Panoramica di Google Security Operations

Google Security Operations è un servizio cloud, creato come livello specializzato sull'infrastruttura Google, progettato per consentire alle aziende di conservare, analizzare e cercare privatamente le grandi quantità di dati di telemetria sulla sicurezza e di rete che generano.

Le operazioni di sicurezza di Google normalizzano, indicizzano, correlano e analizzano i dati per fornire analisi istantanee e contesto sulle attività rischiose. Google Security Operations può essere utilizzato per rilevare le minacce, analizzarne l'ambito e la causa e fornire correzioni utilizzando integrazioni predefinite con piattaforme di flusso di lavoro, risposta e orchestrazione aziendali.

Google SecOps consente di esaminare le informazioni aggregate sulla sicurezza della tua azienda per mesi o più. Utilizza Google Security Operations per cercare in tutti i domini a cui si accede all'interno della tua azienda. Puoi restringere la ricerca a qualsiasi asset, dominio o indirizzo IP specifico per determinare se è avvenuta una compromissione.

La piattaforma Google SecOps consente agli analisti della sicurezza di analizzare e mitigare una minaccia alla sicurezza durante il suo ciclo di vita utilizzando le seguenti funzionalità:

  • Raccolta: i dati vengono importati nella piattaforma utilizzando forwarding, parser, connettori e webhook.
  • Rilevamento: questi dati vengono aggregati, normalizzati tramite l'Universal Data Model (UDM) e collegati a rilevamenti e intelligence sulle minacce.
  • Indagine: le minacce vengono analizzate attraverso la gestione dei casi, la ricerca, la collaborazione e l'analisi sensibile al contesto.
  • Risposta: gli analisti della sicurezza possono rispondere rapidamente e fornire risoluzioni utilizzando playbook automatizzati e gestione degli incidenti.

Raccolta dei dati

Google Security Operations può importare numerosi tipi di dati di telemetria sulla sicurezza tramite vari metodi, tra cui:

  • Forwarder: componente software leggero, distribuito nella rete del cliente, che supporta syslog, l'acquisizione di pacchetti e i repository di dati di gestione dei log o di gestione degli eventi e delle informazioni di sicurezza (SIEM).

  • API di importazione: API che consentono l'invio dei log direttamente alla piattaforma Google Security Operations, eliminando la necessità di hardware o software aggiuntivo negli ambienti del cliente.

  • Integrazioni di terze parti: integrazione con API cloud di terze parti per facilitare l'importazione dei log, incluse origini come Office 365 e Azure AD.

Analisi delle minacce

Le funzionalità analitiche di Google Security Operations vengono fornite come applicazione basata su browser. Molte di queste funzionalità sono anche accessibili in modo programmatico tramite le API di lettura. Google Security Operations offre agli analisti un modo, quando rilevano una potenziale minaccia, per indagare ulteriormente e determinare il modo migliore per rispondere.

Riepilogo delle funzionalità di Google Security Operations

In questa sezione vengono descritte alcune delle funzionalità disponibili in Google Security Operations.

  • Ricerca UDM: consente di trovare eventi e avvisi nel modello Unified Data Model (UDM) all'interno della tua istanza Google Security Operations.
  • Scansione dei log non elaborati: cerca i log non elaborati e non analizzati.
  • Espressioni regolari: cerca nei log non elaborati e non analizzati utilizzando espressioni regolari.

Gestione delle richieste di assistenza

Raggruppa gli avvisi correlati in richieste, ordina e filtra la coda delle richieste per la classificazione e l'assegnazione delle priorità, assegna le richieste, collabora su ogni richiesta, controlla le richieste e genera report.

Designer di playbook

Crea i playbook selezionando azioni predefinite e trascinandole nel canvas dei playbook senza programmazione aggiuntiva. I playbook ti consentono inoltre di creare viste dedicate per ogni tipo di avviso e ruolo del SOC. La gestione dei casi presenta solo i dati pertinenti a un tipo di avviso e a un ruolo utente specifici.

Investitore grafici

Visualizza chi, cosa e quando di un attacco, identifica le opportunità di caccia alle minacce, cattura il quadro completo e agisci.

Dashboard e report

Misura e gestisci le operazioni in modo efficace, dimostra il valore agli stakeholder, monitora metriche e KPI del SOC in tempo reale. Puoi usare dashboard e report integrati o crearne di personalizzati.

Ambiente di sviluppo integrato (IDE)

I team di sicurezza con competenze di programmazione possono modificare e migliorare le azioni dei playbook esistenti, eseguire il debug del codice, creare nuove azioni per le integrazioni esistenti e creare integrazioni non disponibili nel Google Security Operations SOAR Marketplace.

Visualizzazioni investigative

  • Visualizzazione degli asset: esamina gli asset all'interno della tua azienda e se hanno interagito o meno con domini sospetti.
  • Vista indirizzo IP: esamina gli indirizzi IP specifici all'interno della tua azienda e l'impatto che hanno sulle tue risorse.
  • Visualizzazione hash: cerca e analizza i file in base al loro valore hash.
  • Vista dominio: analizza domini specifici all'interno della tua azienda e l'impatto che hanno sui tuoi asset.
  • Vista utenti: esamina gli utenti della tua azienda che potrebbero essere stati interessati da eventi di sicurezza.
  • Filtro procedurale: ottimizza le informazioni su un asset, ad esempio in base al tipo di evento, alla sorgente log, allo stato della connessione di rete e al dominio di primo livello (TLD).

Informazioni evidenziate

  • I blocchi degli insight sugli asset evidenziano i domini e gli avvisi su cui è opportuno esaminare ulteriormente.
  • Il grafico di prevalenza mostra il numero di domini a cui un asset è collegato in un determinato periodo di tempo.
  • Avvisi di altri prodotti di sicurezza più diffusi.

Motore di rilevamento

Puoi utilizzare Google Security Operations Detection Engine per automatizzare il processo di ricerca nei dati per rilevare eventuali problemi di sicurezza. Puoi specificare le regole per cercare in tutti i dati in arrivo e ricevere una notifica quando nella tua azienda compaiono minacce potenziali e note.

Controllo dell'accesso

Puoi utilizzare ruoli predefiniti e configurare nuovi ruoli per controllare l'accesso a classi di dati, avvisi ed eventi archiviati all'interno dell'istanza Google Security Operations. Identity and Access Management fornisce controllo dell'accesso per Google Security Operations.