Présentation de Google SecOps

Compatible avec :

Google Security Operations est un service cloud conçu comme une couche spécialisée au-dessus de l'infrastructure Google. Il permet aux entreprises de conserver, d'analyser et de rechercher de manière privée les grandes quantités de données télémétriques de sécurité et de réseau qu'elles génèrent.

Google SecOps normalise, indexe, corrèle et analyse les données pour fournir une analyse et un contexte instantanés sur les activités à risque. Google SecOps peut être utilisé pour détecter les menaces, étudier leur portée et leur cause, et proposer des solutions grâce à des intégrations prédéfinies avec des plates-formes de workflow, de réponse et d'orchestration d'entreprise.

Google SecOps vous permet d'examiner les informations de sécurité agrégées de votre entreprise qui remontent à plusieurs mois ou plus. Utilisez Google SecOps pour effectuer des recherches dans tous les domaines auxquels votre entreprise a accédé. Vous pouvez limiter votre recherche à un élément, un domaine ou une adresse IP spécifiques pour déterminer si une compromission a eu lieu.

La plate-forme Google SecOps permet aux analystes de sécurité d'analyser et d'atténuer une menace de sécurité tout au long de son cycle de vie en utilisant les fonctionnalités suivantes :

  • Collecte : les données sont ingérées dans la plate-forme à l'aide de forwarders, d'analyseurs, de connecteurs et de webhooks.
  • Détection : ces données sont agrégées et normalisées à l'aide du modèle de données universel (UDM, Universal Data Model). Elles sont associées aux détections et aux informations sur les menaces.
  • Enquête : les menaces sont examinées à l'aide de la gestion des demandes, de la recherche, de la collaboration et de l'analyse contextuelle.
  • Réponse : les analystes de sécurité peuvent répondre rapidement et fournir des solutions à l'aide de playbooks automatisés et de la gestion des incidents.

Collecte des données

Google SecOps peut ingérer de nombreux types de données de télémétrie de sécurité par le biais de diverses méthodes, y compris les suivantes :

  • Transmetteur : composant logiciel léger déployé dans le réseau du client, qui prend en charge syslog, la capture de paquets et les dépôts de données existants de gestion des journaux ou de gestion des informations et des événements de sécurité (SIEM).

  • API d'ingestion : API qui permettent d'envoyer des journaux directement à la plate-forme Google SecOps, ce qui élimine le besoin de matériel ou de logiciels supplémentaires dans les environnements client.

  • Intégrations tierces : intégration aux API cloud tierces pour faciliter l'ingestion des journaux, y compris les sources telles qu'Office 365 et Azure AD.

Analyse des menaces

Les fonctionnalités analytiques de Google SecOps sont fournies sous la forme d'une application basée sur un navigateur. De nombreuses fonctionnalités sont également accessibles de manière programmatique via les API de lecture. Google SecOps permet aux analystes d'examiner plus en détail les menaces potentielles et de déterminer la meilleure façon d'y répondre.

Récapitulatif des fonctionnalités de Google SecOps

Cette section décrit certaines des fonctionnalités disponibles dans Google SecOps.

  • Recherche UDM : vous permet de trouver des événements et des alertes UDM (Unified Data Model) dans votre instance Google SecOps.
  • Analyse des journaux bruts : recherchez dans vos journaux bruts non analysés.
  • Expressions régulières : recherchez dans vos journaux bruts non analysés à l'aide d'expressions régulières.

Gestion des demandes

Regroupez les alertes associées dans des demandes, triez et filtrez la file d'attente des demandes pour le tri et la priorisation, attribuez des demandes, collaborez sur chaque demande, auditez les demandes et générez des rapports.

Concepteur de playbook

Créez des playbooks en sélectionnant des actions prédéfinies, puis en les faisant glisser et en les déposant dans le canevas du playbook, sans avoir à écrire de code supplémentaire. Les playbooks vous permettent également de créer des vues dédiées pour chaque type d'alerte et chaque rôle SOC. La gestion des demandes ne présente que les données pertinentes pour un type d'alerte et un rôle d'utilisateur spécifiques.

Outil d'analyse des graphiques

Visualisez les réponses (qui, quoi et quand) d'une attaque, identifiez les opportunités de chasse aux menaces, obtenez une vue d'ensemble et prenez des mesures.

Tableau de bord et rapports

Mesurez et gérez efficacement les opérations, démontrez la valeur aux parties prenantes, suivez les métriques et les KPI des SOC en temps réel. Vous pouvez utiliser des tableaux de bord et des rapports intégrés, ou créer les vôtres.

Environnement de développement intégré (IDE)

Les équipes de sécurité ayant des compétences en programmation peuvent modifier et améliorer les actions de playbook existantes, déboguer du code, créer de nouvelles actions pour les intégrations existantes et créer des intégrations qui ne sont pas disponibles dans le Google Security Operations SOAR Marketplace.

Vues d'investigation

  • Vue des composants : examinez les composants de votre entreprise et vérifiez s'ils ont interagi avec des domaines suspects.
  • Vue "Adresse IP" : examinez des adresses IP spécifiques au sein de votre entreprise et leur impact sur vos composants.
  • Vue Hachage : recherchez des fichiers et examinez-les en fonction de leur valeur de hachage.
  • Vue "Domaines" : examinez des domaines spécifiques de votre entreprise et leur impact sur vos composants.
  • Vue "Utilisateur" : examinez les utilisateurs de votre entreprise qui ont peut-être été touchés par des événements de sécurité.
  • Filtrage procédural : affinez les informations sur un composant, y compris par type d'événement, source de journaux, état de la connexion réseau et domaine de premier niveau (TLD).

Informations mises en évidence

  • Les blocs d'insights sur les composants mettent en évidence les domaines et les alertes que vous pourriez vouloir examiner plus en détail.
  • Le graphique de prévalence indique le nombre de domaines auxquels un composant est associé au cours d'une période donnée.
  • Alertes provenant d'autres produits de sécurité populaires

Moteur de détection

Vous pouvez utiliser le moteur de détection Google SecOps pour automatiser le processus de recherche de problèmes de sécurité dans vos données. Vous pouvez spécifier des règles pour rechercher toutes vos données entrantes et vous avertir lorsque des menaces potentielles et connues apparaissent dans votre entreprise.

Contrôle des accès

Vous pouvez à la fois utiliser des rôles prédéfinis et configurer de nouveaux rôles pour contrôler l'accès aux classes de données, aux alertes et aux événements stockés dans votre instance Google SecOps. Identity and Access Management fournit un contrôle des accès pour Google SecOps.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.