Descripción general de Google SecOps

Disponible en:

Google Security Operations es un servicio en la nube creado como una capa especializada sobre la infraestructura de Google. Está diseñado para que las empresas puedan conservar, analizar y buscar de forma privada las grandes cantidades de telemetría de seguridad y de red que generan.

Google SecOps normaliza, indexa, correlaciona y analiza los datos para proporcionar un análisis instantáneo y contexto de la actividad peligrosa. Google SecOps se puede usar para detectar amenazas, investigar el alcance y la causa de esas amenazas, y proporcionar soluciones mediante integraciones precompiladas con plataformas de flujo de trabajo, respuesta y orquestación empresariales.

Google SecOps te permite examinar la información de seguridad agregada de tu empresa durante meses o más tiempo. Usa Google SecOps para buscar en todos los dominios a los que se ha accedido en tu empresa. Puedes acotar la búsqueda a cualquier recurso, dominio o dirección IP específicos para determinar si se ha producido alguna vulneración.

La plataforma de Google SecOps permite a los analistas de seguridad analizar y mitigar una amenaza de seguridad durante todo su ciclo de vida mediante las siguientes funciones:

  • Recogida: los datos se ingieren en la plataforma mediante reenviadores, analizadores, conectores y webhooks.
  • Detección: estos datos se agregan, se normalizan mediante el modelo de datos universal (UDM) y se vinculan a detecciones e inteligencia de amenazas.
  • Investigación: las amenazas se investigan mediante la gestión de casos, la búsqueda, la colaboración y las analíticas contextuales.
  • Respuesta: los analistas de seguridad pueden responder rápidamente y ofrecer soluciones mediante guías de procedimientos automatizadas y gestión de incidentes.

Recogida de datos

Google SecOps puede ingerir numerosos tipos de telemetría de seguridad mediante diversos métodos, entre los que se incluyen los siguientes:

  • Reenviador: un componente de software ligero que se implementa en la red del cliente y que admite syslog, captura de paquetes y repositorios de datos de gestión de registros o de gestión de información y eventos de seguridad (SIEM).

  • APIs de ingesta: APIs que permiten enviar registros directamente a la plataforma de Google SecOps, lo que elimina la necesidad de hardware o software adicional en los entornos de los clientes.

  • Integraciones de terceros: integración con APIs de nubes de terceros para facilitar la ingesta de registros, incluidas fuentes como Office 365 y Azure AD.

Análisis de amenazas

Las funciones analíticas de Google SecOps se ofrecen como una aplicación basada en navegador. Muchas de estas funciones también se pueden usar de forma programática a través de las APIs de lectura. Google SecOps ofrece a los analistas una forma de investigar más a fondo y determinar la mejor manera de responder cuando detectan una posible amenaza.

Resumen de las funciones de Google SecOps

En esta sección se describen algunas de las funciones disponibles en Google SecOps.

  • Búsqueda de UDM: te permite encontrar eventos y alertas del modelo de datos unificado (UDM) en tu instancia de Google SecOps.
  • Análisis de registros sin procesar: busca en tus registros sin procesar.
  • Expresiones regulares: busca en tus registros sin analizar sin formato mediante expresiones regulares.

Gestión de casos

Agrupa las alertas relacionadas en casos, ordena y filtra la cola de casos para clasificarlos y priorizarlos, asigna casos, colabora en todos los casos, audita los casos y genera informes.

Diseñador de guías

Crea guías seleccionando acciones predefinidas y arrastrándolas al lienzo de la guía sin necesidad de escribir código adicional. Los manuales de procedimientos también te permiten crear vistas específicas para cada tipo de alerta y cada rol del centro de operaciones de seguridad. Gestión de casos solo muestra los datos relevantes para un tipo de alerta y un rol de usuario específicos.

Investigador de gráficos

Visualiza quién, qué y cuándo se produce un ataque, identifica oportunidades de búsqueda de amenazas, hazte una idea completa de la situación y toma medidas.

Panel e informes

Mide y gestiona las operaciones de forma eficaz, demuestra el valor a las partes interesadas y monitoriza las métricas y los KPIs del SOC en tiempo real. Puedes usar los paneles de control e informes predefinidos o crear los tuyos propios.

Entorno de desarrollo integrado (IDE)

Los equipos de seguridad con conocimientos de programación pueden modificar y mejorar las acciones de las guías, depurar código, crear nuevas acciones para las integraciones y crear integraciones que no estén disponibles en el mercado de SOAR de Google Security Operations.

Vistas de investigación

  • Vista de recursos: investiga los recursos de tu empresa y si han interactuado con dominios sospechosos.
  • Vista Dirección IP: investiga direcciones IP específicas de tu empresa y el impacto que tienen en tus recursos.
  • Vista de hash: busca e investiga archivos en función de su valor de hash.
  • Vista de dominio: investiga dominios específicos de tu empresa y el impacto que tienen en tus recursos.
  • Vista de usuario: investiga a los usuarios de tu empresa que puedan haberse visto afectados por eventos de seguridad.
  • Filtrado por procedimientos: ajusta la información sobre un recurso, como el tipo de evento, la fuente de registro, el estado de la conexión de red y el dominio de nivel superior (TLD).

Información destacada

  • Los bloques de estadísticas de recursos destacan los dominios y las alertas que te pueden interesar para investigar más a fondo.
  • El gráfico de prevalencia muestra el número de dominios a los que se ha conectado un recurso durante un periodo específico.
  • Alertas de otros productos de seguridad populares.

Motor de detección

Puedes usar el motor de detección de Google SecOps para automatizar el proceso de búsqueda de problemas de seguridad en tus datos. Puedes especificar reglas para buscar en todos tus datos entrantes y recibir notificaciones cuando aparezcan amenazas potenciales y conocidas en tu empresa.

Control de acceso

Puedes usar roles predefinidos y configurar roles nuevos para controlar el acceso a clases de datos, alertas y eventos almacenados en tu instancia de Google SecOps. Gestión de Identidades y Accesos proporciona control de acceso a Google SecOps.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.