Panoramica di Google Security Operations SIEM

Google Security Operations SIEM è un servizio cloud, creato come livello specializzato sull'infrastruttura di base di Google, progettato per consentire alle aziende di conservare, analizzare e cercare in privato le enormi quantità di dati di telemetria di sicurezza e di rete che generano. Google Security Operations normalizza, indicizza, correla e analizza i dati per fornire analisi e contesto istantanei sulle attività rischiose.

Google Security Operations ti consente di esaminare le informazioni di sicurezza aggregate per la tua azienda risalenti a mesi o più. Utilizza Google Security Operations per eseguire ricerche in tutti i domini a cui accedi all'interno della tua azienda. Puoi restringere la ricerca a una risorsa, un dominio o un indirizzo IP specifico per determinare se si è verificato un compromesso.

Panoramica della piattaforma Google Security Operations

Raccolta dei dati

Google Security Operations può importare numerosi tipi di telemetria sulla sicurezza tramite una serie di metodi, tra cui:

• Inoltra: un componente software leggero, implementato nella rete del cliente, che supporta syslog, l'acquisizione di pacchetti e i repository di dati esistenti per la gestione dei log o la gestione degli eventi e delle informazioni di sicurezza (SIEM).

• API di importazione: API che consentono di inviare i log direttamente alla piattaforma Google Security Operations, eliminando la necessità di hardware o software aggiuntivi negli ambienti dei clienti.

• Integrazioni di terze parti: l'integrazione con API cloud di terze parti per facilitare l'importazione dei log, incluse origini come Office 365 e Azure AD.

Analisi dei dati

Le funzionalità di analisi di Google Security Operations vengono fornite ai professionisti della sicurezza come un'applicazione semplice basata su browser. Molte di queste funzionalità sono accessibili anche a livello di programmazione tramite le API di lettura. Quando rilevano una potenziale minaccia, Google Security Operations offre agli analisti un modo per determinare di che si tratta, cosa sta facendo, se è importante e come rispondere al meglio.

Sicurezza e conformità

In qualità di livello privato specializzato costruito sull'infrastruttura di base di Google, Google Security Operations eredita le funzionalità di calcolo e archiviazione, nonché il design e le funzionalità di sicurezza di quell'infrastruttura.

Nell'ambito del proprio design di sicurezza, Google Security Operations archivia le credenziali utente (ad esempio, le credenziali che fornisci in modo che un feed di Google Security Operations possa importare i dati dei log da un'API di terze parti) in Secret Manager.

Funzionalità di Google Security Operations

Cerca

• Scansione dei log non elaborati: cerca i log non elaborati non elaborati.
• Espressioni regolari: cerca nei log non elaborati non elaborati utilizzando le espressioni regolari.

Visualizzazioni di indagine

• Approfondimenti aziendali: mostra i domini e gli asset che richiedono maggiori accertamenti.
• Visualizzazione asset: esamina gli asset all'interno della tua azienda e verifica se hanno interagito o meno con domini sospetti.
• Visualizzazione Indirizzi IP: esamina indirizzi IP specifici all'interno della tua azienda e il loro impatto sulle risorse.
• Visualizzazione hash: cerca ed esamina i file in base al loro valore hash.
• Visualizzazione dei domini: esamina domini specifici all'interno della tua azienda e il loro impatto sugli asset.
• Visualizzazione utente: esamina gli utenti della tua azienda che potrebbero essere stati interessati da eventi di sicurezza.
• Filtri procedurali: perfeziona le informazioni su un asset, ad esempio in base al tipo di evento, all'origine del log, allo stato della connessione di rete e al dominio di primo livello (TLD).

Informazioni selezionate

• Blocchi di informazioni sulle risorse: evidenzia i domini e gli avvisi che potresti voler esaminare ulteriormente.
• Grafico di prevalenza: mostra il numero di domini a cui un asset si è connesso in un determinato periodo di tempo.
• Allerte di prodotti di sicurezza popolari.

Detection Engine

Puoi utilizzare il motore di rilevamento di Google Security Operations per automatizzare il processo di ricerca di problemi di sicurezza nei tuoi dati. Puoi specificare regole per cercare tutti i dati in entrata e informarti quando vengono rilevate minacce potenziali e note nella tua azienda.

VirusTotal

Puoi avviare VirusTotal da Google Security Operations per eseguire ulteriori indagini su una risorsa, un dominio o un indirizzo IP facendo clic su VT Context (Contesto VT).