Google Security Operations 概览
Google Security Operations 是一项云服务,作为 以私密方式保留数据, 分析和搜索大量安全和网络遥测数据, 生成。
Google Security Operations 会对数据进行标准化、编制索引、关联和分析, 针对有风险的活动提供即时分析和背景信息。Google Security Operations 用于检测威胁、调查这些威胁的范围和原因,以及 使用与企业工作流的预构建集成提供修复措施, 响应和编排平台。
借助 Google SecOps,您可以检查 企业需要几个月或更长时间才能收集到的信息使用 Google Security Operations 可在您的 企业。您可以将搜索范围缩小到任何特定资产、网域或 IP 从而确定是否发生了任何泄露。
Google SecOps 平台使安全分析师能够 采用 以下功能:
- 数据收集:使用转发器将数据提取到平台中, 解析器、连接器和网络钩子。
- 检测:这些数据使用通用数据进行汇总和标准化 模型 (UDM),并与检测和威胁情报相关联。
- 调查:通过案例管理、搜索、 协作和情境感知 分析。
- 响应:安全分析师可以快速响应并提供解决方案 自动化策略方案和突发事件管理。
数据收集
Google Security Operations 可通过 各种方法,其中包括:
转发器:一种轻量级软件组件,部署在客户的 网络,支持 syslog、数据包捕获和现有日志管理 或安全信息和事件管理 (SIEM) 数据存储库。
提取 API:可将日志直接发送到 Google Security Operations 平台,无需额外的 客户环境中的硬件或软件。
第三方集成:与第三方 Cloud API 集成以 促进日志的注入,包括 Office 365 和 Azure 等来源 公元。
威胁分析
Google Security Operations 的分析功能以 基于浏览器的应用。其中许多 功能也可通过 Read API 以编程方式访问。 Google Security Operations 让分析师可在发现潜在威胁时 进一步调查并确定最佳回应方式。
Google Security Operations 功能摘要
本部分介绍了 Google Security Operations,
搜索
- UDM 搜索:可让您查找统一数据模型 (UDM) 事件和提醒 您的 Google Security Operations 实例中的实例。
- 原始日志扫描:搜索未解析的原始日志。
- 正则表达式:使用正则表达式搜索未解析的原始日志 表达式。
案例管理
将相关提醒分组到案例中,对案例队列进行排序和过滤,以便进行分类和 确定优先次序、分配案例、协作处理每个案例、进行案例审核 报告。
playbook 设计器
通过选择预定义的操作并拖放操作来构建 playbook 直接导入到 playbook 画布中,无需额外编写代码。借助 playbook,您还可以 为每种提醒类型和每个 SOC 角色创建专用视图。案例管理 仅显示与特定提醒类型和用户角色相关的数据。
图表调查工具
直观了解攻击的发生者、事件和时间,以发现 威胁搜寻、全面捕获并采取行动。
信息中心和报告
有效衡量和管理运营,向利益相关方展示价值; 跟踪实时 SOC 指标和 KPI。您可以使用内置的信息中心 或创建自己的报告
集成开发环境 (IDE)
具备编码技能的安全团队可以修改和增强现有手册 调试代码、为现有集成构建新操作,以及创建 Google Security Operations SOAR Marketplace 中未提供的集成功能。
调查视图
- “资产”视图:调查您企业内的资产,以及是否 发现他们与可疑网域有过互动
- IP 地址视图:调查 以及它们对您的资产有何影响。
- 哈希视图:根据文件的哈希值搜索和调查文件。
- 网域视图:调查您企业中的特定网域并 这会对您的资产产生什么影响
- 用户视图:调查您的企业中可能遭到过 安全事件的影响
- 过程过滤:微调资产的相关信息,包括按照 事件类型、日志源、网络连接状态和顶级网域 (TLD).
突出显示的信息
- 资产数据分析块会突出显示您可能需要的网域和提醒 进行进一步调查。
- 发生率图表显示了资产已关联到的网域数量 特定时间段的广告
- 来自其他热门安全产品的提醒。
检测引擎
您可以使用 Google Security Operations Detection Engine 自动执行 搜索您的数据是否存在安全问题。您可以指定要搜索的规则 传入的所有数据并在出现潜在和已知威胁时通知您 。
访问权限控制
您既可以使用预定义角色,也可以配置新角色来控制访问权限 您的 Google Security Operations 中存储的数据、提醒和事件类别 实例。Identity and Access Management 为以下服务提供访问权限控制: Google Security Operations,