Integración de la inteligencia sobre amenazas de BYOL

Se admite en los siguientes sistemas operativos:

Integra tus datos de Inteligencia sobre amenazas de Google (GTI) con licencia directamente en Google SecOps a través de la integración de Licencia adquirida por el usuario (BYOL). Transfiere listas de amenazas, flujos de IoC y contexto de adversarios para mejorar tus capacidades de detección y búsqueda de amenazas.

La integración de BYOL de la inteligencia sobre amenazas de Google ingiere tus datos de inteligencia sobre amenazas en Google SecOps y los normaliza en formato de modelo de datos unificado (UDM). Google SecOps correlaciona esta telemetría de amenazas con tus eventos de seguridad, lo que mejora de inmediato la búsqueda y la detección de amenazas.

Disponibilidad

Esta integración está disponible para los clientes de Google SecOps Standard y Enterprise que tengan una licencia activa de Google Threat Intelligence.

  • Estándar y Enterprise: Esta integración proporciona una canalización implementada por el cliente para incorporar datos de la Inteligencia sobre amenazas de Google a tu entorno de Google SecOps para la detección y la búsqueda.
  • Enterprise+: Los clientes de Enterprise+ ya se benefician de la Inteligencia sobre amenazas aplicada (ATI), una canalización integrada y completamente administrada que selecciona y aplica automáticamente la inteligencia sobre amenazas de Google. Si bien esta integración de BYOL es compatible con Enterprise+, el servicio de ATI es la solución recomendada.

Funciones clave

  • Ingesta de datos unificada: Ingiere listas de amenazas de GTI (IoCs categorizados) y datos de transmisión de IoCs, lo que proporciona actualizaciones casi en tiempo real para hashes de archivos, IPs, URLs y dominios.
  • Normalización del UDM: Analiza automáticamente los datos en el modelo de datos unificado (UDM) con el tipo de registro GCP_THREATINTEL, lo que permite realizar búsquedas instantáneas y aplicar reglas de correlación.
  • Contexto del adversario: Incorpora asociaciones para software malicioso, agentes de amenazas, campañas e informes, incluidas las asignaciones de MITRE ATT&CK.
  • Paneles prediseñados: Incluyen paneles listos para usar para visualizar listas de amenazas, inteligencia sobre adversarios y transmisiones de IoC.

Requisitos previos

Antes de configurar la integración, asegúrate de tener lo siguiente:

  • Una licencia de Google Threat Intelligence (BYOL) válida y activa para acceder a la API de GTI
  • Acceso a un proyecto de Google Cloud para implementar los recursos necesarios (Cloud Run Functions, Cloud Scheduler y Secret Manager)
  • Acceso a tu instancia de Google SecOps

Implementación

Esta integración es una solución implementada por el cliente que usa recursos para recuperar datos de la API de GTI y transmitirlos a Google SecOps. Google Cloud

Sigue las instrucciones y la guía del usuario para ejecutar las secuencias de comandos de implementación y configurar la integración de Google Threat Intelligence. Para obtener más detalles, consulta el archivo README oficial del repositorio de GitHub: Scripts de transferencia de datos de la inteligencia sobre amenazas de Google en GitHub

Una vez implementado, el proceso de transferencia de BYOL se activa mediante un trabajo de Cloud Scheduler, que activa una Cloud Function para recuperar de forma segura las credenciales de la API desde Secret Manager. Luego, la función consulta la API externa de GTI para obtener los datos de amenazas más recientes, los transmite a la API de Chronicle y un analizador predeterminado transforma (normaliza) los datos sin procesar en entidades del UDM.

Paneles

Google Threat Intelligence te brinda la visibilidad necesaria para comprender y anticipar las tácticas de los actores de amenazas, y proteger a tu organización contra las amenazas emergentes. Usa los siguientes paneles para visualizar los datos transferidos:

  • Panel de amenazas: Se enfoca en la detección y el bloqueo, y muestra los recuentos de IoC por gravedad y tipo de entidad.
  • Panel de inteligencia sobre adversarios: Se enfoca en el contexto y te permite profundizar en las familias de software malicioso, los agentes de amenazas y las campañas.
  • Panel de Google Threat Intelligence: Proporciona una descripción general en tiempo real del flujo de IoC, incluida la distribución de la gravedad y el desglose geográfico.

Flujo de trabajo unificado: SIEM y SOAR

La integración de BYOL combina las capacidades de detección y búsqueda de SIEM con las funciones de inteligencia sobre amenazas de Google de SOAR en un flujo de trabajo de seguridad de circuito cerrado.

La SIEM te ayuda a encontrar amenazas, y la SOAR te permite responder a ellas. En las siguientes situaciones, se ilustra cómo funcionan juntas estas capacidades:

  1. Investigación enriquecida (de SIEM a SOAR):
    • Acción: Un analista identifica un dominio sospechoso en el SIEM de Google SecOps con los datos de GTI incorporados.
    • Respuesta: Activan una acción de búsqueda de SOAR para consultar la GTI y obtener contexto detallado sobre ese dominio (por ejemplo, agentes de amenazas asociados, DNS pasivo) sin salir del flujo de investigación.
  2. Análisis avanzado de artefactos (de SIEM a SOAR):
    • Acción: Durante una investigación en el SIEM de Google SecOps, un analista encuentra un hash o una URL de archivo sospechoso que carece de datos de reputación definitivos.
    • Respuesta: Con la integración de SOAR, el analista activa una acción para enviar de forma privada la URL o el archivo a Google Threat Intelligence para realizar un análisis avanzado. Esto realiza análisis profundos y detonaciones en zona de pruebas para determinar la maliciosidad, a la vez que mantiene la privacidad del envío y no lo comparte con la comunidad en general de inmediato.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.