Descripción general de Google SecOps
Google Security Operations es un servicio en la nube, creado como una capa especializada sobre la infraestructura de Google, diseñado para que las empresas conserven, analicen y busquen de forma privada las grandes cantidades de telemetría de seguridad y de red que generan.
El equipo de Google SecOps normaliza, indexa, correlaciona y analiza los datos para proporcionar análisis y contexto instantáneos sobre la actividad riesgosa. Google SecOps se puede usar para detectar amenazas, investigar su alcance y causa, y proporcionar soluciones con integraciones prediseñadas con plataformas de flujo de trabajo, respuesta y orquestación empresariales.
Google SecOps te permite examinar la información de seguridad agregada de tu empresa durante meses o más. Usa Google SecOps para buscar en todos los dominios a los que se accede dentro de tu empresa. Puedes limitar tu búsqueda a cualquier activo, dominio o dirección IP específicos para determinar si se produjo alguna vulneración.
La plataforma de Google SecOps permite a los analistas de seguridad analizar y mitigar una amenaza de seguridad durante todo su ciclo de vida con las siguientes capacidades:
- Recopilación: Los datos se transfieren a la plataforma mediante forwarders, analizadores, conectores y webhooks.
- Detección: Estos datos se agregan, se normalizan con el modelo universal de datos (UDM) y se vinculan a las detecciones y a la inteligencia sobre amenazas.
- Investigación: Las amenazas se investigan a través de la administración de casos, la búsqueda, la colaboración y el análisis contextual.
- Respuesta: Los analistas de seguridad pueden responder rápidamente y brindar soluciones con guías automatizadas y administración de incidentes.
Recopilación de datos
Google SecOps puede transferir numerosos tipos de telemetría de seguridad a través de diversos métodos, incluidos los siguientes:
Reenviador: Es un componente de software ligero que se implementa en la red del cliente y admite syslog, captura de paquetes y repositorios de datos existentes de administración de registros o de administración de eventos e información de seguridad (SIEM).
APIs de transferencia: APIs que permiten enviar registros directamente a la plataforma de SecOps de Google, lo que elimina la necesidad de hardware o software adicional en los entornos de los clientes.
Integraciones de terceros: Integración con APIs de la nube de terceros para facilitar la transferencia de registros, incluidas fuentes como Office 365 y Azure AD.
Análisis de amenazas
Las capacidades analíticas de Google SecOps se ofrecen como una aplicación basada en el navegador. Muchas de estas capacidades también están disponibles de forma programática a través de las APIs de lectura. Google SecOps les brinda a los analistas una forma de investigar más a fondo y determinar la mejor manera de responder cuando ven una amenaza potencial.
Resumen de las funciones de Google SecOps
En esta sección, se describen algunas de las funciones disponibles en Google SecOps.
Buscar
- Búsqueda en el UDM: Te permite encontrar eventos y alertas del modelo de datos unificado (UDM) en tu instancia de Google SecOps.
- Análisis de registros sin procesar: Busca en tus registros sin procesar sin analizar.
- Expresiones regulares: Busca en tus registros sin analizar sin procesar con expresiones regulares.
Administración de casos
Agrupa alertas relacionadas en casos, ordena y filtra la cola de casos para su clasificación y priorización, asigna casos, colabora en cada uno y crea informes y auditorías.
Diseñador de guías
Para crear guías, solo tienes que seleccionar acciones predefinidas y arrastrarlas y soltarlas en el panel sin necesidad de codificación adicional. Las guías también te permiten crear vistas específicas para cada tipo de alerta y cada rol del SOC. La administración de casos solo presenta los datos pertinentes para un tipo de alerta y un rol de usuario específicos.
Investigador de gráficos
Visualiza el quién, qué y cuándo de un ataque, identifica oportunidades para la búsqueda de amenazas, captura el panorama completo y toma medidas.
Informes y panel
Mide y gestiona eficazmente las operaciones, demuestra valor a las partes interesadas y realiza seguimientos en tiempo real de las métricas y los KPI del SOC. Puedes usar los informes y paneles integrados, o bien crear los tuyos.
Entorno de desarrollo integrado (IDE)
Los equipos de seguridad con habilidades de programación pueden modificar y mejorar las acciones de las guías existentes, depurar código, crear acciones nuevas para las integraciones existentes y crear integraciones que no estén disponibles en el mercado de SOAR de Google Security Operations.
Vistas de investigación
- Vista de recursos: Investiga los recursos de tu empresa y si interactuaron o no con dominios sospechosos.
- Vista de direcciones IP: Investiga direcciones IP específicas dentro de tu empresa y el impacto que tienen en tus activos.
- Vista de hash: Busca e investiga archivos según su valor de hash.
- Vista del dominio: Investiga dominios específicos dentro de tu empresa y el impacto que tienen en tus activos.
- Vista del usuario: Investiga a los usuarios de tu empresa que podrían haberse visto afectados por eventos de seguridad.
- Filtrado según el procedimiento: Ajusta la información sobre un activo, incluso por tipo de evento, fuente de registro, estado de conexión de red y dominio de nivel superior (TLD).
Información destacada
- Los bloques de estadísticas de recursos destacan los dominios y las alertas que tal vez quieras investigar más a fondo.
- El gráfico de prevalencia muestra la cantidad de dominios a los que se conectó un activo durante un período especificado.
- Alertas de otros productos de seguridad populares
Motor de detección
Puedes usar el motor de detección de Google SecOps para automatizar el proceso de búsqueda de problemas de seguridad en tus datos. Puedes especificar reglas para buscar en todos tus datos entrantes y recibir notificaciones cuando aparezcan amenazas potenciales y conocidas en tu empresa.
Control de acceso
Puedes emplear roles predefinidos y configurar roles nuevos para controlar el acceso a las clases de datos, las alertas y los eventos almacenados en tu instancia de Google SecOps. Identity and Access Management proporciona control de acceso para Google SecOps.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.