Visão geral do SIEM do Google Security Operations

Compatível com:

O SIEM de operações de segurança do Google é um serviço em nuvem criado como uma camada especializada na infraestrutura principal do Google, projetado para que as empresas retenham, analisem e pesquisem de forma privada as grandes quantidades de telemetria de segurança e de rede geradas. O Google Security Operations normaliza, indexa, correlaciona e analisa os dados para fornecem análise instantânea e contexto sobre atividades arriscadas.

Com as Operações de segurança do Google, você pode analisar as informações de segurança agregadas para sua empresa por meses ou mais. Use as Operações de segurança do Google para pesquisar em todos os domínios acessados na empresa. É possível restringir a pesquisa a qualquer recurso, domínio ou endereço IP específico para determinar se houve comprometimento.

Visão geral da plataforma Google Security Operations

Visão geral da plataforma Google Security Operations

Coleta de dados

As Operações de segurança do Google podem ingerir vários tipos de telemetria de segurança por meio de uma variedade de métodos, incluindo:

  • Encaminhador: um componente de software leve, implantado na rede do cliente, que oferece suporte a syslog, captura de pacotes, e os repositórios de dados de gerenciamento de registros ou de gerenciamento de eventos e informações de segurança (SIEM).

  • APIs de ingestão: APIs que permitem o envio de registros diretamente para a plataforma Google Security Operations, eliminando a necessidade de hardware ou software adicional nos ambientes do cliente.

  • Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo fontes como o Office 365 e o Azure AD.

Análise de dados

Os recursos analíticos das Operações de segurança do Google são fornecidos aos profissionais de segurança como um serviço simples, baseado no navegador para o aplicativo. Muitos desses recursos também estão disponíveis de maneira programática pelas APIs Read. As Operações de segurança do Google oferecem aos analistas uma forma, quando veem uma possível ameaça, de determinar o que é, o que está fazendo se ele é importante e qual é a melhor forma de responder.

Segurança e compliance

Como uma camada privada especializada criada sobre a infraestrutura principal do Google, as Operações de segurança do Google herdam a computação e o armazenamento bem como o design de segurança e os recursos dessa infraestrutura.

Como parte do design de segurança, as Operações de segurança do Google armazenam credenciais de usuários no Secret Manager, por exemplo, credenciais fornecidas para que um feed de Operações de Segurança do Google possa processar dados de registro de uma API de terceiros.

Recursos do Google Security Operations

  • Varredura de registro bruto: pesquise seus registros brutos não analisados.
  • Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.

Visualizações investigativas

  • Insights corporativos: exibe os domínios e recursos que mais precisam ser investigados.
  • Visualização de recursos: investigue os recursos da sua empresa e se eles interagiram ou não com domínios suspeitos.
  • Visualização de endereço IP: investigue endereços IP específicos na sua empresa e o impacto deles nos seus recursos.
  • Visualização de hash: pesquise e investigue arquivos com base no valor de hash.
  • Visualização de domínio: investigue domínios específicos na sua empresa e o impacto que eles têm nos ativos.
  • Visualização do usuário: investigue os usuários da empresa que podem ter sido afetados por ocorrências de segurança.
  • Filtragem processual: ajuste as informações sobre um ativo, inclusive por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).

Informações selecionadas

  • Blocos de insights de recursos: destaca os domínios e alertas que você pode querer investigar mais.
  • Gráfico de prevalência: mostra o número de domínios aos quais um recurso se conectou em um período especificado.
  • Alertas de produtos de segurança conhecidos.

Mecanismo de detecção

Você pode usar o mecanismo de detecção do Google Security Operations para automatizar o processo de pesquisa de problemas de segurança nos seus dados. Você pode especificar regras para pesquisar todos os dados recebidos e notificar você quando ameaças potenciais e conhecidas aparecerem na sua empresa.

VirusTotal

Para iniciar o VirusTotal nas Operações de segurança do Google e investigar um recurso, domínio ou endereço IP, clique em Contexto do VT.