteur de playbooks

Créez des playbooks en sélectionnant des actions prédéfinies, puis en les faisant glisser et en les déposant dans la toile des playbooks, sans codage supplémentaire. Ils vous permettent également de créer des vues dédiées pour chaque type d'alerte et chaque rôle SOC. La gestion des demandes ne présente que les données pertinentes pour un type d'alerte et un rôle utilisateur spécifiques.

Graphique d'enquêteur

Visualisez le qui, le quoi et le moment d'une attaque, identifiez les possibilités de traque des menaces, obtenez une vue d'ensemble de l'attaque et prenez des mesures.

Tableau de bord et rapports

Mesurez et gérez efficacement les opérations, démontrez de la valeur aux parties prenantes, et suivez les métriques SOC et les KPI en temps réel. Vous pouvez utiliser des tableaux de bord et des rapports intégrés, ou créer les vôtres.

Environnement de développement intégré (IDE)

Les équipes de sécurité ayant des compétences en codage peuvent modifier et améliorer les actions existantes dans les playbooks, déboguer le code, créer de nouvelles actions pour les intégrations existantes et créer des intégrations qui ne sont pas disponibles sur la place de marché SOAR Chronicle.

Vues d'investigation

  • Vue des éléments: examinez les éléments de votre entreprise pour savoir s'ils ont interagi avec des domaines suspects.
  • Vue des adresses IP: examinez des adresses IP spécifiques au sein de votre entreprise et examinez leur impact sur vos éléments.
  • Vue de hachage: recherchez et examinez les fichiers en fonction de leur valeur de hachage.
  • Vue du domaine: examinez des domaines spécifiques de votre entreprise et examinez leur impact sur vos ressources.
  • Vue "Utilisateur": examinez les utilisateurs de votre entreprise qui ont pu être affectés par des événements liés à la sécurité.
  • Filtrage procédural: affinez les informations concernant un élément, y compris le type d'événement, la source du journal, l'état de la connexion réseau et le domaine de premier niveau (TLD).

Informations mises en surbrillance

  • Les blocs "Insights sur les assets" mettent en évidence les domaines et les alertes que vous pouvez examiner plus en détail.
  • Le graphique de prévalence indique le nombre de domaines auxquels un asset s'est connecté sur une période donnée.
  • Alertes d'autres produits de sécurité populaires.

Moteur de détection

Vous pouvez utiliser le moteur de détection Chronicle pour automatiser le processus de recherche de problèmes de sécurité dans vos données. Vous pouvez spécifier des règles pour rechercher toutes les données entrantes et vous avertir lorsque des menaces potentielles et connues apparaissent dans votre entreprise.

Contrôle des accès

Vous pouvez utiliser des rôles prédéfinis et configurer de nouveaux rôles pour contrôler l'accès aux classes de données, aux alertes et aux événements stockés dans votre instance Chronicle. Identity and Access Management permet de contrôle des accès pour Chronicle.