Google SecOps 總覽

Google Security Operations 是一項雲端服務，以 Google 基礎架構為基礎，專為企業設計，可私下保留、分析及搜尋大量安全性與網路遙測資料。

Google SecOps 會將資料標準化、建立索引、相互參照及分析，以便即時分析及掌握有風險的活動情況。Google SecOps 可用於偵測威脅、調查威脅的範圍和原因，並透過與企業工作流程、應變和協調平台預先建構的整合功能，提供補救措施。

Google SecOps 可讓您查看企業的匯總安全資訊，時間可回溯至數月前或更久。使用 Google SecOps 搜尋企業內存取的所有網域。您可以將搜尋範圍縮小至任何特定資產、網域或 IP 位址，判斷是否發生任何入侵事件。

Google SecOps 平台提供下列功能，協助安全分析師在安全威脅的整個生命週期中進行分析及減輕影響：

• 收集：使用轉送器、剖析器、連接器和 Webhook，將資料擷取至平台。
• 偵測：這項資料會經過匯總和正規化處理 (使用通用資料模型 (UDM))，並連結至偵測結果和威脅情報。
• 調查：透過案件管理、搜尋、協作和情境感知分析調查威脅。
• 應變：安全分析師可使用自動化應對手冊和事件管理功能，快速應變並提供解決方案。

資料收集

Google SecOps 可透過多種方式擷取多種安全遙測類型，包括：

• 轉送器：部署在客戶網路中的輕量型軟體元件，支援系統記錄、封包擷取，以及現有的記錄管理或安全資訊與事件管理 (SIEM) 資料存放區。

• 擷取 API：可將記錄直接傳送至 Google SecOps 平台，因此客戶環境中不需要額外的硬體或軟體。

• 與第三方服務整合：與第三方雲端 API 整合，方便擷取記錄，包括 Office 365 和 Azure AD 等來源。

威脅分析

Google SecOps 的分析功能是以瀏覽器應用程式的形式提供。您也可以透過 Read API，以程式輔助的方式存取許多功能。如果分析師發現潛在威脅，Google SecOps 可協助他們進一步調查，並判斷最佳回應方式。

Google SecOps 功能摘要

本節說明 Google SecOps 的部分功能。

搜尋

• UDM 搜尋：您可以在 Google SecOps 執行個體中，尋找統合式資料模型 (UDM) 事件和快訊。
• 原始記錄檔掃描：搜尋未經剖析的原始記錄檔。
• 規則運算式：使用規則運算式搜尋未經剖析的原始記錄。

記錄管理

將相關警示彙整成案件；排序和篩選案件佇列，以利分類並排定優先順序；指派案件；合作處理案件；執行案件稽核並製作報表。

應對手冊設計工具

選取預先定義的動作，並拖曳至應對手冊面板中，即可輕鬆建立應對手冊，不必額外編寫程式碼。您也可以使用劇本，為每種快訊類型和每個 SOC 角色建立專屬檢視畫面。案件管理只會顯示與特定快訊類型和使用者角色相關的資料。

圖表調查工具

以圖表呈現攻擊者/行為/時間，找出威脅搜尋的機會，全面瞭解情況並採取行動。

資訊主頁和報表

有效評估及管理作業、向利害關係人展現價值，並即時追蹤 SOC 指標和 KPI。您可以使用內建的資訊主頁和報表，也可以自行打造。

整合式開發環境 (IDE)

具備程式設計技能的安全性團隊可以修改及強化現有的應對手冊動作、偵錯程式碼、為現有整合服務建立新動作，以及建立 Google Security Operations SOAR Marketplace 中未提供的整合服務。

調查檢視畫面

• 資產檢視畫面：調查企業內的資產，以及這些資產是否與可疑網域互動。
• IP 位址檢視畫面：調查企業內的特定 IP 位址，以及這些位址對資產的影響。
• 雜湊檢視畫面：根據檔案的雜湊值搜尋及調查檔案。
• 網域檢視畫面：調查企業內特定網域，以及這些網域對資產的影響。
• 使用者檢視畫面：調查企業中可能受到安全性事件影響的使用者。
• 程序篩選：微調資產相關資訊，包括事件類型、記錄來源、網路連線狀態和頂層網域 (TLD)。

醒目顯示的資訊

• 資產洞察區塊會醒目顯示您可能想進一步調查的網域和快訊。
• 使用率圖表會顯示資產在指定時間範圍內連結的網域數量。
• 其他熱門安全產品的快訊。

偵測引擎

您可以使用 Google SecOps 偵測引擎，自動在資料中搜尋安全性問題。您可以指定規則來搜尋所有傳入資料，並在企業中出現潛在和已知威脅時收到通知。

存取權控管

您可以運用預先定義的角色，以及設定新角色，控管 Google SecOps 執行個體中儲存的資料、快訊和事件存取權。身分與存取權管理可控管 Google SecOps 的存取權。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。