Google Security Operations SIEM 概览

Google Security Operations SIEM 是一种云服务，作为核心 Google 基础架构之上的专用层构建，旨在让企业以私密方式保留、分析和搜索它们生成的海量安全和网络遥测数据。Google Security Operations 对数据进行归一化、编入索引、关联和分析，以提供有关有风险的活动的即时分析和背景信息。

借助 Google Security Operations，您可以检查企业过去几个月或更长时间的汇总安全信息。使用 Google Security Operations 在您的企业内部访问的所有网域中执行搜索。您可以将搜索范围缩小到任何特定的资产、网域或 IP 地址，以确定是否发生了任何入侵。

Google Security Operations 平台概览

数据收集

Google Security Operations 可以通过多种方法注入多种安全遥测类型，包括：

• 转发器：一种部署在客户网络中的轻量级软件组件，支持 Syslog、数据包捕获以及现有日志管理或安全信息与事件管理 (SIEM) 数据存储库。

• 提取 API：允许将日志直接发送到 Google Security Operations 平台的 API，无需在客户环境中使用其他硬件或软件。

• 第三方集成：与第三方云 API 集成，以便提取日志，包括 Office 365 和 Azure AD 等来源。

数据分析

Google Security Operations 的分析功能以简单的浏览器形式提供给安全专业人员。其中许多功能也可通过 Read API 以编程方式访问。Google Security Operations 为分析师提供一种方法，当他们看到潜在威胁时，即可确定其威胁、所执行操作、重要程度以及最佳响应方式。

安全与合规性

作为在 Google 核心基础架构之上构建的专用私有层，Google Security Operations 继承了计算和存储功能以及该基础架构的安全性设计和功能。

根据其安全设计，Google SecOps 会将用户凭据（例如，您提供的凭据，以便 Google SecOps Feed 可以从第三方 API 注入日志数据）存储在 Secret Manager 中。

Google Security Operations 功能

搜索

• 原始日志扫描：搜索未解析的原始日志。
• 正则表达式：使用正则表达式搜索未解析的原始日志。

调查视图

• “资产”视图：调查企业内的资产，以及资产是否与可疑网域互动。
• “IP 地址”视图：调查企业内的特定 IP 地址及其对资产的影响。
• “哈希”视图：根据文件的哈希值搜索和调查文件。
• “网域”视图：调查企业中的特定网域及其对资产的影响。
• “用户”视图：调查您企业中可能受安全性事件影响的用户。
• 过程过滤：微调有关资产的信息，包括按事件类型、日志源、网络连接状态和顶级域名 (TLD)。

精选信息

• 资产数据洞察块：突出显示您可能需要进一步调查的网域和提醒。
• 普及率图表：显示指定时间段内资产关联的网域数量。 ### Detection Engine 您可以使用 Google Security Operations Detection Engine 自动搜索数据以查找安全问题。您可以指定规则以搜索所有传入数据，并在您的企业出现潜在和已知威胁时通知您。

VirusTotal

您可以从 Google Security Operations 启动 VirusTotal，点击 VT Context（VT 上下文）进一步调查资产、网域或 IP 地址。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。