Integración de la inteligencia de amenazas de BYOL

Disponible en:

Integra tus datos de inteligencia sobre amenazas de Google (GTI) con licencia directamente en Google SecOps mediante la integración Trae tu propia licencia (BYOL). Ingiere listas de amenazas, flujos de IoC y contexto de adversarios para mejorar tus funciones de detección y búsqueda de amenazas.

La integración de BYOL de Google Threat Intelligence ingiere tus datos de inteligencia sobre amenazas en Google SecOps y los normaliza en formato de modelo de datos unificado (UDM). Google SecOps correlaciona esta telemetría de amenazas con tus eventos de seguridad, lo que mejora inmediatamente tu búsqueda y detección de amenazas.

Disponibilidad

Esta integración está disponible para los clientes de Google SecOps Standard y Enterprise que tengan una licencia activa de Google Threat Intelligence.

  • Standard y Enterprise: esta integración proporciona una canalización implementada por el cliente para incorporar datos de inteligencia sobre amenazas de Google a tu entorno de Google SecOps con fines de detección y búsqueda.
  • Enterprise+: los clientes de Enterprise+ ya disfrutan de Applied Threat Intelligence (ATI), una canalización integrada y totalmente gestionada que selecciona y aplica automáticamente la información sobre amenazas de Google. Aunque esta integración BYOL es compatible con Enterprise+, se recomienda usar el servicio ATI.

Funciones clave

  • Ingestión de datos unificada: ingiere listas de amenazas de GTI (IoCs categorizados) y datos de flujo de IoCs, lo que proporciona actualizaciones casi en tiempo real de hashes de archivos, IPs, URLs y dominios.
  • Normalización del UDM: analiza automáticamente los datos en el modelo de datos unificado (UDM) con el tipo de registro GCP_THREATINTEL, lo que permite buscarlos al instante y prepararlos para las reglas de correlación.
  • Contexto de los atacantes: ingiere asociaciones de malware, agentes de amenazas, campañas e informes, incluidas las asignaciones de MITRE ATT&CK.
  • Paneles de control predefinidos: incluye paneles de control listos para usar que permiten visualizar listas de amenazas, información sobre adversarios y streams de IoCs.

Requisitos previos

Antes de configurar la integración, asegúrate de que tienes lo siguiente:

  • Una licencia de Google Threat Intelligence válida y activa (BYOL) para acceder a la API de GTI.
  • Acceso a un Google Cloud proyecto para desplegar los recursos necesarios (funciones de Cloud Run, Cloud Scheduler y Secret Manager).
  • Acceso a tu instancia de Google SecOps.

Implementación

Esta integración es una solución implementada por el cliente que usa Google Cloud recursos para obtener datos de la API GTI y enviarlos a Google SecOps.

Sigue las instrucciones y la guía del usuario para ejecutar las secuencias de comandos de implementación y configurar la integración de Google Threat Intelligence. Para obtener más información, consulta el archivo README del repositorio oficial de GitHub: Secuencias de comandos de ingestión de inteligencia sobre amenazas de Google en GitHub.

Una vez desplegado, el proceso de ingestión de BYOL se activa mediante una tarea de Cloud Scheduler, que activa una función de Cloud para obtener de forma segura las credenciales de la API de Secret Manager. A continuación, la función consulta la API de GTI externa para obtener los datos de amenazas más recientes, los transmite a la API de Chronicle y un analizador predeterminado transforma (normaliza) los datos sin procesar en entidades UDM.

Paneles de control

Google Threat Intelligence te ofrece la visibilidad que necesitas para comprender y anticipar las tácticas de los agentes de riesgo, así como para proteger tu organización frente a las amenazas emergentes. Usa los siguientes paneles de control para visualizar los datos insertados:

  • Panel de control de listas de amenazas: se centra en la detección y el bloqueo, y muestra el número de IoCs por gravedad y tipo de entidad.
  • Panel de control de inteligencia sobre adversarios: se centra en el contexto y te permite desglosar las familias de malware, los atacantes y las campañas.
  • Panel de control de Inteligencia de amenazas de Google: ofrece una vista general en tiempo real del flujo de IoCs, incluida la distribución de la gravedad y el desglose geográfico.

Flujo de trabajo unificado: SIEM y SOAR

La integración de BYOL combina las funciones de detección y búsqueda de SIEM con las funciones de SOAR y Google Threat Intelligence en un flujo de trabajo de seguridad de bucle cerrado.

SIEM te ayuda a detectar amenazas y SOAR te permite responder a ellas. En los siguientes casos prácticos se muestra cómo funcionan estas funciones conjuntamente:

  1. Investigación enriquecida (de SIEM a SOAR):
    • Acción: un analista identifica un dominio sospechoso en Google SecOps SIEM mediante los datos de GTI ingeridos.
    • Respuesta: activan una acción de búsqueda de SOAR para consultar GTI y obtener información detallada sobre ese dominio (por ejemplo, agentes de amenazas asociados o DNS pasivo) sin salir del flujo de investigación.
  2. Análisis avanzado de artefactos (de SIEM a SOAR):
    • Acción: Durante una investigación en Google SecOps SIEM, un analista se encuentra con un hash de archivo o una URL sospechosos que no tienen datos de reputación definitivos.
    • Respuesta: mediante la integración de SOAR, el analista activa una acción para enviar de forma privada la URL o el archivo a Google Threat Intelligence para que se analice en profundidad. Esta opción realiza análisis profundos y detonaciones en un entorno aislado para determinar si el archivo es malicioso, al tiempo que mantiene la privacidad del envío y no lo comparte inmediatamente con la comunidad en general.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.