Google SecOps – Übersicht

Unterstützt in:

Google Security Operations ist ein Cloud-Dienst, der als spezialisierte Schicht auf der Google-Infrastruktur aufbaut und für Unternehmen entwickelt wurde, um die großen Mengen an Sicherheits- und Netzwerktelemetriedaten, die sie generieren, privat aufzubewahren, zu analysieren und zu durchsuchen.

Google SecOps normalisiert, indexiert, korreliert und analysiert die Daten, um schnelle Analysen und Kontext für riskante Aktivitäten zu bieten. Mit Google SecOps können Sie Bedrohungen erkennen, den Umfang und die Ursache dieser Bedrohungen untersuchen und Abhilfemaßnahmen mithilfe von vorgefertigten Integrationen mit Workflow-, Reaktions- und Orchestrierungsplattformen für Unternehmen bereitstellen.

Mit Google SecOps können Sie zusammengefasste Sicherheitsinformationen für Ihr Unternehmen prüfen. Dabei kann es mehrere Monate oder länger dauern. Mit Google SecOps können Sie in allen Domains suchen, auf die in Ihrem Unternehmen zugegriffen wird. Sie können Ihre Suche auf ein bestimmtes Asset, eine bestimmte Domain oder IP-Adresse eingrenzen, um festzustellen, ob es zu einem Sicherheitsvorfall gekommen ist.

Mit der Google SecOps-Plattform können Sicherheitsanalysten eine Sicherheitsbedrohung über ihren gesamten Lebenszyklus hinweg analysieren und eindämmen. Dazu stehen ihnen die folgenden Funktionen zur Verfügung:

  • Erhebung: Daten werden über Forwarder, Parser, Connectors und Webhooks in die Plattform aufgenommen.
  • Erkennung: Diese Daten werden zusammengefasst, mithilfe des Universal Data Model (UDM) normalisiert und mit Erkennungen und Threat Intelligence verknüpft.
  • Untersuchung: Bedrohungen werden durch Fallmanagement, Suche, Zusammenarbeit und kontextbezogene Analysen untersucht.
  • Reaktion: Sicherheitsanalysten können mithilfe automatisierter Playbooks und des Vorfallmanagements schnell reagieren und Lösungen bereitstellen.

Datenerhebung

Google SecOps kann zahlreiche Arten von Sicherheitstelemetrie über verschiedene Methoden aufnehmen, darunter:

  • Forwarder: Eine einfache Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird und Syslog, Packet Capture und vorhandene Datenrepositories für die Log-Verwaltung oder das Sicherheitsinformations- und Ereignismanagement (SIEM) unterstützt.

  • Ingestion APIs: APIs, mit denen Protokolle direkt an die Google SecOps-Plattform gesendet werden können. Dadurch ist keine zusätzliche Hardware oder Software in Kundenumgebungen erforderlich.

  • Einbindung von Drittanbieterlösungen: Einbindung in Cloud-APIs von Drittanbietern, um die Aufnahme von Protokollen zu erleichtern, einschließlich Quellen wie Office 365 und Azure AD.

Bedrohungsanalyse

Die Analysefunktionen von Google SecOps werden als browserbasierte Anwendung bereitgestellt. Viele dieser Funktionen sind auch programmatisch über Read APIs zugänglich. Mit Google SecOps können Analysten potenzielle Bedrohungen genauer untersuchen und die beste Reaktion darauf ermitteln.

Zusammenfassung der Google SecOps-Funktionen

In diesem Abschnitt werden einige der in Google SecOps verfügbaren Funktionen beschrieben.

  • UDM-Suche: Mit dieser Funktion können Sie in Ihrer Google SecOps-Instanz nach UDM-Ereignissen (Unified Data Model) und ‑Benachrichtigungen suchen.
  • Rohlog-Scan: Durchsuchen Sie Ihre unformatierten, nicht geparsten Logs.
  • Reguläre Ausdrücke: Sie können in Ihren unaufbereiteten, nicht geparsten Logs mit regulären Ausdrücken suchen.

Fallverwaltung

Verwandte Warnungen zu Fällen gruppieren, die Fallwarteschlange für die Triage und Priorisierung sortieren und filtern, Fälle zuweisen, an jedem Fall zusammenarbeiten, Fallprüfung und Berichterstellung.

Playbook-Designer

Playbooks erstellen, indem Sie vordefinierte Aktionen auswählen und per Drag-and-drop in den Playbook-Arbeitsbereich ziehen – ohne zusätzlichen Code. Außerdem können Sie mit Playbooks spezielle Ansichten für jeden Warnungstyp und jede SOC-Rolle erstellen. Im Case-Management werden nur die Daten angezeigt, die für einen bestimmten Benachrichtigungstyp und eine bestimmte Nutzerrolle relevant sind.

Graph Investigator

Visualisieren Sie, wer, was und wann bei einem Angriff passiert ist, identifizieren Sie Möglichkeiten für die Suche nach Bedrohungen, erfassen Sie das vollständige Bild und ergreifen Sie Maßnahmen.

Dashboard und Berichterstellung

Betriebsabläufe effektiv messen und verwalten, Stakeholdern den Wert demonstrieren, SOC-Messwerte und KPIs in Echtzeit im Blick behalten. Sie können integrierte Dashboards und Berichte verwenden oder eigene erstellen.

Integrierte Entwicklungsumgebung (Integrated Development Environment, IDE)

Sicherheitsteams mit Programmierkenntnissen können vorhandene Playbook-Aktionen ändern und verbessern, Code debuggen, neue Aktionen für vorhandene Integrationen erstellen und Integrationen entwickeln, die nicht auf dem Google Security Operations SOAR Marketplace verfügbar sind.

Ansichten für die Untersuchung

  • Asset-Ansicht: Untersuchen Sie Assets in Ihrem Unternehmen und prüfen Sie, ob sie mit verdächtigen Domains interagiert haben.
  • Ansicht „IP-Adresse“: Untersuchen Sie bestimmte IP-Adressen in Ihrem Unternehmen und die Auswirkungen, die sie auf Ihre Assets haben.
  • Hash-Ansicht: Dateien anhand ihres Hash-Werts suchen und untersuchen.
  • Domainansicht: Untersuchen Sie bestimmte Domains in Ihrem Unternehmen und die Auswirkungen, die sie auf Ihre Assets haben.
  • Nutzeransicht: Untersuchen Sie Nutzer in Ihrem Unternehmen, die möglicherweise von Sicherheitsereignissen betroffen waren.
  • Prozedurales Filtern: Sie können Informationen zu einem Asset optimieren, z. B. nach Ereignistyp, Protokollquelle, Status der Netzwerkverbindung und Top-Level-Domain (TLD).

Hervorgehobene Informationen

  • In den Asset-Insight-Blöcken werden die Domains und Benachrichtigungen hervorgehoben, die Sie sich möglicherweise genauer ansehen möchten.
  • Im Diagramm zur Häufigkeit wird die Anzahl der Domains angezeigt, mit denen ein Asset in einem bestimmten Zeitraum verbunden war.
  • Benachrichtigungen von anderen beliebten Sicherheitsprodukten.

Erkennungs-Engine

Mit der Google SecOps Detection Engine können Sie den Prozess der Suche nach Sicherheitsproblemen in Ihren Daten automatisieren. Sie können Regeln festlegen, um alle eingehenden Daten zu durchsuchen und sich benachrichtigen zu lassen, wenn potenzielle und bekannte Bedrohungen in Ihrem Unternehmen auftreten.

Zugriffssteuerung

Sie können sowohl vordefinierte Rollen verwenden als auch neue Rollen konfigurieren, um den Zugriff auf Datenklassen, Benachrichtigungen und Ereignisse zu steuern, die in Ihrer Google SecOps-Instanz gespeichert sind. Die Identitäts- und Zugriffsverwaltung bietet eine Zugriffssteuerung für Google SecOps.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten