Google Security Operations

Unterstützt in:

Google Security Operations ist ein Cloud-Dienst, der als spezielle Schicht auf der Google-Infrastruktur aufgebaut wurde. Er wurde für Unternehmen entwickelt, die die von ihnen generierten großen Mengen an Sicherheits- und Netzwerktelemetriedaten privat aufbewahren, analysieren und durchsuchen möchten.

Google Security Operations normalisiert, indexiert, korreliert und analysiert die Daten, um sofortige Analysen und Kontext zu riskanten Aktivitäten bereitzustellen. Mit Google Security Operations können Sie Bedrohungen erkennen, den Umfang und die Ursache dieser Bedrohungen untersuchen und mithilfe vordefinierter Integrationen mit Workflow-, Reaktions- und Orchestrierungsplattformen für Unternehmen Abhilfe schaffen.

Mit Google SecOps können Sie zusammengefasste Sicherheitsinformationen für Ihr Unternehmen speichern, suchen und prüfen. Dabei kann es mehrere Monate oder länger dauern. Mit Google Security Operations können Sie in allen Domains suchen, auf die in Ihrem Unternehmen zugegriffen wird. Sie können die Suche auf ein bestimmtes Asset, eine Domain oder eine IP-Adresse beschränken, um festzustellen, ob es zu einer Manipulation gekommen ist.

Mit der Google SecOps-Plattform können Sicherheitsanalysten Sicherheitsbedrohungen über ihren gesamten Lebenszyklus hinweg analysieren und beheben. Dazu stehen ihnen die folgenden Funktionen zur Verfügung:

  • Erhebung: Daten werden über Weiterleitungen, Parser, Connectors und Webhooks in die Plattform aufgenommen.
  • Erkennung: Diese Daten werden zusammengefasst, mit dem Universal Data Model (UDM) normalisiert und mit Erkennungen und Threat Intelligence verknüpft.
  • Untersuchung: Bedrohungen werden durch Fallverwaltung, Suche, Zusammenarbeit und kontextbezogene Analysen untersucht.
  • Reaktion: Sicherheitsanalysten können mithilfe automatisierter Playbooks und Vorfallmanagement schnell reagieren und Lösungen anbieten.

Datenerhebung

Google Security Operations kann zahlreiche Arten von Sicherheitstelemetriedaten auf unterschiedliche Weise aufnehmen, darunter:

  • Forwarder: Eine schlanke Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird und syslog, Paketerfassung und die vorhandene Protokollverwaltung oder SIEM-Datenspeicher (Security Information and Event Management) unterstützt.

  • Aufnahme-APIs: APIs, mit denen Protokolle direkt an die Google Security Operations-Plattform gesendet werden können, sodass keine zusätzliche Hardware oder Software in Kundenumgebungen erforderlich ist.

  • Drittanbieterintegrationen: Integration mit Cloud-APIs von Drittanbietern zur einfachen Aufnahme von Protokollen, einschließlich Quellen wie Office 365 und Azure AD.

Bedrohungsanalyse

Die Analysefunktionen von Google Security Operations werden als browserbasierte Anwendung bereitgestellt. Viele dieser Funktionen sind auch programmatisch über Lese-APIs zugänglich. Google Security Operations bietet Analysten die Möglichkeit, bei einer potenziellen Bedrohung weitere Untersuchungen durchzuführen und zu entscheiden, wie sie am besten darauf reagieren.

Zusammenfassung der Funktionen von Google Security Operations

In diesem Abschnitt werden einige der Funktionen von Google Security Operations beschrieben.

  • UDM-Suche: Damit können Sie UDM-Ereignisse (Unified Data Model) und -Benachrichtigungen in Ihrer Google Security Operations-Instanz finden.
  • Rohlog-Scan: Hier können Sie Ihre Rohlogs durchsuchen, die noch nicht geparst wurden.
  • Reguläre Ausdrücke: Sie können Ihre Rohlogs mit regulären Ausdrücken durchsuchen.

Fallverwaltung

Sie können ähnliche Benachrichtigungen in Fälle gruppieren, die Fallwarteschlange für die Triage und Priorisierung sortieren und filtern, Fälle zuweisen, gemeinsam an jedem Fall arbeiten, Fälle prüfen und Berichte erstellen.

Playbook-Designer

Sie können Playbooks erstellen, indem Sie vordefinierte Aktionen auswählen und per Drag-and-drop in den Playbook-Canvas ziehen, ohne zusätzliches Programmieren. Mit Playbooks können Sie auch spezielle Ansichten für jeden Benachrichtigungstyp und jede SOC-Rolle erstellen. In der Fallverwaltung werden nur die Daten angezeigt, die für einen bestimmten Benachrichtigungstyp und eine bestimmte Nutzerrolle relevant sind.

Graph Investigator

Visualisieren Sie das „Wer“, „Was“ und „Wann“ eines Angriffs, identifizieren Sie Möglichkeiten für die Bedrohungssuche, erhalten Sie ein vollständiges Bild und ergreifen Sie Maßnahmen.

Dashboards und Berichte

Betriebsabläufe effektiv messen und verwalten, Stakeholdern den Wert verdeutlichen, SOC-Messwerte und KPIs in Echtzeit im Blick behalten. Sie können vordefinierte Dashboards und Berichte verwenden oder eigene erstellen.

Integrierte Entwicklungsumgebung (Integrated Development Environment, IDE)

Sicherheitsteams mit Programmierkenntnissen können vorhandene Playbook-Aktionen ändern und verbessern, Code debuggen, neue Aktionen für vorhandene Integrationen erstellen und Integrationen erstellen, die nicht im SOAR Marketplace von Google Security Operations verfügbar sind.

Explorative Datenanalysen

  • Asset-Ansicht: Hier können Sie Assets in Ihrem Unternehmen prüfen und nachsehen, ob sie mit verdächtigen Domains interagiert haben.
  • Ansicht „IP-Adresse“: Hier können Sie bestimmte IP-Adressen in Ihrem Unternehmen untersuchen und ihre Auswirkungen auf Ihre Assets ermitteln.
  • Hash-Ansicht: Hier können Sie Dateien anhand ihres Hash-Werts suchen und untersuchen.
  • Domainansicht: Hier können Sie bestimmte Domains in Ihrem Unternehmen untersuchen und herausfinden, welche Auswirkungen sie auf Ihre Assets haben.
  • Nutzeransicht: Hier können Sie Nutzer in Ihrem Unternehmen untersuchen, die möglicherweise von Sicherheitsereignissen betroffen sind.
  • Prozessorientierte Filterung: Sie können Informationen zu einem Asset optimieren, z. B. nach Ereignistyp, Protokollquelle, Netzwerkverbindungsstatus und Top-Level-Domain (TLD).

Hervorgehobene Informationen

  • In den Asset-Analyseblöcken werden die Domains und Benachrichtigungen hervorgehoben, die Sie genauer untersuchen möchten.
  • Im Diagramm „Prävalenz“ sehen Sie die Anzahl der Domains, mit denen ein Asset in einem bestimmten Zeitraum verbunden war.
  • Benachrichtigungen von anderen beliebten Sicherheitsprodukten

Erkennungs-Engine

Mit der Detection Engine von Google Security Operations können Sie die Suche nach Sicherheitsproblemen in Ihren Daten automatisieren. Sie können Regeln festlegen, um alle eingehenden Daten zu durchsuchen und Sie zu benachrichtigen, wenn potenzielle und bekannte Bedrohungen in Ihrem Unternehmen auftreten.

Zugriffssteuerung

Sie können sowohl vordefinierte Rollen verwenden als auch neue Rollen konfigurieren, um den Zugriff auf Datenklassen, Benachrichtigungen und Ereignisse zu steuern, die in Ihrer Google Security Operations-Instanz gespeichert sind. Die Identitäts- und Zugriffsverwaltung bietet eine Zugriffssteuerung für Google Security Operations.