Présentation de la solution SIEM pour les opérations de sécurité Google

Compatible avec:

Le SIEM Google Security Operations est un service cloud, conçu comme une couche spécialisée sur l'infrastructure de base de Google. Il permet aux entreprises de conserver, d'analyser et de rechercher de manière privée les quantités massives de télémétrie de sécurité et de réseau qu'elles génèrent. Google Security Operations normalise, indexe, corrèle et analyse les données pour fournir une analyse instantanée et du contexte sur les activités à risque.

Google Security Operations vous permet d'examiner les informations de sécurité agrégées de votre entreprise qui remontent à plusieurs mois ou plus. Utilisez Google Security Operations pour effectuer des recherches dans tous les domaines auxquels votre entreprise accède. Vous pouvez affiner votre recherche à un élément, un domaine ou une adresse IP spécifique pour déterminer si une compromission a eu lieu.

Présentation de la plate-forme Google Security Operations

Présentation de la plate-forme Google Security Operations

Collecte des données

Google Security Operations peut ingérer de nombreux types de télémétrie de sécurité via différentes méthodes, y compris les suivantes:

  • Forwarder: composant logiciel léger, déployé sur le réseau du client, compatible avec syslog, la capture de paquets et les dépôts de données de gestion des journaux ou de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management) existants.

  • API d'ingestion: API permettant d'envoyer des journaux directement à la plate-forme Google Security Operations, ce qui élimine le besoin de matériel ou de logiciels supplémentaires dans les environnements client.

  • Intégrations tierces: intégration aux API cloud tierces pour faciliter l'ingestion des journaux, y compris des sources telles qu'Office 365 et Azure AD.

Analyse des données

Les fonctionnalités d'analyse de Google Security Operations sont proposées aux professionnels de la sécurité sous la forme d'une application simple basée sur un navigateur. Bon nombre de ces fonctionnalités sont également accessibles de manière automatisée via les API Read. Google Security Operations permet aux analystes de déterminer, lorsqu'ils détectent une menace potentielle, de quoi il s'agit, ce qu'elle fait, si elle est importante et comment y répondre au mieux.

Sécurité et conformité

En tant que couche privée spécialisée construite sur l'infrastructure principale de Google, Google Security Operations hérite des fonctionnalités de calcul et de stockage, ainsi que de la conception et des fonctionnalités de sécurité de cette infrastructure.

Dans le cadre de sa conception de sécurité, Google Security Operations stocke les identifiants utilisateur (par exemple, les identifiants que vous fournissez pour qu'un flux Google Security Operations puisse ingérer des données de journal à partir d'une API tierce) dans Secret Manager.

Fonctionnalités de Google Security Operations

  • Analyse des journaux bruts: recherchez dans vos journaux bruts non analysés.
  • Expressions régulières: recherchez dans vos journaux bruts non analysés à l'aide d'expressions régulières.

Vues d'enquête

  • Insights pour les entreprises: affiche les domaines et les composants qui nécessitent le plus d'investigation.
  • Vue des composants: examinez les composants de votre entreprise et vérifiez s'ils ont interagi avec des domaines suspects.
  • Vue "Adresses IP" : examinez les adresses IP spécifiques de votre entreprise et leur impact sur vos composants.
  • Vue "Hachage" : recherchez et examinez les fichiers en fonction de leur valeur de hachage.
  • Vue par domaine: examinez des domaines spécifiques de votre entreprise et leur impact sur vos composants.
  • Vue utilisateur: examinez les utilisateurs de votre entreprise qui ont peut-être été affectés par des événements de sécurité.
  • Filtrage procédural: affinez les informations sur un composant, y compris par type d'événement, source de journal, état de la connexion réseau et domaine de premier niveau (TLD).

Informations sélectionnées

  • Blocs d'insights sur les composants: met en évidence les domaines et les alertes que vous souhaitez examiner plus en détail.
  • Graphique de prévalence: indique le nombre de domaines auxquels un composant s'est connecté sur une période donnée.
  • Alertes provenant de produits de sécurité populaires

Moteur de détection

Vous pouvez utiliser le moteur de détection Google Security Operations pour automatiser la recherche de problèmes de sécurité dans vos données. Vous pouvez spécifier des règles pour rechercher toutes vos données entrantes et vous informer lorsque des menaces potentielles et connues apparaissent dans votre entreprise.

VirusTotal

Vous pouvez lancer VirusTotal depuis Google Security Operations pour examiner plus en détail un composant, un domaine ou une adresse IP en cliquant sur Contexte VT.