Intégration de BYOL Threat Intelligence

Compatible avec :

Intégrez vos données Google Threat Intelligence (GTI) sous licence directement dans Google SecOps à l'aide de l'intégration Bring Your Own License (BYOL). Ingérez des listes de menaces, des flux d'IoC et le contexte des adversaires pour améliorer vos capacités de détection et de traque des menaces.

L'intégration BYOL (Bring Your Own License) de Google Threat Intelligence ingère vos données de renseignements sur les menaces dans Google SecOps et les normalise au format UDM (Unified Data Model). Google SecOps met en corrélation cette télémétrie des menaces avec vos événements de sécurité, ce qui améliore immédiatement la recherche et la détection des menaces.

Disponibilité

Cette intégration est disponible pour les clients Google SecOps Standard et Enterprise qui disposent d'une licence Google Threat Intelligence active.

  • Standard et Enterprise : cette intégration fournit un pipeline déployé par le client pour importer les données Google Threat Intelligence dans votre environnement Google SecOps à des fins de détection et de recherche.
  • Enterprise+ : les clients Enterprise+ bénéficient déjà de l'intelligence artificielle appliquée aux renseignements sur les menaces (ATI, Applied Threat Intelligence), un pipeline intégré entièrement géré qui organise et applique automatiquement les renseignements sur les menaces de Google. Bien que cette intégration BYOL soit compatible avec Enterprise Plus, le service ATI est la solution recommandée.

Capacités clés

  • Ingestion de données unifiée : ingère les listes de menaces GTI (IoC catégorisés) et les données de flux IoC, en fournissant des mises à jour en quasi-temps réel pour les hachages de fichiers, les adresses IP, les URL et les domaines.
  • Normalisation UDM : analyse automatiquement les données dans le modèle de données unifié (UDM) sous le type de journal GCP_THREATINTEL, ce qui les rend immédiatement consultables et prêtes pour les règles de corrélation.
  • Contexte de l'adversaire : ingère les associations pour les logiciels malveillants, les acteurs malveillants, les campagnes et les rapports, y compris les mappages MITRE ATT&CK.
  • Tableaux de bord prédéfinis : incluent des tableaux de bord prêts à l'emploi pour visualiser les listes de menaces, les renseignements sur les adversaires et les flux d'IoC.

Prérequis

Avant de configurer l'intégration, assurez-vous de disposer des éléments suivants :

  • Une licence Google Threat Intelligence (BYOL) valide et active pour accéder à l'API GTI.
  • Accès à un projet Google Cloud pour déployer les ressources nécessaires (fonctions Cloud Run, Cloud Scheduler, Secret Manager).
  • Accès à votre instance Google SecOps.

Déploiement

Cette intégration est une solution déployée par le client qui utilise les ressources Google Cloudpour extraire les données de l'API GTI et les diffuser en continu vers Google SecOps.

Suivez les instructions et le guide de l'utilisateur pour exécuter les scripts de déploiement et configurer l'intégration de Google Threat Intelligence. Pour en savoir plus, consultez le fichier README du dépôt GitHub officiel : Scripts d'ingestion Google Threat Intelligence sur GitHub.

Une fois déployé, le processus d'ingestion BYOL est déclenché par un job Cloud Scheduler, qui active une fonction Cloud pour récupérer de manière sécurisée les identifiants de l'API depuis Secret Manager. La fonction interroge ensuite l'API GTI externe pour obtenir les dernières données sur les menaces, les transmet à l'API Chronicle, et un analyseur par défaut transforme (normalise) les données brutes en entités UDM.

Tableaux de bord

Google Threat Intelligence vous offre la visibilité nécessaire pour comprendre et anticiper les tactiques des acteurs malveillants, et protéger votre organisation contre les menaces émergentes. Utilisez les tableaux de bord suivants pour visualiser les données ingérées :

  • Tableau de bord des listes de menaces : axé sur la détection et le blocage, il affiche le nombre d'IoC par niveau de gravité et type d'entité.
  • Tableau de bord "Informations sur les adversaires" : il se concentre sur le contexte et vous permet d'examiner en détail les familles de logiciels malveillants, les acteurs malveillants et les campagnes.
  • Tableau de bord Google Threat Intelligence : fournit un aperçu en temps réel du flux d'IoC, y compris la répartition par gravité et la répartition géographique.

Workflow unifié : SIEM et SOAR

L'intégration BYOL combine les capacités de détection et de recherche de SIEM avec les fonctionnalités SOAR de Google Threat Intelligence dans un workflow de sécurité en boucle fermée.

Le SIEM vous aide à détecter les menaces, et le SOAR vous permet d'y répondre. Les scénarios suivants illustrent le fonctionnement combiné de ces fonctionnalités :

  1. Enquête enrichie (SIEM vers SOAR) :
    • Action : un analyste identifie un domaine suspect dans Google SecOps SIEM à l'aide des données GTI ingérées.
    • Réponse : Ils déclenchent une action de recherche SOAR pour interroger GTI et obtenir un contexte approfondi sur ce domaine (par exemple, les acteurs malveillants associés, le DNS passif) sans quitter le flux d'investigation.
  2. Analyse avancée des artefacts (SIEM vers SOAR) :
    • Action : lors d'une investigation dans Google SecOps SIEM, un analyste rencontre un hachage de fichier ou une URL suspects qui ne disposent pas de données de réputation définitives.
    • Réponse : à l'aide de l'intégration SOAR, l'analyste déclenche une action pour envoyer de manière privée l'URL ou le fichier à Google Threat Intelligence pour une analyse avancée. Cette option effectue une analyse approfondie et une exécution en bac à sable pour déterminer si le fichier est malveillant. Elle permet également de garder la requête privée et de ne pas la partager immédiatement avec la communauté au sens large.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.