Vista geral do Google SecOps
O Google Security Operations é um serviço na nuvem criado como uma camada especializada sobre a infraestrutura Google, concebido para que as empresas retenham, analisem e pesquisem de forma privada as grandes quantidades de telemetria de segurança e de rede que geram.
O SecOps da Google normaliza, indexa, correlaciona e analisa os dados para oferecer uma análise instantânea e contexto sobre atividades de risco. O Google SecOps pode ser usado para detetar ameaças, investigar o âmbito e a causa dessas ameaças, e fornecer remediação através de integrações pré-criadas com plataformas de fluxo de trabalho, resposta e orquestração empresariais.
O SecOps da Google permite-lhe examinar as informações de segurança agregadas da sua empresa durante meses ou mais. Use o Google SecOps para pesquisar em todos os domínios acedidos na sua empresa. Pode restringir a pesquisa a qualquer recurso, domínio ou endereço IP específico para determinar se ocorreu alguma violação.
A plataforma Google SecOps permite que os analistas de segurança analisem e mitiguem uma ameaça de segurança ao longo do respetivo ciclo de vida através das seguintes capacidades:
- Recolha: os dados são carregados para a plataforma através de encaminhadores, analisadores, conetores e webhooks.
- Deteção: estes dados são agregados, normalizados através do modelo de dados universal (UDM) e associados a deteções e informações sobre ameaças.
- Investigação: as ameaças são investigadas através da gestão de registos, da pesquisa, da colaboração e das estatísticas com reconhecimento do contexto.
- Resposta: os analistas de segurança podem responder rapidamente e fornecer resoluções através de guias interativos automatizados e gestão de incidentes.
Recolha de dados
O Google SecOps pode carregar vários tipos de telemetria de segurança através de vários métodos, incluindo os seguintes:
Encaminhador: um componente de software simples, implementado na rede do cliente, que suporta syslog, captura de pacotes e gestão de registos existente ou repositórios de dados de informações de segurança e gestão de eventos (SIEM).
APIs de carregamento: APIs que permitem o envio de registos diretamente para a plataforma Google SecOps, eliminando a necessidade de hardware ou software adicionais nos ambientes dos clientes.
Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar o carregamento de registos, incluindo origens como o Office 365 e o Azure AD.
Análise de ameaças
As capacidades analíticas do Google SecOps são fornecidas como uma aplicação baseada no navegador. Muitas destas capacidades também são acessíveis programaticamente através das APIs de leitura. O SecOps da Google oferece aos analistas uma forma de, quando veem uma potencial ameaça, investigar mais a fundo e determinar a melhor forma de responder.
Resumo das funcionalidades do Google SecOps
Esta secção descreve algumas das funcionalidades disponíveis no Google SecOps.
Pesquisar
- Pesquisa UDM: permite-lhe encontrar eventos e alertas do modelo de dados unificado (UDM) na sua instância do Google SecOps.
- Análise de registos não processados: pesquise nos seus registos não processados.
- Expressões regulares: pesquise nos registos não analisados brutos através de expressões regulares.
Gestão de registos
Agrupar alertas relacionados em casos, ordenar e filtrar a fila de casos para triagem e prioritização, atribuir casos, colaborar em todos os casos, auditoria de casos e relatórios.
Designer de guias interativos
Crie manuais de procedimentos selecionando ações predefinidas e arrastando-as e largando-as na tela do manual de procedimentos sem programação adicional. Os manuais de procedimentos também lhe permitem criar vistas dedicadas para cada tipo de alerta e cada função do SOC. A gestão de registos apresenta apenas os dados relevantes para um tipo de alerta e uma função de utilizador específicos.
Investigador de gráficos
Visualize o quem, o quê e o quando de um ataque, identifique oportunidades de procura de ameaças, capture a imagem completa e tome medidas.
Painel de controlo e relatórios
Medir e gerir eficazmente as operações, demonstrar valor às partes interessadas, monitorizar métricas e IEDs do SOC em tempo real. Pode usar painéis de controlo e relatórios integrados ou criar os seus próprios.
Ambiente de programação integrado (IDE)
As equipas de segurança com conhecimentos de programação podem modificar e melhorar as ações dos manuais de procedimentos existentes, depurar código, criar novas ações para integrações existentes e criar integrações que não estão disponíveis no SOAR Marketplace do Google Security Operations.
Visualizações de investigação
- Vista de recursos: investigue os recursos na sua empresa e se interagiram ou não com domínios suspeitos.
- Vista de endereço IP: investigue endereços IP específicos na sua empresa e o impacto que têm nos seus recursos.
- Vista de hash: pesquise e investigue ficheiros com base no respetivo valor hash.
- Vista de domínio: investigue domínios específicos na sua empresa e o impacto que têm nos seus recursos.
- Vista do utilizador: investigue os utilizadores na sua empresa que podem ter sido afetados por eventos de segurança.
- Filtragem processual: ajuste as informações sobre um recurso, inclusive por tipo de evento, origem do registo, estado da ligação de rede e domínio de nível superior (TLD).
Informações realçadas
- Os blocos de estatísticas dos recursos realçam os domínios e os alertas que pode querer investigar mais detalhadamente.
- O gráfico de prevalência mostra o número de domínios aos quais um recurso se ligou durante um período especificado.
- Alertas de outros produtos de segurança populares.
Motor de deteção
Pode usar o motor de deteção de operações de segurança da Google para automatizar o processo de pesquisa nos seus dados de problemas de segurança. Pode especificar regras para pesquisar todos os dados recebidos e receber uma notificação quando surgirem ameaças potenciais e conhecidas na sua empresa.
Controlo de acesso
Pode usar funções predefinidas e configurar novas funções para controlar o acesso a classes de dados, alertas e eventos armazenados na sua instância do Google SecOps. A gestão de identidade e de acesso oferece controlo de acesso para o Google SecOps.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.