Intégrer BYOL Threat Intelligence

Compatible avec :

Intégrez vos données Google Threat Intelligence (GTI) sous licence directement dans Google SecOps à l'aide de l'intégration Bring Your Own License (BYOL). Ingérez des listes de menaces, des flux d'IoC et le contexte des pirates informatiques pour améliorer vos capacités de détection et de recherche des menaces.

L'intégration BYOL de Google Threat Intelligence ingère vos données de renseignements sur les menaces dans Google SecOps et les normalise au format UDM (Unified Data Model). Google SecOps met en corrélation cette télémétrie des menaces avec vos événements de sécurité, ce qui améliore immédiatement votre recherche et votre détection des menaces.

Disponibilité

Cette intégration est disponible pour les clients Google SecOps Standard et Enterprise qui disposent d'une licence Google Threat Intelligence active.

  • Standard et Enterprise : cette intégration fournit un pipeline déployé par le client pour importer les données Google Threat Intelligence dans votre environnement Google SecOps à des fins de détection et de recherche.
  • Enterprise+ : les clients Enterprise+ bénéficient déjà d' Applied Threat Intelligence (ATI), un pipeline intégré entièrement géré qui organise et applique automatiquement les renseignements sur les menaces de Google intelligence. Bien que cette intégration BYOL soit compatible avec Enterprise+, le service ATI est la solution recommandée.

Capacités clés

Prérequis

Avant de configurer l'intégration, assurez-vous de disposer des éléments suivants :

  • Une licence Google Threat Intelligence (BYOL) valide et active pour accéder à l'API GTI.
  • L'accès à un Google Cloud projet pour déployer les ressources nécessaires (fonctions Cloud Run, Cloud Scheduler, Secret Manager).
  • L'accès à votre instance Google SecOps.

Déploiement

Cette intégration est une solution déployée par le client qui utilise Google Cloud des ressources pour extraire des données de l'API GTI et les diffuser en streaming vers Google SecOps.

Suivez les instructions et le guide de l'utilisateur pour exécuter les scripts de déploiement et configurer l'intégration de Google Threat Intelligence. Pour en savoir plus, consultez le fichier README du dépôt GitHub officiel : Scripts d'ingestion de Google Threat Intelligence sur GitHub

Une fois déployé, le processus d'ingestion BYOL est déclenché par une tâche Cloud Scheduler, qui active une fonction Cloud pour extraire en toute sécurité les identifiants d'API de Secret Manager. La fonction interroge ensuite l'API GTI externe pour obtenir les dernières données sur les menaces, les diffuse en streaming vers l'API Chronicle, et un analyseur par défaut transforme (normalise) les données brutes en entités UDM.

Tableaux de bord

Google Threat Intelligence vous offre la visibilité nécessaire pour comprendre et anticiper les tactiques des pirates informatiques, et protéger votre organisation contre les menaces émergentes. Utilisez les tableaux de bord suivants pour visualiser les données ingérées :

  • Tableau de bord des listes de menaces : se concentre sur la détection et le blocage, et affiche le nombre d' IoC par niveau de gravité et par type d'entité.
  • Tableau de bord des renseignements sur les pirates informatiques : se concentre sur le contexte et vous permet d’ explorer les familles de logiciels malveillants, les pirates informatiques et les campagnes.
  • Tableau de bord Google Threat Intelligence : fournit une vue d'ensemble en temps réel du flux d' IoC, y compris la répartition par niveau de gravité et la répartition géographique.

Workflow unifié : SIEM et SOAR

L'intégration BYOL combine les capacités de détection et de recherche de SIEM avec les fonctionnalités Google Threat Intelligence de SOAR dans un workflow de sécurité en boucle fermée.

SIEM vous aide à trouver les menaces, et SOAR vous permet d'y répondre. Les scénarios suivants illustrent le fonctionnement combiné de ces fonctionnalités :

  1. Enquête enrichie (SIEM vers SOAR)
    • Action : un analyste identifie un domaine suspect dans Google SecOps SIEM à l'aide des données GTI ingérées.
    • Réponse : il déclenche une action de recherche SOAR pour interroger GTI afin d'obtenir un contexte approfondi sur ce domaine (par exemple, les pirates informatiques associés, le DNS passif) sans quitter le flux d'enquête.
  2. Analyse avancée des artefacts (SIEM vers SOAR)
    • Action : lors d'une enquête dans Google SecOps SIEM, un analyste rencontre un hachage de fichier ou une URL suspects qui ne disposent pas de données de réputation définitives.
    • Réponse : à l'aide de l'intégration SOAR, l'analyste déclenche une action pour envoyer de manière privée l'URL ou le fichier à Google Threat Intelligence afin d'effectuer une analyse avancée. Cela permet d'effectuer une analyse approfondie et des détonations de bac à sable pour déterminer la malveillance, tout en gardant l'échantillon envoyé privé et en ne le partageant pas immédiatement avec la communauté au sens large.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.