Visão geral do Google SecOps
O Google Security Operations é um serviço em nuvem criado como uma camada especializada na infraestrutura do Google. Ele foi desenvolvido para que as empresas retenham, analisem e pesquisem de forma privada grandes quantidades de telemetria de segurança e de rede que elas geram.
O Google SecOps normaliza, indexa, correlaciona e analisa os dados para oferecer análise instantânea e contexto sobre atividades de risco. O Google SecOps pode ser usado para detectar ameaças, investigar o escopo e a causa delas e oferecer correção usando integrações pré-criadas com fluxos de trabalho, resposta e plataformas de orquestração empresariais.
Com o Google SecOps, você pode examinar as informações de segurança agregadas da sua empresa por meses ou mais. Use o Google SecOps para pesquisar em todos os domínios acessados na sua empresa. Você pode restringir sua pesquisa a qualquer recurso, domínio ou endereço IP específico para determinar se houve comprometimento.
A plataforma Google SecOps permite que analistas de segurança analisem e mitiguem uma ameaça de segurança ao longo do ciclo de vida dela usando os seguintes recursos:
- Coleta: os dados são ingeridos na plataforma usando encaminhadores, parsers, conectores e webhooks.
- Detecção: esses dados são agregados, normalizados usando o modelo de dados universal (UDM, na sigla em inglês) e vinculados a detecções e inteligência contra ameaças.
- Investigação: as ameaças são investigadas por meio do gerenciamento de casos, da pesquisa, da colaboração e da análise com base no contexto.
- Resposta: os analistas de segurança podem responder rapidamente e oferecer resoluções usando manuais automatizados e gerenciamento de incidentes.
Coleta de dados
O Google SecOps pode ingerir vários tipos de telemetria de segurança por vários métodos, incluindo estes:
Forwarder: um componente de software leve, implantado na rede do cliente, que oferece suporte a syslog, captura de pacotes e repositórios de dados de gerenciamento de registros ou de informações de segurança e gerenciamento de eventos (SIEM, na sigla em inglês).
APIs de ingestão: APIs que permitem que os registros sejam enviados diretamente à plataforma Google SecOps, eliminando a necessidade de hardware ou software adicionais nos ambientes do cliente.
Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo fontes como o Office 365 e o Azure AD.
Análise de ameaças
Os recursos analíticos do Google SecOps são fornecidos como um aplicativo baseado em navegador. Muitos desses recursos também estão disponíveis de maneira programática pelas APIs Read. O Google SecOps oferece aos analistas uma maneira de investigar melhor e determinar a melhor forma de responder quando eles encontram uma possível ameaça.
Resumo dos recursos do Google SecOps
Esta seção descreve alguns dos recursos disponíveis no Google SecOps.
Pesquisar
- Pesquisa de UDM: permite encontrar eventos e alertas do modelo de dados unificado (UDM, na sigla em inglês) na sua instância do Google SecOps.
- Verificação de registro bruto: pesquise seus registros brutos não analisados.
- Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.
Gerenciamento de casos de suporte
Agrupe alertas relacionados em casos, classifique e filtre a fila de casos para triagem e priorização, atribua casos, colabore em todos os casos, auditorias e relatórios.
Designer de playbook
Crie playbooks selecionando ações predefinidas e arrastando-as e soltando-as na tela do playbook sem programação adicional. Os playbooks também permitem criar visualizações dedicadas para cada tipo de alerta e cada função do SOC. O gerenciamento de casos apresenta apenas os dados relevantes para um tipo de alerta e função do usuário específicos.
Investigador de grafos
Visualize quem, o quê e quando de um ataque, identifique oportunidades de busca de ameaças, capture o panorama geral e tome medidas.
Painel e relatórios
Meça e gerencie operações de forma eficaz, demonstre valor para as partes interessadas, rastreie métricas e KPIs do SOC em tempo real. Você pode usar painéis e relatórios integrados ou criar os seus.
Ambiente de desenvolvimento integrado (IDE)
Equipes de segurança com habilidades de programação podem modificar e aprimorar as ações dos playbooks, depurar códigos, criar novas ações para integrações existentes e criar integrações que não estão disponíveis no Marketplace de SOAR de operações de segurança do Google.
Visualizações investigativas
- Visualização de recursos: investigue os recursos na sua empresa e se eles interagiram ou não com domínios suspeitos.
- Visualização de endereço IP: investigue endereços IP específicos na sua empresa e o impacto deles nos seus recursos.
- Visualização de hash: pesquise e investigue arquivos com base no valor de hash.
- Visualização de domínio: investigue domínios específicos na sua empresa e o impacto deles nos seus recursos.
- Visualização do usuário: investigue os usuários da sua empresa que podem ter sido afetados por eventos de segurança.
- Filtragem procedural: ajuste fino das informações sobre um recurso, incluindo por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).
Informações em destaque
- Os blocos de insights de recursos destacam os domínios e alertas que você pode querer investigar melhor.
- O gráfico de prevalência mostra o número de domínios a que um recurso se conectou em um período especificado.
- Alertas de outros produtos de segurança conhecidos.
Mecanismo de detecção
É possível usar o mecanismo de detecção do Google SecOps para automatizar o processo de pesquisa de problemas de segurança nos dados. É possível especificar regras para pesquisar todos os dados recebidos e receber notificações quando ameaças conhecidas e em potencial aparecerem na sua empresa.
Controle de acesso
É possível usar funções predefinidas e configurar novas funções para controlar o acesso a classes de dados, alertas e eventos armazenados na sua instância do Google SecOps. O Identity and Access Management oferece controle de acesso para o Google SecOps.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.