Ringkasan Google SecOps
Google Security Operations adalah layanan cloud, yang dibuat sebagai lapisan khusus di atas infrastruktur Google, yang dirancang untuk perusahaan agar dapat menyimpan, menganalisis, dan menelusuri secara pribadi telemetri keamanan dan jaringan dalam jumlah besar yang mereka hasilkan.
Google SecOps menormalisasi, mengindeks, menghubungkan, dan menganalisis data untuk memberikan analisis instan dan konteks tentang aktivitas yang berisiko. Google SecOps dapat digunakan untuk mendeteksi ancaman, menyelidiki cakupan dan penyebab ancaman tersebut, serta memberikan perbaikan menggunakan integrasi bawaan dengan platform alur kerja, respons, dan orkestrasi perusahaan.
Google SecOps memungkinkan Anda memeriksa informasi keamanan agregat untuk perusahaan Anda yang sudah ada sejak beberapa bulan atau lebih. Gunakan Google SecOps untuk menelusuri semua domain yang diakses dalam perusahaan Anda. Anda dapat mempersempit penelusuran ke aset, domain, atau alamat IP tertentu untuk menentukan apakah ada kompromi yang terjadi.
Platform Google SecOps memungkinkan analis keamanan untuk menganalisis dan memitigasi ancaman keamanan di sepanjang siklus prosesnya dengan menggunakan kemampuan berikut:
- Pengumpulan: Data diserap ke dalam platform menggunakan penerusan, parser, konektor, dan webhook.
- Deteksi: Data ini digabungkan, dinormalisasi menggunakan Model Data Universal (UDM), dan ditautkan ke deteksi dan intelijen ancaman.
- Investigasi: Ancaman diselidiki melalui pengelolaan kasus, penelusuran, kolaborasi, dan analisis berbasis konteks.
- Respons: Analis keamanan dapat merespons dengan cepat dan memberikan penyelesaian menggunakan playbook otomatis dan manajemen insiden.
Pengumpulan data
Google SecOps dapat menyerap berbagai jenis telemetri keamanan melalui berbagai metode, termasuk berikut ini:
Forwarder: Komponen software ringan, yang di-deploy di jaringan pelanggan, yang mendukung syslog, packet capture, dan pengelolaan log yang ada atau repositori data informasi keamanan dan pengelolaan peristiwa (SIEM).
Ingestion API: API yang memungkinkan log dikirim langsung ke platform Google SecOps, sehingga tidak memerlukan hardware atau software tambahan di lingkungan pelanggan.
Integrasi pihak ketiga: Integrasi dengan API cloud pihak ketiga untuk memudahkan penyerapan log, termasuk sumber seperti Office 365 dan Azure AD.
Analisis ancaman
Kemampuan analisis Google SecOps dikirimkan sebagai aplikasi berbasis browser. Banyak kemampuan ini juga dapat diakses secara terprogram melalui Read API. Google SecOps memberi analis cara, saat mereka melihat potensi ancaman, untuk menyelidiki lebih lanjut dan menentukan cara terbaik untuk merespons.
Ringkasan fitur Google SecOps
Bagian ini menjelaskan beberapa fitur yang tersedia di Google SecOps.
Telusuri
- Penelusuran UDM: Memungkinkan Anda menemukan peristiwa dan pemberitahuan Unified Data Model (UDM) dalam instance Google SecOps.
- Pemindaian Log Mentah: Telusuri log mentah yang tidak diuraikan.
- Ekspresi Reguler: Telusuri log mentah yang tidak diuraikan menggunakan ekspresi reguler.
Pengelolaan kasus
Mengelompokkan pemberitahuan terkait ke dalam kasus, mengurutkan dan memfilter antrean kasus untuk triase dan penentuan prioritas, menetapkan kasus, berkolaborasi dengan mudah di setiap kasus, serta audit dan pelaporan kasus.
Desainer playbook
Buat playbook dengan memilih tindakan bawaan, lalu menarik dan melepasnya ke kanvas playbook tanpa coding tambahan. Playbook juga memungkinkan Anda membuat tampilan khusus untuk setiap jenis pemberitahuan dan setiap peran SOC. Pengelolaan kasus hanya menampilkan data yang relevan dengan jenis pemberitahuan dan peran pengguna tertentu.
Penyelidik grafik
Visualisasikan siapa, apa, dan kapan serangan terjadi, identifikasi peluang untuk perburuan ancaman, dapatkan gambaran lengkap, dan ambil tindakan.
Dasbor dan pelaporan
Mengukur dan mengelola operasi secara efektif, menunjukkan nilai kepada pemangku kepentingan, melacak metrik dan KPI SOC secara real-time. Anda dapat menggunakan dasbor dan laporan bawaan atau membuat dasbor dan laporan Anda sendiri.
Integrated development environment (IDE)
Tim keamanan dengan keterampilan coding dapat mengubah dan meningkatkan tindakan playbook yang ada, men-debug kode, membuat tindakan baru untuk integrasi yang ada, dan membuat integrasi yang tidak tersedia di Google Security Operations SOAR Marketplace.
Tampilan investigasi
- Tampilan aset: Selidiki aset dalam perusahaan Anda dan apakah aset tersebut telah berinteraksi dengan domain yang mencurigakan atau tidak.
- Tampilan Alamat IP: Selidiki alamat IP tertentu dalam perusahaan Anda dan dampaknya terhadap aset Anda.
- Tampilan hash: Menelusuri dan menyelidiki file berdasarkan nilai hash-nya.
- Tampilan domain: Selidiki domain tertentu dalam perusahaan Anda dan dampak yang ditimbulkannya terhadap aset Anda.
- Tampilan pengguna: Selidiki pengguna dalam perusahaan Anda yang mungkin telah dipengaruhi oleh peristiwa keamanan.
- Pemfilteran prosedural: Menyesuaikan informasi tentang aset, termasuk berdasarkan jenis peristiwa, sumber log, status koneksi jaringan, dan Domain Level Teratas (TLD).
Informasi yang ditandai
- Blok insight aset menandai domain dan pemberitahuan yang mungkin ingin Anda selidiki lebih lanjut.
- Grafik prevalensi menunjukkan jumlah domain yang terhubung ke aset selama jangka waktu tertentu.
- Notifikasi dari produk keamanan populer lainnya.
Mesin deteksi
Anda dapat menggunakan Mesin Deteksi Google SecOps untuk mengotomatiskan proses penelusuran di seluruh data Anda untuk menemukan masalah keamanan. Anda dapat menentukan aturan untuk menelusuri semua data masuk dan memberi tahu Anda saat potensi dan ancaman yang diketahui muncul di perusahaan Anda.
Kontrol akses
Anda dapat menggunakan peran standar dan mengonfigurasi peran baru untuk mengontrol akses ke class data, pemberitahuan, dan peristiwa yang disimpan dalam instance Google SecOps Anda. Identity and Access Management menyediakan kontrol akses untuk Google SecOps.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.