Integrasi Threat Intelligence BYOL

Didukung di:

Integrasikan data Google Threat Intelligence (GTI) berlisensi Anda langsung ke Google SecOps menggunakan integrasi Bring Your Own License (BYOL). Menyerap daftar ancaman, aliran IoC, dan konteks penyerang untuk meningkatkan kemampuan deteksi dan perburuan ancaman Anda.

Integrasi BYOL Google Threat Intelligence menyerap data threat intelligence Anda ke dalam Google SecOps dan menormalisasinya ke dalam format Model Data Terpadu (UDM). Google SecOps mengorelasikan telemetri ancaman ini dengan peristiwa keamanan Anda, sehingga langsung meningkatkan perburuan dan deteksi ancaman Anda.

Ketersediaan

Integrasi ini tersedia untuk pelanggan Google SecOps Standard dan Enterprise yang memiliki lisensi Google Threat Intelligence yang aktif.

  • Standard dan Enterprise: Integrasi ini menyediakan pipeline yang di-deploy pelanggan untuk memasukkan data Google Threat Intelligence ke lingkungan Google SecOps Anda untuk deteksi dan perburuan.
  • Enterprise+: Pelanggan Enterprise+ sudah mendapatkan manfaat dari Applied Threat Intelligence (ATI), pipeline bawaan yang dikelola sepenuhnya dan secara otomatis mengumpulkan serta menerapkan kecerdasan ancaman Google. Meskipun integrasi BYOL ini kompatibel dengan Enterprise+, layanan ATI adalah solusi yang direkomendasikan.

Kemampuan utama

  • Penyerapan data terpadu: Menyerap daftar ancaman GTI (IoC yang dikategorikan) dan data streaming IoC, memberikan pembaruan hampir real-time untuk hash file, IP, URL, dan domain.
  • Normalisasi UDM: Secara otomatis mem-parsing data ke Model Data Terpadu (UDM) di bawah jenis log GCP_THREATINTEL, sehingga data dapat langsung ditelusuri dan siap untuk aturan korelasi.
  • Konteks penyerang: Menyerap asosiasi untuk malware, pelaku ancaman, kampanye, dan laporan, termasuk pemetaan MITRE ATT&CK.
  • Dasbor bawaan: Mencakup dasbor siap pakai untuk memvisualisasikan daftar ancaman, intelijen penyerang, dan aliran IoC.

Prasyarat

Sebelum menyiapkan integrasi, pastikan Anda memiliki hal berikut:

  • Lisensi Google Threat Intelligence (BYOL) yang valid dan aktif untuk mengakses GTI API.
  • Akses ke project Google Cloud untuk men-deploy resource yang diperlukan (Cloud Run Functions, Cloud Scheduler, Secret Manager).
  • Akses ke instance Google SecOps Anda.

Deployment

Integrasi ini adalah solusi yang di-deploy pelanggan yang menggunakan Google Cloud resource untuk mengambil data dari GTI API dan menstreaming-nya ke Google SecOps.

Ikuti petunjuk dan panduan pengguna untuk menjalankan skrip deployment dan mengonfigurasi integrasi Google Threat Intelligence. Untuk mengetahui detailnya, lihat file readme repositori GitHub resmi: Skrip penyerapan Google Threat Intelligence di GitHub

Setelah di-deploy, proses penyerapan BYOL dipicu oleh tugas Cloud Scheduler, yang mengaktifkan Cloud Function untuk mengambil kredensial API secara aman dari Secret Manager. Kemudian, fungsi ini mengkueri GTI API eksternal untuk mendapatkan data ancaman terbaru, mengalirkan data tersebut ke Chronicle API, dan parser default mengubah (menormalisasi) data mentah menjadi entitas UDM.

Dasbor

Google Threat Intelligence memberi Anda visibilitas yang diperlukan untuk memahami dan mengantisipasi taktik pelaku ancaman serta melindungi organisasi Anda dari ancaman yang muncul. Gunakan dasbor berikut untuk memvisualisasikan data yang di-ingest:

  • Dasbor daftar ancaman: Berfokus pada deteksi dan pemblokiran, yang menampilkan jumlah IoC menurut tingkat keparahan dan jenis entity.
  • Dasbor intelijen musuh: Berfokus pada konteks dan memungkinkan Anda melihat perincian jenis malware, pelaku ancaman, dan kampanye.
  • Dasbor Google Threat Intelligence: Memberikan ringkasan real-time tentang aliran IoC, termasuk distribusi tingkat keparahan dan perincian geografis.

Alur kerja terpadu: SIEM dan SOAR

Integrasi BYOL menggabungkan kemampuan deteksi dan perburuan SIEM dengan fitur SOAR Google Threat Intelligence dalam alur kerja keamanan loop tertutup.

SIEM membantu Anda menemukan ancaman, dan SOAR memungkinkan Anda merespons ancaman tersebut. Skenario berikut menggambarkan cara kerja kemampuan ini bersama-sama:

  1. Penyelidikan yang lebih baik (SIEM ke SOAR):
    • Tindakan: Seorang analis mengidentifikasi domain mencurigakan di Google SecOps SIEM menggunakan data GTI yang di-ingest.
    • Respons: Mereka memicu tindakan penelusuran SOAR untuk mengkueri GTI guna mendapatkan konteks mendalam tentang domain tersebut (misalnya, pelaku ancaman terkait, DNS pasif) tanpa keluar dari alur investigasi.
  2. Analisis artefak lanjutan (SIEM ke SOAR):
    • Tindakan: Selama penyelidikan di Google SecOps SIEM, seorang analis menemukan hash file atau URL mencurigakan yang tidak memiliki data reputasi yang pasti.
    • Respons: Dengan menggunakan integrasi SOAR, analis memicu tindakan untuk mengirimkan URL atau file secara pribadi ke Google Threat Intelligence untuk analisis lanjutan. Fitur ini melakukan pemindaian mendalam dan detonasi sandbox untuk menentukan apakah ada aktivitas berbahaya, sekaligus menjaga kerahasiaan kiriman dan tidak membagikannya kepada komunitas yang lebih luas secara langsung.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.