Ringkasan Google SecOps

Didukung di:

Google Security Operations adalah layanan cloud, yang dibangun sebagai lapisan khusus di atas infrastruktur Google, yang dirancang bagi perusahaan untuk menyimpan, menganalisis, dan menelusuri secara pribadi sejumlah besar telemetri keamanan dan jaringan yang dihasilkan.

Google SecOps menormalisasi, mengindeks, menghubungkan, dan menganalisis data tersebut untuk memberikan analisis dan konteks instan tentang aktivitas yang berisiko. Google SecOps dapat digunakan untuk mendeteksi ancaman, menyelidiki cakupan dan penyebab ancaman tersebut, serta memberikan perbaikan menggunakan integrasi bawaan dengan platform alur kerja, respons, dan orkestrasi perusahaan.

Google SecOps memungkinkan Anda memeriksa informasi keamanan gabungan untuk perusahaan Anda selama berbulan-bulan atau lebih. Gunakan Google SecOps untuk menelusuri semua domain yang diakses dalam perusahaan Anda. Anda dapat mempersempit penelusuran ke aset, domain, atau alamat IP tertentu untuk menentukan apakah telah terjadi kompromi.

Platform Google SecOps memungkinkan analis keamanan menganalisis dan memitigasi ancaman keamanan di seluruh siklus prosesnya dengan menggunakan kemampuan berikut:

  • Pengumpulan: Data dimasukkan ke dalam platform menggunakan penerus, pengurai, konektor, dan webhook.
  • Deteksi: Data ini digabungkan, dinormalisasi menggunakan Model Data Universal (UDM), dan ditautkan ke deteksi dan kecerdasan pendeteksi ancaman.
  • Investigasi: Ancaman diselidiki melalui pengelolaan kasus, penelusuran, kolaborasi, dan analisis yang memahami konteks.
  • Respons: Analis keamanan dapat merespons dengan cepat dan memberikan penyelesaian menggunakan playbook otomatis dan manajemen insiden.

Pengumpulan data

Google SecOps dapat menyerap berbagai jenis telemetri keamanan melalui berbagai metode, termasuk berikut ini:

  • Forwarder: Komponen software ringan, di-deploy di jaringan pelanggan, yang mendukung syslog, pengambilan paket, dan repositori data manajemen log atau informasi keamanan dan manajemen peristiwa (SIEM) yang ada.

  • API Penyerapan: API yang memungkinkan log dikirim langsung ke platform Google SecOps, sehingga tidak memerlukan hardware atau software tambahan di lingkungan pelanggan.

  • Integrasi pihak ketiga: Integrasi dengan API cloud pihak ketiga untuk memfasilitasi penyerapan log, termasuk sumber seperti Office 365 dan Azure AD.

Analisis ancaman

Kemampuan analisis Google SecOps diberikan sebagai aplikasi berbasis browser. Banyak kemampuan ini juga dapat diakses secara terprogram melalui Read API. Google SecOps memberi analis cara, saat mereka melihat potensi ancaman, untuk menyelidiki lebih lanjut dan menentukan cara terbaik untuk merespons.

Ringkasan fitur Google SecOps

Bagian ini menjelaskan beberapa fitur yang tersedia di Google SecOps.

  • Penelusuran UDM: Memungkinkan Anda menemukan peristiwa dan pemberitahuan Model Data Terpadu (UDM) dalam instance Google SecOps Anda.
  • Pemindaian Log Raw: Menelusuri log mentah yang tidak diuraikan.
  • Ekspresi Reguler: Telusuri log mentah yang tidak diuraikan menggunakan ekspresi reguler.

Pengelolaan kasus

Mengelompokkan pemberitahuan terkait ke dalam kasus, mengurutkan dan memfilter antrean kasus untuk triase dan penentuan prioritas, menetapkan kasus, berkolaborasi di setiap kasus, serta audit dan pelaporan kasus.

Desainer playbook

Buat playbook dengan memilih tindakan bawaan dan menarik lalu melepasnya ke kanvas playbook tanpa memerlukan coding tambahan. Playbook juga memungkinkan Anda membuat tampilan khusus untuk setiap jenis pemberitahuan dan setiap peran SOC. Pengelolaan kasus hanya menampilkan data yang relevan dengan jenis pemberitahuan dan peran pengguna tertentu.

Penyelidik grafik

Visualisasikan siapa, apa, dan kapan serangan terjadi, identifikasi peluang untuk perburuan ancaman, dapatkan gambaran lengkap, dan ambil tindakan.

Dasbor dan pelaporan

Mengukur dan mengelola operasi secara efektif, menunjukkan nilai kepada pemangku kepentingan, melacak KPI dan metrik SOC secara real-time. Anda dapat menggunakan dasbor dan laporan bawaan atau membuat dasbor dan laporan Anda sendiri.

Integrated development environment (IDE)

Tim keamanan dengan keterampilan coding dapat mengubah dan meningkatkan kualitas tindakan playbook yang ada, men-debug kode, membuat tindakan baru untuk integrasi yang ada, dan membuat integrasi yang tidak tersedia di Google Security Operations SOAR Marketplace.

Tampilan investigasi

  • Tampilan aset: Selidiki aset dalam perusahaan Anda dan apakah aset tersebut berinteraksi dengan domain mencurigakan atau tidak.
  • Tampilan Alamat IP: Selidiki alamat IP tertentu dalam perusahaan Anda dan dampaknya terhadap aset Anda.
  • Tampilan hash: Telusuri dan selidiki file berdasarkan nilai hash-nya.
  • Tampilan domain: Selidiki domain tertentu dalam perusahaan Anda dan dampaknya terhadap aset Anda.
  • Tampilan pengguna: Selidiki pengguna dalam perusahaan Anda yang mungkin terpengaruh oleh peristiwa keamanan.
  • Pemfilteran prosedural: Sesuaikan informasi tentang aset, termasuk menurut jenis peristiwa, sumber log, status koneksi jaringan, dan Domain Level Teratas (TLD).

Informasi yang disoroti

  • Blok insight aset menyoroti domain dan pemberitahuan yang mungkin ingin Anda selidiki lebih lanjut.
  • Grafik prevalensi menunjukkan jumlah domain yang telah dihubungkan aset selama jangka waktu tertentu.
  • Peringatan dari produk keamanan populer lainnya.

Mesin deteksi

Anda dapat menggunakan Mesin Deteksi Google SecOps untuk mengotomatiskan proses penelusuran data Anda terkait masalah keamanan. Anda dapat menentukan aturan untuk menelusuri semua data masuk dan memberi tahu Anda saat potensi ancaman dan ancaman yang diketahui muncul di perusahaan Anda.

Kontrol akses

Anda dapat menggunakan peran standar dan mengonfigurasi peran baru untuk mengontrol akses ke kelas data, pemberitahuan, dan peristiwa yang disimpan dalam instance Google SecOps Anda. Identity and Access Management menyediakan kontrol akses untuk Google SecOps.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.