Informações gerais sobre Chronicle Security Operations

O Chronicle Security Operations é um serviço de nuvem criado como uma camada especializada na infraestrutura do Google. Ele foi projetado para que as empresas retenham, analisem e pesquisem de forma particular as grandes quantidades de segurança e telemetria de rede que geram.

O Chronicle normaliza, indexa, correlaciona e analisa os dados para fornecer análise instantânea e contexto sobre atividades de risco. O Chronicle pode ser usado para detectar ameaças, investigar o escopo e a causa delas e fornecer correções usando integrações pré-criadas com plataformas de fluxo de trabalho, resposta e orquestração da empresa.

O Chronicle SecOps permite examinar as informações de segurança agregadas da sua empresa de meses ou mais. Use o Chronicle para pesquisar todos os domínios acessados na sua empresa. É possível restringir a pesquisa a qualquer recurso, domínio ou endereço IP específico para determinar se ocorreu algum comprometimento.

A plataforma Chronicle SecOps permite que os analistas de segurança analisem e reduzam uma ameaça ao longo do ciclo de vida, empregando os seguintes recursos:

  • Coleta: os dados são ingeridos na plataforma usando encaminhadores, analisadores, conectores e webhooks.
  • Detecção: esses dados são agregados, normalizados com o modelo universal de dados (UDM) e vinculados a detecções e inteligência contra ameaças.
  • Investigação: as ameaças são investigadas por gerenciamento de casos, pesquisa, colaboração e análise de contexto.
  • Resposta: os analistas de segurança podem responder rapidamente e oferecer resoluções usando manuais automatizados e gerenciamento de incidentes.

Coleta de dados

O Chronicle Security Operations pode ingerir vários tipos de telemetria de segurança usando vários métodos, como estes:

  • Encaminhador: um componente de software leve, implantado na rede do cliente, compatível com syslog, captura de pacotes e repositórios de dados de gerenciamento de registros ou eventos de segurança (SIEM, na sigla em inglês).

  • APIs de ingestão: APIs que permitem o envio de registros diretamente para a plataforma do Chronicle Security Operations, eliminando a necessidade de hardware ou software adicional nos ambientes do cliente.

  • Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo origens como o Office 365 e o Azure AD.

Análise de ameaças

Os recursos analíticos do Chronicle Security Operations são fornecidos aos profissionais de segurança como um aplicativo simples baseado em navegador. Muitos desses recursos também podem ser acessados programaticamente pelas APIs de leitura. O Chronicle oferece aos analistas uma maneira de investigar mais a fundo e determinar a melhor resposta quando veem uma ameaça em potencial.

Resumo dos recursos do Chronicle Security Operations

Esta seção descreve alguns dos recursos disponíveis no Chronicle Security Operations.

  • UDM Search: permite encontrar eventos e alertas do Unified Data Model (UDM) na instância do Chronicle.
  • Raw Log Scan: pesquise os registros brutos não analisados.
  • Expressões regulares: pesquise seus registros brutos e não analisados usando expressões regulares.

Gerenciamento de casos de suporte

Agrupe alertas relacionados em casos, classifique e filtre a fila dos casos para triagem e priorização, atribua casos, colabore facilmente em cada caso, faça a auditoria e a geração de relatórios.

Designer do playbook

Para criar playbooks, selecione ações predefinidas, arraste e solte na tela do playbook sem precisar de mais programação. Os playbooks também permitem criar visualizações dedicadas para cada tipo de alerta e papel do SOC. O gerenciamento de casos apresenta apenas os dados relevantes para um tipo de alerta e função do usuário específicos.

Investigador gráfico

Confira quem, o quê e quando de um ataque, identifique oportunidades para procurar ameaças, tenha um panorama completo e entre em ação.

Painel e relatórios

Meça e gerencie operações com eficiência, demonstre valor para as partes interessadas, monitore KPIs e métricas de SOC em tempo real. Você pode usar os painéis e relatórios integrados ou criar seus próprios.

Ambiente de desenvolvimento integrado (IDE)

As equipes de segurança com habilidades de programação podem modificar e melhorar as ações atuais do playbook, depurar códigos, criar novas ações para integrações atuais e criar integrações que não estão disponíveis no Chronicle SOAR Marketplace.

Visualizações investigativas

  • Visualização de recursos: investigue os recursos na sua empresa e se eles interagiram ou não com domínios suspeitos.
  • Visualização de endereço IP: investigue endereços IP específicos na sua empresa e o impacto deles nos seus recursos.
  • Visualização de hash: pesquise e investigue os arquivos com base no valor de hash.
  • Visualização de domínios: investigue domínios específicos da sua empresa e o impacto que eles têm nos recursos.
  • Visualização do usuário: investigue os usuários na sua empresa que podem ter sido afetados por ocorrências de segurança.
  • Filtragem processual: ajuste as informações sobre um recurso, incluindo por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).

Informações destacadas

  • Os blocos de insights de recursos destacam os domínios e alertas que você pode querer investigar mais.
  • O gráfico de prevalência mostra o número de domínios a que um recurso se conectou em um período específico.
  • Alertas de outros produtos de segurança conhecidos.

Mecanismo de detecção

É possível usar o mecanismo de detecção do Chronicle para automatizar o processo de pesquisa de dados em busca de problemas de segurança. É possível especificar regras para pesquisar todos os dados recebidos e avisar quando surgirem ameaças conhecidas e potenciais na sua empresa.

Controle de acesso

É possível empregar papéis predefinidos e configurar novos para controlar o acesso a classes de dados, alertas e eventos armazenados na instância do Chronicle. O Identity and Access Management fornece controle de acesso para o Chronicle.