BYOL-Integration von Threat Intelligence

Unterstützt in:

Sie können Ihre lizenzierten Google Threat Intelligence-Daten (GTI) mithilfe der BYOL-Integration (Bring Your Own License) direkt in Google SecOps einbinden. Nehmen Sie Bedrohungslisten, IoC-Streams und Angreiferkontext auf, um Ihre Funktionen zur Bedrohungserkennung und zum Threat Hunting zu verbessern.

Bei der BYOL-Integration von Google Threat Intelligence werden Ihre Threat Intelligence-Daten in Google SecOps aufgenommen und in das UDM-Format (Unified Data Model) normalisiert. Google SecOps korreliert diese Bedrohungstelemetrie mit Ihren Sicherheitsereignissen und verbessert so sofort die Suche nach Bedrohungen und die Erkennung von Bedrohungen.

Verfügbarkeit

Diese Integration ist für Google SecOps Standard- und Enterprise-Kunden mit einer aktiven Google Threat Intelligence-Lizenz verfügbar.

  • Standard und Enterprise:Diese Integration bietet eine vom Kunden bereitgestellte Pipeline, um Google Threat Intelligence-Daten zur Erkennung und Suche in Ihre Google SecOps-Umgebung zu übertragen.
  • Enterprise+:Enterprise+-Kunden profitieren bereits von Applied Threat Intelligence (ATI), einer vollständig verwalteten, integrierten Pipeline, die die Threat Intelligence von Google automatisch kuratiert und anwendet. Diese BYOL-Integration ist zwar mit Enterprise+ kompatibel, der ATI-Dienst ist jedoch die empfohlene Lösung.

Hauptmerkmale

  • Einheitliche Datenaufnahme:Nimmt GTI-Bedrohungslisten (kategorisierte IoCs) und IoC-Streamdaten auf und bietet nahezu in Echtzeit Updates für Dateihashes, IPs, URLs und Domains.
  • UDM-Normalisierung:Daten werden automatisch in das einheitliche Datenmodell (Unified Data Model, UDM) unter dem Logtyp GCP_THREATINTEL geparst. Dadurch sind sie sofort durchsuchbar und für Korrelationsregeln verfügbar.
  • Angreiferkontext:Nimmt Zuordnungen für Malware, Bedrohungsakteure, Kampagnen und Berichte auf, einschließlich MITRE ATT&CK-Zuordnungen.
  • Vorgefertigte Dashboards:Enthält sofort einsatzbereite Dashboards zur Visualisierung von Bedrohungslisten, Informationen zu Angreifern und IoC-Streams.

Vorbereitung

Bevor Sie die Integration einrichten, benötigen Sie Folgendes:

  • Eine gültige und aktive Google Threat Intelligence-Lizenz (BYOL) für den Zugriff auf die GTI API.
  • Zugriff auf ein Google Cloud -Projekt zum Bereitstellen der erforderlichen Ressourcen (Cloud Run-Funktionen, Cloud Scheduler, Secret Manager).
  • Zugriff auf Ihre Google SecOps-Instanz.

Bereitstellung

Diese Integration ist eine vom Kunden bereitgestellte Lösung, die Google Cloud-Ressourcen verwendet, um Daten von der GTI API abzurufen und an Google SecOps zu streamen.

Folgen Sie der Anleitung und dem Nutzerhandbuch, um die Bereitstellungsskripts auszuführen und die Google Threat Intelligence-Integration zu konfigurieren. Weitere Informationen finden Sie in der README-Datei des offiziellen GitHub-Repositorys: Google Threat Intelligence ingestion scripts on GitHub.

Nach der Bereitstellung wird der BYOL-Aufnahmeprozess durch einen Cloud Scheduler-Job ausgelöst, der eine Cloud Function aktiviert, um API-Anmeldedaten sicher aus Secret Manager abzurufen. Die Funktion fragt dann die externe GTI API nach den neuesten Bedrohungsdaten ab, streamt sie an die Chronicle API und ein Standardparser transformiert (normalisiert) die Rohdaten in UDM-Entitäten.

Dashboards

Google Threat Intelligence bietet Ihnen die nötige Transparenz, um die Taktiken von Bedrohungsakteuren zu verstehen und vorherzusehen und Ihr Unternehmen vor neuen Bedrohungen zu schützen. Verwenden Sie die folgenden Dashboards, um die aufgenommenen Daten zu visualisieren:

  • Dashboard für Bedrohungslisten: Konzentriert sich auf Erkennung und Blockierung und zeigt die Anzahl der IoCs nach Schweregrad und Entitätstyp an.
  • Dashboard für Informationen zu Angreifern: Hier liegt der Fokus auf dem Kontext. Sie können Malware-Familien, Bedrohungsakteure und Kampagnen genauer untersuchen.
  • Google Threat Intelligence-Dashboard: Bietet einen Echtzeitüberblick über den IoC-Stream, einschließlich der Verteilung nach Schweregrad und der geografischen Aufschlüsselung.

Einheitlicher Workflow: SIEM und SOAR

Die BYOL-Integration kombiniert die Erkennungs- und Hunting-Funktionen von SIEM mit den SOAR-Funktionen von Google Threat Intelligence in einem Closed-Loop-Sicherheitsworkflow.

Mit SIEM können Sie Bedrohungen finden und mit SOAR darauf reagieren. Die folgenden Szenarien veranschaulichen, wie diese Funktionen zusammenwirken:

  1. Angereicherte Untersuchung (SIEM zu SOAR):
    • Aktion:Ein Analyst identifiziert mithilfe der aufgenommenen GTI-Daten eine verdächtige Domain in Google SecOps SIEM.
    • Antwort:Sie lösen eine SOAR-Suchaktion aus, um GTI nach detailliertem Kontext für diese Domain abzufragen (z. B. zugehörige Bedrohungsakteure, passives DNS), ohne den Untersuchungsablauf zu verlassen.
  2. Erweiterte Artefaktanalyse (SIEM zu SOAR):
    • Aktion:Bei einer Untersuchung in Google SecOps SIEM stößt ein Analyst auf einen verdächtigen Dateihash oder eine verdächtige URL, für die keine eindeutigen Bewertungsdaten verfügbar sind.
    • Antwort:Über die SOAR-Integration löst der Analyst eine Aktion aus, um die URL oder Datei zur erweiterten Analyse privat an Google Threat Intelligence zu senden. Dabei werden Deep Scans und Sandbox-Detonationen durchgeführt, um die Schädlichkeit zu ermitteln. Die Einreichung bleibt privat und wird nicht sofort für die Community freigegeben.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten