Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Google Security Operations

Supportato in:

Google SecOps

Google Security Operations è un servizio cloud, creato come livello specializzato sull'infrastruttura di Google, progettato per consentire alle aziende di conservare, analizzare e cercare in privato le grandi quantità di dati di telemetria sulla sicurezza e sulla rete che generano.

Google Security Operations normalizza, indicizza, correla e analizza i dati per fornire analisi e contesto istantanei sulle attività rischiose. Google Security Operations può essere utilizzato per rilevare le minacce, esaminarne l'ambito e la causa e fornire la correzione utilizzando integrazioni predefinite con piattaforme di orchestrazione, risposta e flusso di lavoro aziendali.

Google SecOps ti consente di esaminare le informazioni sulla sicurezza aggregate della tua azienda per periodi di mesi o più. Utilizza Google Security Operations per eseguire ricerche in tutti i domini a cui hai eseguito l'accesso all'interno della tua impresa. Puoi restringere la ricerca a una risorsa, un dominio o un indirizzo IP specifico per determinare se si è verificato un compromesso.

La piattaforma Google SecOps consente agli analisti della sicurezza di analizzare e mitigare una minaccia alla sicurezza durante il suo ciclo di vita utilizzando le seguenti funzionalità:

Raccolta: i dati vengono importati nella piattaforma utilizzando inoltratori, analizzatori, connettori e webhook.
Rilevamento: questi dati vengono aggregati, normalizzati utilizzando il Universal Data Model (UDM) e collegati a rilevamenti e intelligence sulle minacce.
Indagine: le minacce vengono esaminate tramite gestione delle richieste, ricerca, collaborazione e analisi basate sul contesto.
Risposta: gli analisti della sicurezza possono rispondere rapidamente e fornire soluzioni utilizzando playbook automatici e gestione degli incidenti.

Raccolta dei dati

Google Security Operations può importare numerosi tipi di telemetria di sicurezza tramite una serie di metodi, tra cui:

Forwarder: un componente software leggero, di cui è stato eseguito il deployment nella rete del cliente, che supporta syslog, l'acquisizione di pacchetti e la gestione dei log esistenti o i repository di dati di gestione degli eventi e delle informazioni di sicurezza (SIEM).
API di importazione: API che consentono di inviare i log direttamente alla piattaforma Google Security Operations, eliminando la necessità di hardware o software aggiuntivi negli ambienti dei clienti.
Integrazioni di terze parti: l'integrazione con API cloud di terze parti per facilitare l'importazione dei log, incluse origini come Office 365 e Azure AD.

Analisi delle minacce

Le funzionalità di analisi di Google Security Operations vengono fornite come applicazione basata su browser. Molte di queste funzionalità sono accessibili anche a livello di programmazione tramite le API di lettura. Quando rilevano una potenziale minaccia, Google Security Operations offre agli analisti un modo per approfondire la questione e determinare la migliore risposta.

Riepilogo delle funzionalità di Google Security Operations

Questa sezione descrive alcune delle funzionalità disponibili in Google Security Operations.

Cerca

Ricerca UDM: consente di trovare eventi e avvisi Unified Data Model (UDM) all'interno dell'istanza di Google Security Operations.
Scansione dei log non elaborati: cerca nei log non elaborati non analizzati.
Espressioni regolari: cerca nei log non analizzati non elaborati utilizzando le espressioni regolari.

Gestione delle richieste di assistenza

Raggruppa gli avvisi correlati in richieste, ordina e filtra la coda delle richieste per la classificazione e la priorità, assegna le richieste, collabora a ogni richiesta, controlla le richieste e genera report.

Progettista di playbook

Crea playbook selezionando azioni predefinite e trascinandole nella tela del playbook senza dover scrivere codice aggiuntivo. I playbook ti consentono inoltre di creare visualizzazioni dedicate per ogni tipo di avviso e per ogni ruolo del SOC. La gestione delle richieste presenta solo i dati pertinenti a un tipo di avviso e a un ruolo utente specifici.

Investigatore dei grafici

Visualizza chi, cosa e quando di un attacco, identifica le opportunità per la ricerca di minacce, acquisisci il quadro completo e intervieni.

Dashboard e report

Misura e gestisci in modo efficace le operazioni, dimostra il valore agli stakeholder, monitora le metriche e i KPI SOC in tempo reale. Puoi utilizzare le dashboard e i report integrati o crearne di personalizzati.

Ambiente di sviluppo integrato (IDE)

I team di sicurezza con competenze di programmazione possono modificare e migliorare le azioni dei playbook esistenti, eseguire il debug del codice, creare nuove azioni per le integrazioni esistenti e creare integrazioni non disponibili nel marketplace SOAR di Google Security Operations.

Visualizzazioni di indagine

Visualizzazione asset: esamina le risorse all'interno della tua azienda e verifica se hanno interagito o meno con domini sospetti.
Visualizzazione Indirizzi IP: esamina indirizzi IP specifici all'interno della tua azienda e il loro impatto sui tuoi asset.
Visualizzazione hash: cerca ed esamina i file in base al loro valore hash.
Visualizzazione dei domini: esamina domini specifici all'interno della tua azienda e il loro impatto sulle risorse.
Visualizzazione utente: esamina gli utenti della tua azienda che potrebbero essere stati interessati da eventi di sicurezza.
Filtro procedurale: perfeziona le informazioni su una risorsa, ad esempio in base al tipo di evento, all'origine del log, allo stato della connessione di rete e al dominio di primo livello (TLD).

Informazioni in evidenza

I blocchi di informazioni sugli asset mettono in evidenza i domini e gli avvisi su cui potresti voler approfondire.
Il grafico Prevenienza mostra il numero di domini a cui una risorsa si è collegata in un periodo di tempo specificato.
Allerte di altri prodotti di sicurezza molto diffusi.

Motore di rilevamento

Puoi utilizzare il motore di rilevamento di Google Security Operations per automatizzare il processo di ricerca di problemi di sicurezza nei tuoi dati. Puoi specificare regole per eseguire ricerche su tutti i dati in entrata e ricevere una notifica quando vengono rilevate minacce potenziali e note nella tua azienda.

Controllo degli accessi

Puoi utilizzare i ruoli predefiniti e configurare nuovi ruoli per controllare l'accesso alle classi di dati, agli avvisi e agli eventi archiviati all'interno dell'istanza Google Security Operations. Identity and Access Management fornisce controllo dell'accesso per Google Security Operations.