Visão geral do Google SecOps
O Google Security Operations é um serviço de nuvem criado como uma camada especializada sobre a infraestrutura do Google. Ele foi projetado para que as empresas retenham, analisem e pesquisem de forma privada as grandes quantidades de telemetria de segurança e rede que geram.
O Google SecOps normaliza, indexa, correlaciona e analisa os dados para fornecer análise instantânea e contexto sobre atividades de risco. O Google SecOps pode ser usado para detectar ameaças, investigar o escopo e a causa delas e oferecer correção usando integrações pré-criadas com plataformas de fluxo de trabalho, resposta e orquestração empresariais.
Com o Google SecOps, você pode analisar as informações de segurança agregadas da sua empresa por meses ou mais. Use o Google SecOps para pesquisar em todos os domínios acessados na sua empresa. Você pode restringir a pesquisa a um recurso, domínio ou endereço IP específico para determinar se houve uma violação.
A plataforma Google SecOps permite que os analistas de segurança analisem e reduzam uma ameaça à segurança ao longo do ciclo de vida dela usando os seguintes recursos:
- Coleta: os dados são ingeridos na plataforma usando encaminhadores, analisadores, conectores e webhooks.
- Detecção: esses dados são agregados, normalizados usando o modelo de dados universal (UDM) e vinculados a detecções e inteligência contra ameaças.
- Investigação: as ameaças são investigadas usando gerenciamento de casos, pesquisa, colaboração e análise de dados com reconhecimento de contexto.
- Resposta: os analistas de segurança podem responder rapidamente e fornecer resoluções usando manuais automatizados e gerenciamento de incidentes.
Coleta de dados
O Google SecOps pode ingerir vários tipos de telemetria de segurança por diversos métodos, incluindo:
Encaminhador: um componente de software leve, implantado na rede do cliente, que oferece suporte a syslog, captura de pacotes e repositórios de dados de gerenciamento de registros ou de gerenciamento de eventos e informações de segurança (SIEM) atuais.
APIs de ingestão: permitem que os registros sejam enviados diretamente para a plataforma Google SecOps, eliminando a necessidade de hardware ou software adicional nos ambientes dos clientes.
Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo fontes como Office 365 e Azure AD.
Análise de ameaças
Os recursos analíticos do Google SecOps são fornecidos como um aplicativo baseado em navegador. Muitos desses recursos também estão disponíveis de maneira programática pelas APIs de leitura. O Google SecOps oferece aos analistas uma maneira de, quando detectam uma possível ameaça, investigar mais a fundo e determinar a melhor forma de responder.
Resumo dos recursos do Google SecOps
Nesta seção, descrevemos alguns dos recursos disponíveis no Google SecOps.
Pesquisar
- Pesquisa do UDM: permite encontrar eventos e alertas do modelo de dados unificado (UDM) na sua instância do Google SecOps.
- Verificação de registros brutos: pesquise seus registros brutos não analisados.
- Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.
Gerenciamento de casos de suporte
Agrupe alertas relacionados em casos, classifique e filtre a fila de casos para triagem e priorização, atribua casos, colabore em todos os casos, auditorias e relatórios.
Designer de playbook
Crie playbooks selecionando ações predefinidas e arrastando e soltando-as na tela do playbook sem programação adicional. Com os playbooks, também é possível criar visualizações dedicadas para cada tipo de alerta e função do SOC. O gerenciamento de casos apresenta apenas os dados relevantes para um tipo de alerta e uma função do usuário específicos.
Investigador de gráficos
Visualize quem, o quê e quando de um ataque, identifique oportunidades de caça de ameaças, capture o panorama geral e tome medidas.
Painel e relatórios
Meça e gerencie operações de forma eficaz, demonstre valor para as partes interessadas, rastreie métricas e KPIs do SOC em tempo real. É possível usar painéis e relatórios integrados ou criar os seus próprios.
Ambiente de desenvolvimento integrado (IDE)
As equipes de segurança com habilidades de programação podem modificar e aprimorar as ações de playbook atuais, depurar códigos, criar novas ações para integrações atuais e criar integrações que não estão disponíveis no SOAR Marketplace do Google Security Operations.
Visualizações de análise
- Visualização de recursos: investigue os recursos da sua empresa e se eles interagiram com domínios suspeitos.
- Visualização de endereço IP: investigue endereços IP específicos na sua empresa e o impacto deles nos seus recursos.
- Visualização de hash: pesquise e investigue arquivos com base no valor de hash.
- Visualização de domínio: investigue domínios específicos na sua empresa e o impacto deles nos seus recursos.
- Visualização do usuário: investigue usuários na sua empresa que possam ter sido afetados por eventos de segurança.
- Filtragem procedural: ajuste as informações sobre um recurso, incluindo por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).
Informações destacadas
- Os blocos de insights de recursos destacam os domínios e alertas que você pode querer investigar mais a fundo.
- O gráfico de prevalência mostra o número de domínios a que um recurso se conectou durante um período especificado.
- Alertas de outros produtos de segurança conhecidos.
Mecanismo de detecção
É possível usar o mecanismo de detecção do Google SecOps para automatizar o processo de pesquisa nos seus dados em busca de problemas de segurança. Você pode especificar regras para pesquisar todos os dados recebidos e receber notificações quando ameaças potenciais e conhecidas aparecerem na sua empresa.
Controle de acesso
Você pode usar papéis predefinidos e configurar novos papéis para controlar o acesso a classes de dados, alertas e eventos armazenados na sua instância do Google SecOps. O Identity and Access Management oferece controle de acesso para o Google SecOps.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.