BYOL-Integration von Threat Intelligence
Mit der BYOL-Integration (Bring Your Own License) können Sie Ihre lizenzierten Google Threat Intelligence-Daten (GTI) direkt in Google SecOps einbinden. Sie können Bedrohungslisten, IoC-Streams und Kontext zu Angreifern aufnehmen, um Ihre Funktionen zur Bedrohungserkennung und ‑suche zu verbessern.
Bei der BYOL-Integration von Google Threat Intelligence werden Ihre Bedrohungsinformationen in Google SecOps aufgenommen und in das einheitliche Datenmodell (Unified Data Model, UDM) normalisiert. Google SecOps korreliert diese Bedrohungstelemetrie mit Ihren Sicherheitsereignissen und verbessert so sofort Ihre Bedrohungssuche und ‑erkennung.
Verfügbarkeit
Diese Integration ist für Google SecOps Standard\- und Enterprise\-Kunden mit einer aktiven Google Threat Intelligence-Lizenz verfügbar.
- Standard und Enterprise:Diese Integration bietet eine vom Kunden bereitgestellte Pipeline, mit der Google Threat Intelligence-Daten zur Erkennung und Suche in Ihre Google SecOps-Umgebung übertragen werden können.
- Enterprise+: Enterprise+-Kunden profitieren bereits von Applied Threat Intelligence (ATI), einer vollständig verwalteten, integrierten Pipeline, die die Bedrohungsinformationen von Google automatisch zusammenstellt und anwendet. Diese BYOL-Integration ist zwar mit Enterprise+ kompatibel, der ATI-Dienst ist jedoch die empfohlene Lösung.
Hauptmerkmale
- Einheitliche Datenaufnahme:Nimmt GTI-Bedrohungslisten (kategorisierte IoCs) und IoC-Streamdaten auf und bietet nahezu in Echtzeit Updates für Dateihashes, IPs, URLs und Domains.
- UDM-Normalisierung: Analysiert Daten automatisch in das einheitliche
Datenmodell (UDM) unter dem Logtyp
GCP_THREATINTEL, sodass sie sofort durchsucht werden können und für Korrelationsregeln bereit sind. - Kontext zu Angreifern:Nimmt Zuordnungen für Malware, Bedrohungsakteure, Kampagnen und Berichte auf, einschließlich MITRE ATT&CK-Zuordnungen.
- Vorgefertigte Dashboards: Enthält sofort einsatzbereite Dashboards zur Visualisierung von Bedrohungslisten, Informationen zu Angreifern und IoC-Streams.
Vorbereitung
Bevor Sie die Integration einrichten, benötigen Sie Folgendes:
- Eine gültige und aktive Google Threat Intelligence-Lizenz (BYOL) für den Zugriff auf die GTI API.
- Zugriff auf ein Google Cloud Projekt, um die erforderlichen Ressourcen bereitzustellen (Cloud Run-Funktionen, Cloud Scheduler, Secret Manager).
- Zugriff auf Ihre Google SecOps-Instanz.
Bereitstellung
Diese Integration ist eine vom Kunden bereitgestellte Lösung, die Google Cloud Ressourcen verwendet, um Daten von der GTI API abzurufen und an Google SecOps zu streamen.
Folgen Sie der Anleitung und dem Nutzerhandbuch, um die Bereitstellungsskripts auszuführen und die Google Threat Intelligence-Integration zu konfigurieren. Weitere Informationen finden Sie in der Readme-Datei des offiziellen GitHub-Repositorys: Google Threat Intelligence-Aufnahmeskripts auf GitHub
Nach der Bereitstellung wird der BYOL-Aufnahmeprozess durch einen Cloud Scheduler-Job ausgelöst, der eine Cloud Function aktiviert, um API-Anmeldedaten sicher aus Secret Manager abzurufen. Die Funktion fragt dann die externe GTI API nach den neuesten Bedrohungsdaten ab, streamt sie an die Chronicle API und ein Standardparser transformiert (normalisiert) die Rohdaten in UDM-Entitäten.
Dashboards
Google Threat Intelligence bietet Ihnen die nötige Transparenz, um die Taktiken von Bedrohungsakteuren zu verstehen und vorherzusehen und Ihre Organisation vor neuen Bedrohungen zu schützen. Verwenden Sie die folgenden Dashboards, um die aufgenommenen Daten zu visualisieren:
- Dashboard für Bedrohungslisten: Konzentriert sich auf Erkennung und Blockierung und zeigt die Anzahl der IoCs nach Schweregrad und Entitätstyp.
- Dashboard für Informationen zu Angreifern: Konzentriert sich auf den Kontext und ermöglicht es Ihnen, Details zu Malware-Familien, Bedrohungsakteuren und Kampagnen aufzurufen.
- Google Threat Intelligence-Dashboard: Bietet eine Echtzeitübersicht über den IoC-Stream, einschließlich der Verteilung nach Schweregrad und der geografischen Aufschlüsselung.
Zusammengefasster Ablauf: SIEM und SOAR
Die BYOL-Integration kombiniert die Erkennungs- und Suchfunktionen von SIEM mit den Google Threat Intelligence -Funktionen von SOAR in einem geschlossenen Sicherheitsworkflow.
Mit SIEM können Sie Bedrohungen finden und mit SOAR können Sie darauf reagieren. Die folgenden Szenarien veranschaulichen, wie diese Funktionen zusammenarbeiten:
- Erweiterte Untersuchung (SIEM zu SOAR):
- Aktion:Ein Analyst identifiziert in Google SecOps SIEM eine verdächtige Domain mithilfe der aufgenommenen GTI-Daten.
- Antwort:Er löst eine SOAR-Suchaktion aus, um GTI nach detaillierten Kontextinformationen zu dieser Domain zu fragen (z. B. zugehörige Bedrohungsakteure, passives DNS), ohne den Untersuchungsablauf zu verlassen.
- Erweiterte Artefaktanalyse (SIEM zu SOAR):
- Aktion:Während einer Untersuchung in Google SecOps SIEM stößt ein Analyst auf einen verdächtigen Dateihash oder eine verdächtige URL, für die keine eindeutigen Reputationsdaten vorhanden sind.
- Antwort:Mit der SOAR-Integration löst der Analyst eine Aktion aus, um die URL oder Datei privat zur erweiterten Analyse an Google Threat Intelligence zu senden. Dabei werden umfassende Scans und Sandbox-Detonationen durchgeführt, um die Schädlichkeit zu ermitteln. Die Einreichung bleibt privat und wird nicht sofort für die breitere Community freigegeben.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten