Panoramica di Google SecOps
Google Security Operations è un servizio cloud, creato come livello specializzato sopra l'infrastruttura di Google, progettato per consentire alle aziende di conservare, analizzare e cercare in privato le grandi quantità di dati di telemetria sulla sicurezza e sulla rete che generano.
Google SecOps normalizza, indicizza, correla e analizza i dati per fornire analisi e contesto istantanei sulle attività rischiose. Google SecOps può essere utilizzato per rilevare le minacce, esaminarne l'ambito e la causa e fornire la correzione utilizzando integrazioni predefinite con piattaforme di workflow, risposta e orchestrazione aziendali.
Google SecOps ti consente di esaminare le informazioni aggregate sulla sicurezza della tua azienda per mesi o più. Utilizza Google SecOps per eseguire ricerche in tutti i domini a cui è stato eseguito l'accesso all'interno della tua azienda. Puoi restringere la ricerca a qualsiasi risorsa, dominio o indirizzo IP specifico per determinare se si è verificato un compromesso.
La piattaforma Google SecOps consente agli analisti della sicurezza di analizzare e mitigare una minaccia alla sicurezza durante il suo ciclo di vita utilizzando le seguenti funzionalità:
- Raccolta: i dati vengono inseriti nella piattaforma utilizzando forwarder, parser, connettori e webhook.
- Rilevamento: questi dati vengono aggregati, normalizzati utilizzando il modello UDM (Universal Data Model) e collegati ai rilevamenti e all'intelligence sulle minacce.
- Indagine: le minacce vengono esaminate tramite la gestione dei casi, la ricerca, la collaborazione e l'analisi sensibile al contesto.
- Risposta: gli analisti della sicurezza possono rispondere rapidamente e fornire soluzioni utilizzando playbook automatizzati e la gestione degli incidenti.
Raccolta dei dati
Google SecOps può importare numerosi tipi di dati di telemetria sulla sicurezza tramite una serie di metodi, tra cui:
Forwarder: un componente software leggero, di cui è stato eseguito il deployment nella rete del cliente, che supporta syslog, l'acquisizione di pacchetti e i repository di dati di gestione dei log o di gestione degli eventi e delle informazioni di sicurezza (SIEM) esistenti.
API di importazione: API che consentono di inviare i log direttamente alla piattaforma Google SecOps, eliminando la necessità di hardware o software aggiuntivi negli ambienti dei clienti.
Integrazioni di terze parti: integrazione con API cloud di terze parti per facilitare l'importazione dei log, incluse origini come Office 365 e Azure AD.
Analisi delle minacce
Le funzionalità di analisi di Google SecOps vengono fornite come applicazione basata su browser. Molte di queste funzionalità sono accessibili anche a livello di programmazione tramite le API di lettura. Google SecOps offre agli analisti un modo per, quando vedono una potenziale minaccia, approfondire le indagini e determinare la risposta migliore.
Riepilogo delle funzionalità di Google SecOps
Questa sezione descrive alcune delle funzionalità disponibili in Google SecOps.
Cerca
- Ricerca UDM: consente di trovare eventi e avvisi Unified Data Model (UDM) all'interno della tua istanza di Google SecOps.
- Scansione log non elaborati: cerca nei log non analizzati.
- Espressioni regolari: cerca nei log non analizzati grezzi utilizzando le espressioni regolari.
Gestione delle richieste di assistenza
Raggruppa gli avvisi correlati in casi, ordina e filtra la coda dei casi per la classificazione e la definizione delle priorità, assegna i casi, collabora su ogni caso, esegui l'audit e genera report.
Progettista di playbook
Crea playbook selezionando azioni predefinite e trascinandole nell'area di lavoro del playbook senza codice aggiuntivo. I playbook ti consentono anche di creare visualizzazioni dedicate per ogni tipo di avviso e per ogni ruolo SOC. La gestione dei casi mostra solo i dati pertinenti a un tipo di avviso e a un ruolo utente specifici.
Investigatore del grafico
Visualizza chi, cosa e quando di un attacco, identifica le opportunità per la ricerca delle minacce, acquisisci il quadro completo e intervieni.
Dashboard e report
Misura e gestisci in modo efficace le operazioni, dimostra il valore agli stakeholder, monitora le metriche SOC e i KPI in tempo reale. Puoi utilizzare dashboard e report integrati o crearne di personalizzati.
Ambiente di sviluppo integrato (IDE)
I team di sicurezza con competenze di programmazione possono modificare e migliorare le azioni dei playbook esistenti, eseguire il debug del codice, creare nuove azioni per le integrazioni esistenti e creare integrazioni non disponibili in Google Security Operations SOAR Marketplace.
Visualizzazioni investigative
- Visualizzazione asset: esamina gli asset all'interno della tua azienda e verifica se hanno interagito con domini sospetti.
- Visualizzazione indirizzo IP: esamina indirizzi IP specifici all'interno della tua azienda e il loro impatto sui tuoi asset.
- Visualizzazione hash: cerca ed esamina i file in base al loro valore hash.
- Visualizzazione dominio: esamina domini specifici all'interno della tua azienda e l'impatto che hanno sui tuoi asset.
- Visualizzazione utente: esamina gli utenti della tua azienda che potrebbero essere stati interessati da eventi di sicurezza.
- Filtro procedurale: perfeziona le informazioni su un asset, anche in base a tipo di evento, origine log, stato della connessione di rete e dominio di primo livello (TLD).
Informazioni evidenziate
- I blocchi di approfondimento sugli asset evidenziano i domini e gli avvisi che potresti voler esaminare ulteriormente.
- Il grafico della prevalenza mostra il numero di domini a cui una risorsa è stata collegata in un periodo di tempo specificato.
- Avvisi di altri prodotti di sicurezza popolari.
Motore di rilevamento
Puoi utilizzare il motore di rilevamento di Google SecOps per automatizzare la procedura di ricerca nei tuoi dati per individuare problemi di sicurezza. Puoi specificare regole per cercare tutti i dati in entrata e ricevere una notifica quando nella tua azienda vengono rilevate minacce potenziali e note.
Controllo degli accessi
Puoi utilizzare ruoli predefiniti e configurare nuovi ruoli per controllare l'accesso a classi di dati, avvisi ed eventi archiviati nell'istanza di Google SecOps. Identity and Access Management fornisce controllo dell'accesso per Google SecOps.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.