Google Security Operations 概览

支持的平台:

Google 安全运维是一种云服务,作为 Google 基础架构之上的专用层构建,旨在让企业以私密方式保留、分析和搜索它们生成的大量安全和网络遥测数据。

Google Security Operations 对数据进行归一化、编入索引、关联和分析数据,以提供即时分析和背景信息。Google Security Operations 可用于检测威胁、调查威胁的范围和原因,并通过与企业工作流、响应和编排平台的预构建集成来提供补救措施。

借助 Google SecOps,您可以检查企业过去几个月或更长时间的汇总安全信息。使用 Google 安全运营在您的企业内部访问的所有网域中执行搜索。您可以将搜索范围缩小到任何特定的资产、网域或 IP 地址,以确定是否发生了任何入侵。

借助 Google SecOps 平台,安全分析师可以利用以下功能在安全威胁的整个生命周期中对其进行分析和缓解:

  • 收集:使用转发器、解析器、连接器和 Webhook 将数据提取到平台中。
  • 检测:系统会汇总这些数据,使用通用数据模型 (UDM) 对其进行标准化处理,并将其与检测结果和威胁情报相关联。
  • 调查:通过案例管理、搜索、协作和情境感知型分析来调查威胁。
  • 响应:安全分析师可以使用自动化 playbook 和突发事件管理功能快速响应并提供解决方案。

数据收集

Google 安全运营中心可以通过多种方法注入多种安全遥测类型,包括:

  • 转发器:一种部署在客户网络中的轻量级软件组件,支持 Syslog、数据包捕获以及现有日志管理或安全信息与事件管理 (SIEM) 数据存储库。

  • 提取 API:允许将日志直接发送到 Google Security Operations 平台的 API,无需在客户环境中使用其他硬件或软件。

  • 第三方集成:与第三方云 API 集成,以便提取日志,包括 Office 365 和 Azure AD 等来源。

威胁分析

Google Security Operations 的分析功能以浏览器形式提供。其中许多功能也可通过 Read API 以编程方式访问。Google Security Operations 为分析师提供了一种方法,当他们发现潜在威胁时,即可展开进一步调查并确定最佳响应方式。

Google Security Operations 功能摘要

本部分介绍了 Google 安全运营中心提供的一些功能。

  • UDM 搜索:可让您在 Google Security Operations 实例中查找统一数据模型 (UDM) 事件和提醒。
  • 原始日志扫描:搜索未解析的原始日志。
  • 正则表达式:使用正则表达式搜索未解析的原始日志。

案例管理

将相关警报归入不同案例中;通过对案例队列进行排序和过滤来对实现分类和确定优先级;分配案例;就各案例展开协作;审核和报告案例。

Playbook Designer

选择预定义的操作,然后将其拖放到 Playbook 画布中,无需额外编码即可构建 Playbook。借助 Playbook,您还可以为每种提醒类型和每个 SOC 角色创建专用视图。支持请求管理界面仅会显示与特定提醒类型和用户角色相关的数据。

图表调查工具

直观呈现攻击的实施者/内容/时间,找出威胁猎捕机会,掌握全局并采取行动。

信息中心和报告

有效衡量和管理运维情况,向利益相关方展示价值,跟踪实时 SOC 指标和 KPI。您可以使用内置信息中心和报告,也可以自行构建信息中心和报告。

集成开发环境 (IDE)

具备编码技能的安全团队可以修改和增强现有 Playbook 操作、调试代码、为现有集成构建新操作,以及创建 Google 安全运维 SOAR Marketplace 中不提供的集成。

调查视图

  • “资产”视图:调查企业内的资产,以及资产是否与可疑网域互动。
  • “IP 地址”视图:调查企业内的特定 IP 地址及其对资产的影响。
  • “哈希”视图:根据文件的哈希值搜索和调查文件。
  • “网域”视图:调查企业中的特定网域及其对资产的影响。
  • 用户视图:调查您企业中可能受安全性事件影响的用户。
  • 过程过滤:微调有关资产的信息,包括按事件类型、日志源、网络连接状态和顶级域名 (TLD)。

突出显示的信息

  • 资产数据洞察块会突出显示您可能需要进一步调查的网域和提醒。
  • 普及率图表显示指定时间段内资产关联的网域数量。
  • 来自其他热门安全产品的提醒。

检测引擎

您可以使用 Google Security Operations Detection Engine 自动搜索数据以查找安全问题。您可以指定规则以搜索所有传入数据,并在您的企业出现潜在和已知威胁时通知您。

访问权限控制

您可以使用预定义角色,也可以配置新角色,以控制对 Google 安全运营实例中存储的类别数据、提醒和事件的访问权限。Identity and Access Management 为 Google 安全运营团队提供访问权限控制。