Mengintegrasikan Threat Intelligence BYOL

Didukung di:

Integrasikan data Google Threat Intelligence (GTI) berlisensi Anda langsung ke Google SecOps menggunakan integrasi Bring Your Own License (BYOL). Muat daftar ancaman, streaming IoC, dan konteks penyerang untuk meningkatkan kemampuan deteksi dan pencarian ancaman Anda.

Integrasi BYOL Google Threat Intelligence memuat data threat intelligence Anda ke Google SecOps dan menormalisasinya ke dalam format Model Data Terpadu (UDM). Google SecOps menghubungkan telemetri ancaman ini dengan peristiwa keamanan Anda, sehingga langsung meningkatkan pencarian dan deteksi ancaman Anda.

Ketersediaan

Integrasi ini tersedia untuk pelanggan Google SecOps Standard dan Enterprise yang memiliki lisensi Google Threat Intelligence aktif.

  • Standard dan Enterprise: Integrasi ini menyediakan pipeline yang di-deploy pelanggan untuk memindahkan data Google Threat Intelligence ke lingkungan Google SecOps Anda untuk deteksi dan pencarian.
  • Enterprise+: Pelanggan Enterprise+ sudah mendapatkan manfaat dari Applied Threat Intelligence (ATI), pipeline bawaan yang dikelola sepenuhnya dan otomatis mengumpulkan serta menerapkan threat intelligence Google. Meskipun integrasi BYOL ini kompatibel dengan Enterprise+, layanan ATI adalah solusi yang direkomendasikan.

Kemampuan utama

  • Penyerapan data terpadu: Menyerap daftar ancaman GTI (IoC yang dikategorikan) dan data streaming IoC, yang memberikan update hampir real-time untuk hash file, IP, URL, dan domain.
  • Normalisasi UDM: Otomatis mengurai data ke dalam Model Data Terpadu (UDM) di bagian jenis log GCP_THREATINTEL, sehingga data dapat langsung ditelusuri dan siap untuk aturan korelasi.
  • Konteks penyerang: Memuat asosiasi untuk malware, pelaku ancaman, kampanye, dan laporan, termasuk pemetaan MITRE ATT&CK.
  • Dasbor bawaan: Mencakup dasbor bawaan untuk memvisualisasikan daftar ancaman, intelijen penyerang, dan streaming IoC.

Prasyarat

Sebelum menyiapkan integrasi, pastikan Anda memiliki hal berikut:

  • Lisensi Google Threat Intelligence (BYOL) yang valid dan aktif, untuk mengakses GTI API.
  • Akses ke Google Cloud project untuk men-deploy resource yang diperlukan (fungsi Cloud Run, Cloud Scheduler, Secret Manager).
  • Akses ke instance Google SecOps Anda.

Deployment

Integrasi ini adalah solusi yang di-deploy pelanggan yang menggunakan Google Cloud resource untuk mengambil data dari GTI API dan melakukan streaming ke Google SecOps.

Ikuti petunjuk dan panduan pengguna untuk menjalankan skrip deployment dan mengonfigurasi integrasi Google Threat Intelligence. Untuk mengetahui detailnya, lihat file readme repositori GitHub resmi: Skrip pemuatan Google Threat Intelligence di GitHub

Setelah di-deploy, proses pemuatan BYOL dipicu oleh tugas Cloud Scheduler, yang mengaktifkan Cloud Function untuk mengambil kredensial API dari Secret Manager secara aman. Fungsi ini kemudian membuat kueri GTI API eksternal untuk mendapatkan data ancaman terbaru, melakukan streaming ke Chronicle API, dan parser default mengubah (menormalisasi) data mentah menjadi entity UDM.

Dasbor

Google Threat Intelligence memberi Anda visibilitas yang diperlukan untuk memahami dan mengantisipasi taktik pelaku ancaman serta melindungi organisasi Anda dari ancaman yang muncul. Gunakan dasbor berikut untuk memvisualisasikan data yang dimuat:

  • Dasbor daftar ancaman: Berfokus pada deteksi dan pemblokiran, yang menampilkan jumlah IoC berdasarkan tingkat keparahan dan jenis entity.
  • Dasbor intelijen penyerang: Berfokus pada konteks dan memungkinkan Anda melihat detail jenis malware, pelaku ancaman, dan kampanye.
  • Dasbor Google Threat Intelligence: Memberikan ringkasan real-time streaming IoC, termasuk distribusi tingkat keparahan dan perincian geografis.

Alur kerja terpadu: SIEM dan SOAR

Integrasi BYOL menggabungkan kemampuan deteksi dan pencarian SIEM dengan fitur Google Threat Intelligence SOAR dalam alur kerja keamanan loop tertutup.

SIEM membantu Anda menemukan ancaman, dan SOAR memungkinkan Anda merespons ancaman tersebut. Skenario berikut menggambarkan cara kerja kemampuan ini secara bersama-sama:

  1. Investigasi yang diperkaya (SIEM ke SOAR):
    • Tindakan: Analis mengidentifikasi domain yang mencurigakan di Google SecOps SIEM menggunakan data GTI yang dimuat.
    • Respons: Mereka memicu tindakan penelusuran SOAR untuk membuat kueri GTI guna mendapatkan konteks mendalam tentang domain tersebut (misalnya, pelaku ancaman terkait, DNS pasif) tanpa keluar dari alur investigasi.
  2. Analisis artefak lanjutan (SIEM ke SOAR):
    • Tindakan: Selama investigasi di Google SecOps SIEM, analis menemukan hash file atau URL yang mencurigakan yang tidak memiliki data reputasi definitif.
    • Respons: Menggunakan integrasi SOAR, analis memicu tindakan untuk mengirimkan URL atau file secara pribadi ke Google Threat Intelligence untuk analisis lanjutan. Tindakan ini melakukan pemindaian mendalam dan detonasi sandbox untuk menentukan tingkat bahaya, sekaligus menjaga pengiriman tetap bersifat pribadi dan tidak langsung membagikannya kepada komunitas yang lebih luas.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.