Cette page a été traduite par l'API Cloud Translation.

Présentation de Google Security Operations

Compatible avec:

Google SecOps

Google Security Operations est un service cloud, conçu comme une couche spécialisée sur l'infrastructure Google, qui permet aux entreprises de conserver, d'analyser et de rechercher de manière privée les grandes quantités de télémétrie de sécurité et de réseau qu'elles génèrent.

Google Security Operations normalise, indexe, corrèle et analyse les données pour fournir une analyse instantanée et du contexte sur les activités à risque. Google Security Operations peut être utilisé pour détecter les menaces, examiner leur étendue et leur cause, et fournir une solution à l'aide d'intégrations prédéfinies avec des plates-formes d'orchestration, de réponse et de workflow d'entreprise.

Google SecOps vous permet d'examiner les informations de sécurité agrégées de votre entreprise qui remontent à plusieurs mois ou plus. Utilisez Google Security Operations pour effectuer des recherches dans tous les domaines auxquels votre entreprise accède. Vous pouvez affiner votre recherche à un élément, un domaine ou une adresse IP spécifique pour déterminer si un piratage a eu lieu.

La plate-forme Google SecOps permet aux analystes de sécurité d'analyser et de réduire une menace de sécurité tout au long de son cycle de vie en utilisant les fonctionnalités suivantes:

Collecte: les données sont ingérées dans la plate-forme à l'aide de transferts, d'analyseurs, de connecteurs et de webhooks.
Détection: ces données sont agrégées, normalisées à l'aide du modèle de données universel (UDM) et associées aux détections et aux informations sur les menaces.
Enquête: les menaces sont étudiées via la gestion des demandes, la recherche, la collaboration et les données analytiques contextuelles.
Réponse: les analystes de sécurité peuvent répondre rapidement et proposer des solutions à l'aide de playbooks automatisés et de la gestion des incidents.

Collecte des données

Google Security Operations peut ingérer de nombreux types de télémétrie de sécurité via diverses méthodes, y compris les suivantes:

Forwarder: composant logiciel léger, déployé dans le réseau du client, compatible avec syslog, la capture de paquets et les référentiels de données de gestion des journaux ou de gestion des informations et des événements de sécurité (SIEM) existants.
API d'ingestion: API permettant d'envoyer des journaux directement à la plate-forme Google Security Operations, ce qui élimine le besoin de matériel ou de logiciels supplémentaires dans les environnements client.
Intégrations tierces: intégration aux API cloud tierces pour faciliter l'ingestion des journaux, y compris des sources telles qu'Office 365 et Azure AD.

Analyse des menaces

Les fonctionnalités d'analyse de Google Security Operations sont fournies sous la forme d'une application basée sur un navigateur. Bon nombre de ces fonctionnalités sont également accessibles de manière automatisée via les API Read. Google Security Operations permet aux analystes, lorsqu'ils détectent une menace potentielle, d'enquêter plus en détail et de déterminer la meilleure façon d'y répondre.

Récapitulatif des fonctionnalités de Google Security Operations

Cette section décrit certaines des fonctionnalités disponibles dans Google Security Operations.

Recherche

Recherche UDM: permet de rechercher des événements et des alertes UDM (Unified Data Model) dans votre instance Google Security Operations.
Analyse des journaux bruts: recherchez dans vos journaux bruts non analysés.
Expressions régulières: recherchez dans vos journaux bruts non analysés à l'aide d'expressions régulières.

Gestion des demandes

Regroupez les alertes associées dans des demandes, triez et filtrez la file d'attente des demandes pour le tri et la hiérarchisation, attribuez des demandes, collaborez sur chaque demande, effectuez des audits et créez des rapports.

Concepteur de playbook

Créez des playbooks en sélectionnant des actions prédéfinies, puis en les faisant glisser-déposer dans le canevas du playbook sans codage supplémentaire. Les playbooks vous permettent également de créer des vues dédiées pour chaque type d'alerte et chaque rôle du SOC. La gestion des demandes ne présente que les données pertinentes pour un type d'alerte et un rôle utilisateur spécifiques.

Outil d'investigation des graphiques

Visualisez les réponses (qui, quoi et quand) d'une attaque, identifiez les opportunités de recherche de menaces, obtenez une vue d'ensemble et prenez les mesures nécessaires.

Tableau de bord et rapports

Mesurez et gérez efficacement les opérations, démontrez la valeur aux personnes concernées et suivez les métriques et les KPI des SOC en temps réel. Vous pouvez utiliser des tableaux de bord et des rapports intégrés ou créer les vôtres.

Environnement de développement intégré (IDE)

Les équipes de sécurité ayant des compétences en codage peuvent modifier et améliorer les actions de playbook existantes, déboguer du code, créer de nouvelles actions pour les intégrations existantes et créer des intégrations qui ne sont pas disponibles sur la place de marché SOAR de Google Security Operations.

Vues d'enquête

Vue des composants: examinez les composants de votre entreprise et vérifiez s'ils ont interagi avec des domaines suspects.
Vue "Adresse IP": examinez des adresses IP spécifiques de votre entreprise et leur impact sur vos composants.
Vue "Hash": recherchez et examinez les fichiers en fonction de leur valeur de hachage.
Vue par domaine: examinez des domaines spécifiques de votre entreprise et leur impact sur vos composants.
Vue utilisateur: examinez les utilisateurs de votre entreprise qui ont peut-être été affectés par des événements de sécurité.
Filtrage procédural: affinez les informations sur un élément, y compris par type d'événement, source de journal, état de la connexion réseau et domaine de premier niveau (TLD).

Informations en surbrillance

Les blocs d'insights sur les composants mettent en évidence les domaines et les alertes que vous souhaitez examiner plus en détail.
Le graphique de prévalence indique le nombre de domaines auxquels un composant s'est connecté sur une période donnée.
Alertes provenant d'autres produits de sécurité populaires

Moteur de détection

Vous pouvez utiliser le moteur de détection Google Security Operations pour automatiser la recherche de problèmes de sécurité dans vos données. Vous pouvez spécifier des règles pour rechercher toutes vos données entrantes et vous informer lorsque des menaces potentielles et connues apparaissent dans votre entreprise.

Contrôle des accès

Vous pouvez utiliser des rôles prédéfinis et configurer de nouveaux rôles pour contrôler l'accès à des classes de données, d'alertes et d'événements stockés dans votre instance Google Security Operations. Identity and Access Management fournit un contrôle des accès pour Google Security Operations.