Visão geral do SIEM do Google Security Operations

O SIEM do Google Security Operations é um serviço de nuvem criado como uma camada especializada sobre a infraestrutura principal do Google. Ele foi projetado para que as empresas retenham, analisem e pesquisem de forma privada as grandes quantidades de telemetria de segurança e rede que geram. O Google Security Operations normaliza, indexa, correlaciona e analisa os dados para fornecer análise instantânea e contexto sobre atividades de risco.

Com o Google Security Operations, você pode examinar as informações de segurança agregadas da sua empresa por meses ou mais. Use o Google Security Operations para pesquisar em todos os domínios acessados na sua empresa. Você pode restringir sua pesquisa a um recurso, domínio ou endereço IP específico para determinar se houve alguma violação.

Visão geral da plataforma Google Security Operations

Coleta de dados

O Google Security Operations pode ingerir vários tipos de telemetria de segurança por vários métodos, incluindo:

• Encaminhador: um componente de software leve, implantado na rede do cliente, que oferece suporte a syslog, captura de pacotes e repositórios de dados de gerenciamento de registros ou gerenciamento de eventos e informações de segurança (SIEM) atuais.

• APIs de ingestão: APIs que permitem o envio de registros diretamente para a plataforma Google Security Operations, eliminando a necessidade de hardware ou software adicional nos ambientes dos clientes.

• Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo fontes como o Office 365 e o Azure AD.

Análise de dados

Os recursos analíticos do Google Security Operations são oferecidos aos profissionais de segurança como um aplicativo simples baseado em navegador. Muitos desses recursos também estão disponíveis de maneira programática pelas APIs de leitura. O Google Security Operations oferece aos analistas uma maneira de determinar o que é uma possível ameaça, o que ela está fazendo, se é importante e qual a melhor forma de responder.

Segurança e compliance

Como uma camada especializada e privada criada sobre a infraestrutura principal do Google, o Google Security Operations herda recursos de computação e armazenamento, além do design e das capacidades de segurança dessa infraestrutura.

Como parte do design de segurança, o Google SecOps armazena credenciais de usuário (por exemplo, credenciais fornecidas para que um feed do Google SecOps possa ingerir dados de registro de uma API de terceiros) no Secret Manager.

Recursos do Google Security Operations

Pesquisar

• Verificação de registros brutos: pesquise seus registros brutos não analisados.
• Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.

Visualizações de análise

• Visualização de recursos: investigue os recursos da sua empresa e se eles interagiram ou não com domínios suspeitos.
• Visualização de endereço IP: investigue endereços IP específicos na sua empresa e o impacto deles nos seus recursos.
• Visualização de hash: pesquise e investigue arquivos com base no valor de hash.
• Visualização de domínio: investigue domínios específicos na sua empresa e o impacto deles nos seus recursos.
• Visualização do usuário: investigue usuários na sua empresa que podem ter sido afetados por eventos de segurança.
• Filtragem processual: ajuste as informações sobre um recurso, incluindo por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).

Informações selecionadas

• Blocos de insights de recursos: destacam os domínios e alertas que você pode querer investigar mais a fundo.
• Gráfico de prevalência: mostra o número de domínios a que um recurso se conectou em um período especificado. ### Detection Engine Use o Detection Engine do Google Security Operations para automatizar o processo de pesquisa nos seus dados em busca de problemas de segurança. É possível especificar regras para pesquisar todos os dados recebidos e notificar você quando ameaças potenciais e conhecidas aparecerem na sua empresa.

VirusTotal

Clique em Contexto do VT para iniciar o VirusTotal nas Operações de segurança do Google e investigar melhor um recurso, domínio ou endereço IP.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.