Google Security Operations SIEM 概览

支持的平台:

Google Security Operations SIEM 是一种云服务,作为核心 Google 基础架构之上的专用层构建,旨在让企业以私密方式保留、分析和搜索它们生成的海量安全和网络遥测数据。Google 安全运营对数据进行标准化、编入索引、关联和分析,以提供有关有风险的活动的即时分析和背景信息。

借助 Google 安全运营中心,您可以检查企业过去几个月或更长时间的汇总安全信息。使用 Google 安全运维在您的企业内部访问的所有网域中执行搜索。您可以将搜索范围缩小到任何特定的资产、网域或 IP 地址,以确定是否发生了任何入侵。

Google Security Operations 平台概览

Google Security Operations 平台概览

数据收集

Google Security Operations 可以通过多种方法注入多种安全遥测类型,包括:

  • 转发器:一种部署在客户网络中的轻量级软件组件,支持 Syslog、数据包捕获以及现有日志管理或安全信息与事件管理 (SIEM) 数据存储库。

  • 提取 API:允许将日志直接发送到 Google Security Operations 平台的 API,无需在客户环境中使用其他硬件或软件。

  • 第三方集成:与第三方云 API 集成,以便提取日志,包括 Office 365 和 Azure AD 等来源。

数据分析

Google Security Operations 的分析功能以简单的浏览器形式提供给安全专业人员。其中许多功能也可通过 Read API 以编程方式访问。Google Security Operations 为分析师提供了一种方法,当他们看到潜在威胁时,即可确定其威胁、所执行操作、重要程度以及最佳响应方式。

安全与合规性

作为在 Google 核心基础架构之上构建的专用私有层,Google 安全运营中心继承了计算和存储功能以及该基础架构的安全设计和功能。

作为其安全设计的一部分,Google 安全运营团队会在 Secret Manager 中存储用户凭据(例如,您提供的凭据,以便 Google 安全运营团队 Feed 可以从第三方 API 注入日志数据)。

Google Security Operations 功能

  • 原始日志扫描:搜索未解析的原始日志。
  • 正则表达式:使用正则表达式搜索未解析的原始日志。

调查视图

  • 企业数据洞察:显示最需要调查的网域和资产。
  • “资产”视图:调查企业内的资产,以及资产是否与可疑网域互动。
  • “IP 地址”视图:调查企业内的特定 IP 地址及其对资产的影响。
  • “哈希”视图:根据文件的哈希值搜索和调查文件。
  • “网域”视图:调查企业中的特定网域及其对资产的影响。
  • “用户”视图:调查您企业中可能受安全性事件影响的用户。
  • 过程过滤:微调有关资产的信息,包括按事件类型、日志源、网络连接状态和顶级域名 (TLD)。

精选信息

  • 资产数据洞察块:突出显示您可能需要进一步调查的网域和提醒。
  • 普及率图表:显示指定时间段内资产关联的网域数量。
  • 来自热门安全产品的提醒。

检测引擎

您可以使用 Google Security Operations Detection Engine 自动搜索数据以查找安全问题。您可以指定规则以搜索所有传入数据,并在您的企业出现潜在和已知威胁时通知您。

VirusTotal

您可以从 Google 安全运营中启动 VirusTotal,然后点击 VT Context 进一步调查资产、网域或 IP 地址。