Descripción general de la SIEM de Google Security Operations

Compatible con:

La SIEM de Google Security Operations es un servicio en la nube, creado como una capa especializada sobre infraestructura central de Google, diseñada para que las empresas retengan, analicen y y buscar en las enormes cantidades de seguridad y telemetría de red que generan. Google Security Operations normaliza, indexa, correlaciona y analiza los datos para proporcionar análisis y contexto instantáneos sobre la actividad riesgosa.

Google Security Operations te permite examinar la información de seguridad agregada para tu empresa, que se extenderá por meses o más. Usa Google Security Operations para en todos los dominios a los que se accede dentro de su empresa. Puedes acotar su búsqueda a cualquier recurso, dominio o dirección IP en particular para determinar si de que se haya producido un ataque.

Descripción general de la plataforma Google Security Operations

Descripción general de la plataforma de Google Security Operations

Recopilación de datos

Google Security Operations puede transferir numerosos tipos de telemetría de seguridad a través de una variedad de métodos, incluidos los siguientes:

  • Forwarder: componente de software liviano, implementado en la red del cliente, que admite syslog, captura de paquetes. y repositorios existentes de administración de registros o información y eventos de seguridad (SIEM).

  • APIs de transferencia: Son APIs que permiten que los registros se envíen directamente a la plataforma de Google Security Operations, lo que elimina la necesidad de hardware o software adicionales en los entornos de los clientes.

  • Integraciones de terceros: Integración con API de nube de terceros para facilitar la transferencia de registros, incluidas fuentes como Office 365 y Azure AD.

Análisis de datos

Las capacidades analíticas de Google Security Operations se proporcionan a los profesionales de la seguridad como una forma sencilla, y mantener la integridad de su aplicación. También se puede acceder a muchas de estas capacidades de manera programática a través de las APIs de Read. Google Security Operations les ofrece a los analistas una forma, cuando ven una amenaza potencial, para determinar qué es, qué está haciendo, si es importante y cuál es la mejor manera de responder.

Seguridad y cumplimiento

Como una capa privada especializada, compilada sobre la infraestructura central de Google, Google Security Operations hereda el procesamiento y el almacenamiento. de la infraestructura, así como el diseño de seguridad y las capacidades de esa infraestructura.

Como parte de su diseño de seguridad, Google Security Operations almacena las credenciales de los usuarios (por ejemplo, las credenciales que proporcionas para que un feed de Google Security Operations pueda transferir datos de registro desde una API de terceros) en Secret Manager.

Funciones de Google Security Operations

  • Análisis de registros sin procesar: Busca tus registros sin procesar sin analizar.
  • Expresiones regulares: Usa expresiones regulares para buscar registros sin procesar y sin analizar.

Vistas de la investigación

  • Estadísticas empresariales: Muestra los dominios y recursos que más necesitan investigación.
  • Vista de recursos: Investiga los recursos de tu empresa y determina si interactuaron o no con dominios sospechosos.
  • Vista de dirección IP: Investiga direcciones IP específicas dentro de tu empresa y el impacto que tienen en tus recursos.
  • Vista de hash: Busca e investiga archivos en función de su valor de hash.
  • Vista de dominios: Investiga dominios específicos de tu empresa y el impacto que tienen en tus recursos.
  • Vista del usuario: Investiga a los usuarios de tu empresa que podrían haberse visto afectados por eventos de seguridad.
  • Filtrado de procedimientos: Ajusta la información sobre un recurso, incluso por tipo de evento, fuente de registro, estado de conexión de red y dominio de nivel superior (TLD).

Información seleccionada

  • Bloques de estadísticas de recursos: Destaca los dominios y las alertas que posiblemente quieras investigar más a fondo.
  • Gráfico de prevalencia: Muestra la cantidad de dominios a los que se conectó un recurso durante un período específico.
  • Alertas de productos de seguridad populares.

Motor de detección

Puedes usar Google Security Operations Detection Engine para automatizar el proceso de búsqueda en tus datos por problemas de seguridad. Puedes especificar reglas para buscar todos los datos entrantes y le notificarán cuando aparezcan amenazas potenciales y conocidas en su empresa.

VirusTotal

Puedes iniciar VirusTotal desde Google Security Operations para investigar más a fondo un recurso, un dominio o una dirección IP. Para ello, haz clic en VT Context.