Google Security Operations SIEM – Übersicht

Unterstützt in:

Google Security Operations SIEM ist ein Cloud-Dienst, der als spezialisierte Schicht auf der Kerninfrastruktur von Google aufgesetzt wurde und Unternehmen die Möglichkeit bietet, die großen Mengen an Sicherheits- und Netzwerktelemetriedaten, die sie generieren, vertraulich aufzubewahren, zu analysieren und zu durchsuchen. Google Security Operations normalisiert, indexiert, korreliert und analysiert die Daten, um schnelle Analysen und Kontext für riskante Aktivitäten zu bieten.

Mit Google Security Operations können Sie zusammengefasste Sicherheitsinformationen für Ihr Unternehmen prüfen, die mehrere Monate oder länger zurückliegen. Mit Google Security Operations können Sie alle Domains durchsuchen, auf die in Ihrem Unternehmen zugegriffen wurde. Sie können Ihre Suche auf ein bestimmtes Asset, eine bestimmte Domain oder IP-Adresse eingrenzen, um festzustellen, ob es zu einem Sicherheitsvorfall gekommen ist.

Google Security Operations-Plattform – Übersicht

Google Security Operations-Plattform – Übersicht

Datenerhebung

Google Security Operations kann zahlreiche Arten von Sicherheitstelemetrie über verschiedene Methoden aufnehmen, darunter:

  • Forwarder: Eine schlanke Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird und Syslog, Paketerfassung und vorhandene Datenrepositories für die Logverwaltung oder SIEM (Security Information and Event Management) unterstützt.

  • Ingestion APIs: APIs, mit denen Logs direkt an die Google Security Operations-Plattform gesendet werden können. Dadurch ist keine zusätzliche Hardware oder Software in Kundenumgebungen erforderlich.

  • Drittanbieterintegrationen: Integration in Cloud-APIs von Drittanbietern, um die Aufnahme von Protokollen zu erleichtern, einschließlich Quellen wie Office 365 und Azure AD.

Datenanalyse

Die Analysefunktionen von Google Security Operations werden Sicherheitsexperten als einfache, browserbasierte Anwendung zur Verfügung gestellt. Viele dieser Funktionen sind auch programmatisch über Read APIs verfügbar. Mit Google Security Operations können Analysten bei einer potenziellen Bedrohung feststellen, was sie ist, was sie tut, ob sie relevant ist und wie am besten darauf reagiert werden sollte.

Sicherheit und Compliance

Google Security Operations ist eine spezielle, private Ebene, die auf der Google-Kerninfrastruktur basiert. Daher werden die Rechen- und Speicherfunktionen sowie das Sicherheitsdesign und die Sicherheitsfunktionen dieser Infrastruktur übernommen.

Im Rahmen des Sicherheitskonzepts von Google SecOps werden Nutzeranmeldedaten (z. B. Anmeldedaten, die Sie angeben, damit ein Google SecOps-Feed Protokolldaten aus einer Drittanbieter-API aufnehmen kann) in Secret Manager gespeichert.

Google Security Operations-Funktionen

  • Rohlog-Scan: Durchsuchen Sie Ihre unformatierten, nicht geparsten Logs.
  • Reguläre Ausdrücke: Sie können Ihre Rohlogs mit regulären Ausdrücken durchsuchen.

Ansichten für die Untersuchung

  • Asset-Ansicht: Untersuchen Sie Assets in Ihrem Unternehmen und prüfen Sie, ob sie mit verdächtigen Domains interagiert haben.
  • Ansicht „IP-Adresse“: Untersuchen Sie bestimmte IP-Adressen in Ihrem Unternehmen und deren Auswirkungen auf Ihre Assets.
  • Hash-Ansicht: Sie können anhand des Hashwerts nach Dateien suchen und diese untersuchen.
  • Domainansicht: Untersuchen Sie bestimmte Domains in Ihrem Unternehmen und deren Auswirkungen auf Ihre Assets.
  • Nutzeransicht: Untersuchen Sie Nutzer in Ihrem Unternehmen, die möglicherweise von Sicherheitsvorfällen betroffen waren.
  • Prozedurales Filtern: Informationen zu einem Asset lassen sich unter anderem nach Ereignistyp, Protokollquelle, Netzwerkverbindungsstatus und Top-Level-Domain (TLD) optimieren.

Ausgewählte Informationen

  • Asset-Übersichtsblöcke: Hier werden die Domains und Benachrichtigungen hervorgehoben, die Sie sich möglicherweise genauer ansehen möchten.
  • Diagramm zur Häufigkeit: Hier sehen Sie die Anzahl der Domains, mit denen ein Asset in einem bestimmten Zeitraum verbunden war. ### Detection Engine Mit der Google Security Operations Detection Engine können Sie die Suche nach Sicherheitsproblemen in Ihren Daten automatisieren. Sie können Regeln festlegen, um alle eingehenden Daten zu durchsuchen und sich benachrichtigen zu lassen, wenn potenzielle und bekannte Bedrohungen in Ihrem Unternehmen auftreten.

VirusTotal

Sie können VirusTotal über Google Security Operations starten, um ein Asset, eine Domain oder eine IP-Adresse weiter zu untersuchen. Klicken Sie dazu auf VT Context (VT-Kontext).

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten