Integrazione di Threat Intelligence BYOL

Supportato in:

Integra i tuoi dati di Google Threat Intelligence (GTI) con licenza direttamente in Google SecOps utilizzando l'integrazione Bring Your Own License (BYOL). Importa elenchi di minacce, flussi di indicatori di compromissione e contesto degli avversari per migliorare le tue capacità di rilevamento e ricerca delle minacce.

L'integrazione BYOL di Google Threat Intelligence importa i tuoi dati di threat intelligence in Google SecOps e li normalizza nel formato Unified Data Model (UDM). Google SecOps correla questi dati telemetrici sulle minacce con i tuoi eventi di sicurezza, migliorando immediatamente la ricerca e il rilevamento delle minacce.

Disponibilità

Questa integrazione è disponibile per i clienti di Google SecOps Standard e Enterprise che dispongono di una licenza Google Threat Intelligence attiva.

  • Standard ed Enterprise:questa integrazione fornisce una pipeline implementata dal cliente per importare i dati di Google Threat Intelligence nel tuo ambiente Google SecOps per il rilevamento e la ricerca.
  • Enterprise+:i clienti Enterprise+ usufruiscono già dell'Applied Threat Intelligence (ATI), una pipeline integrata completamente gestita che seleziona e applica automaticamente la threat intelligence di Google. Sebbene questa integrazione BYOL sia compatibile con Enterprise+, il servizio ATI è la soluzione consigliata.

Funzionalità chiave

  • Inserimento importazione dati dati:inserisce gli elenchi di minacce GTI (indicatori di compromissione categorizzati) e i dati di flusso degli indicatori di compromissione, fornendo aggiornamenti quasi in tempo reale per hash di file, IP, URL e domini.
  • Normalizzazione UDM:analizza automaticamente i dati nel Unified Data Model (UDM) nel tipo di log GCP_THREATINTEL, rendendoli immediatamente disponibili per la ricerca e pronti per le regole di correlazione.
  • Contesto degli avversari: acquisisce le associazioni per malware, autori delle minacce, campagne e report, incluse le mappature MITRE ATT&CK.
  • Dashboard predefinite:include dashboard predefinite per visualizzare elenchi di minacce, intelligence sugli avversari e flussi di IoC.

Prerequisiti

Prima di configurare l'integrazione, assicurati di disporre di quanto segue:

  • Una licenza Google Threat Intelligence valida e attiva (BYOL) per accedere all'API GTI.
  • Accesso a un progetto Google Cloud per eseguire il deployment delle risorse necessarie (Cloud Run Functions, Cloud Scheduler, Secret Manager).
  • Accesso alla tua istanza Google SecOps.

Deployment

Questa integrazione è una soluzione implementata dal cliente che utilizza le risorse Google Cloud per recuperare i dati dall'API GTI e trasmetterli in streaming a Google SecOps.

Segui le istruzioni e la guida per l'utente per eseguire gli script di deployment e configurare l'integrazione di Google Threat Intelligence. Per maggiori dettagli, consulta il file README del repository GitHub ufficiale: Script di importazione di Google Threat Intelligence su GitHub

Una volta eseguito il deployment, il processo di importazione BYOL viene attivato da un job Cloud Scheduler, che attiva una Cloud Function per recuperare in modo sicuro le credenziali API da Secret Manager. La funzione esegue quindi una query sull'API GTI esterna per ottenere i dati sulle minacce più recenti, li trasmette in streaming all'API Chronicle e un parser predefinito trasforma (normalizza) i dati non elaborati in entità UDM.

Dashboard

Google Threat Intelligence ti offre la visibilità necessaria per comprendere e anticipare le tattiche dei soggetti malintenzionati e proteggere la tua organizzazione dalle minacce emergenti. Utilizza le seguenti dashboard per visualizzare i dati importati:

  • Dashboard degli elenchi di minacce: si concentra sul rilevamento e sul blocco, mostrando i conteggi degli indicatori di compromissione per gravità e tipo di entità.
  • Dashboard di intelligence sugli avversari: si concentra sul contesto e ti consente di esaminare in dettaglio le famiglie di malware, gli autori delle minacce e le campagne.
  • Dashboard Google Threat Intelligence: fornisce una panoramica in tempo reale del flusso di indicatori di compromissione, inclusa la distribuzione della gravità e la suddivisione geografica.

Workflow unificato: SIEM e SOAR

L'integrazione BYOL combina le funzionalità di rilevamento e ricerca di SIEM con le funzionalità di SOAR e Google Threat Intelligence in un flusso di lavoro di sicurezza a circuito chiuso.

SIEM ti aiuta a trovare le minacce e SOAR ti consente di rispondere. I seguenti scenari illustrano il funzionamento combinato di queste funzionalità:

  1. Indagine arricchita (da SIEM a SOAR):
    • Azione:un analista identifica un dominio sospetto in Google SecOps SIEM utilizzando i dati GTI importati.
    • Risposta:attivano un'azione di ricerca SOAR per eseguire query su GTI per un contesto approfondito su quel dominio (ad esempio, attori delle minacce associati, DNS passivo) senza uscire dal flusso di indagine.
  2. Analisi avanzata degli artefatti (da SIEM a SOAR):
    • Azione:durante un'indagine in Google SecOps SIEM, un analista trova un hash o un URL di file sospetto che non dispone di dati di reputazione definitivi.
    • Risposta:utilizzando l'integrazione SOAR, l'analista attiva un'azione per inviare privatamente l'URL o il file a Google Threat Intelligence per un'analisi avanzata. Questa esegue scansioni approfondite e detonazioni sandbox per determinare la pericolosità, mantenendo privata la richiesta e non condividendola immediatamente con la community più ampia.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.