Integração de informações sobre ameaças BYOL

Suportado em:

Integre os seus dados licenciados do Google Threat Intelligence (GTI) diretamente no Google SecOps através da integração Bring Your Own License (BYOL) (Use a sua própria licença). Ingira listas de ameaças, streams de IoC e contexto de adversários para melhorar as suas capacidades de deteção e procura de ameaças.

A integração BYOL do Google Threat Intelligence carrega os seus dados de informações sobre ameaças para o Google SecOps e normaliza-os para o formato do modelo de dados unificado (UDM). O Google SecOps correlaciona esta telemetria de ameaças com os seus eventos de segurança, melhorando imediatamente a deteção e a procura de ameaças.

Disponibilidade

Esta integração está disponível para clientes do Google SecOps Standard e Enterprise que tenham uma licença ativa do Google Threat Intelligence.

  • Standard e Enterprise: esta integração fornece um pipeline implementado pelo cliente para importar dados de informações sobre ameaças da Google para o seu ambiente do Google SecOps para deteção e procura.
  • Enterprise+: os clientes do Enterprise+ já beneficiam da inteligência contra ameaças aplicada (ATI), um pipeline integrado totalmente gerido que organiza e aplica automaticamente a inteligência contra ameaças da Google. Embora esta integração BYOL seja compatível com o Enterprise+, o serviço ATI é a solução recomendada.

Principais capacidades

  • Carregamento de dados unificado: carrega listas de ameaças da GTI (IoCs categorizados) e dados de streams de IoCs, fornecendo atualizações quase em tempo real para hashes de ficheiros, IPs, URLs e domínios.
  • Normalização do UDM: analisa automaticamente os dados no modelo de dados unificado (UDM) no tipo de registo GCP_THREATINTEL, tornando-os instantaneamente pesquisáveis e prontos para regras de correlação.
  • Contexto do adversário: introduz associações para software malicioso, autores de ameaças, campanhas e relatórios, incluindo mapeamentos MITRE ATT&CK.
  • Painéis de controlo pré-criados: inclui painéis de controlo prontos a usar para visualizar listas de ameaças, informações sobre adversários e streams de IoC.

Pré-requisitos

Antes de configurar a integração, certifique-se de que tem o seguinte:

  • Uma licença válida e ativa do Google Threat Intelligence (BYOL) para aceder à API GTI.
  • Acesso a um Google Cloud projeto para implementar os recursos necessários (funções do Cloud Run, Cloud Scheduler, Gestor Secreto).
  • Acesso à sua instância do Google SecOps.

Implementação

Esta integração é uma solução implementada pelo cliente que usa Google Cloud recursos para obter dados da API GTI e transmiti-los para o Google SecOps.

Siga as instruções e o manual do utilizador para executar os scripts de implementação e configurar a integração do Google Threat Intelligence. Para mais detalhes, consulte o ficheiro Readme do repositório oficial do GitHub: Scripts de carregamento de informações sobre ameaças da Google no GitHub

Após a implementação, o processo de carregamento da BYOL é acionado por uma tarefa do Cloud Scheduler, que ativa uma função do Cloud para obter de forma segura as credenciais da API a partir do Secret Manager. Em seguida, a função consulta a API GTI externa para obter os dados de ameaças mais recentes, transmite-os para a API Chronicle e um analisador predefinido transforma (normaliza) os dados não processados em entidades UDM.

Painéis de controlo

As informações sobre ameaças da Google oferecem-lhe a visibilidade necessária para compreender e antecipar as táticas dos intervenientes de ameaças e proteger a sua organização contra ameaças emergentes. Use os seguintes painéis de controlo para visualizar os dados carregados:

  • Painel de controlo de listas de ameaças: foca-se na deteção e no bloqueio, mostrando as contagens de IoC por gravidade e tipo de entidade.
  • Painel de controlo de informações sobre adversários: foca-se no contexto e permite-lhe analisar detalhadamente famílias de software malicioso, intervenientes de ameaças e campanhas.
  • Painel de controlo da Google Threat Intelligence: oferece uma vista geral em tempo real do fluxo de IoCs, incluindo a distribuição da gravidade e a discriminação geográfica.

Fluxo de trabalho unificado: SIEM e SOAR

A integração BYOL combina as capacidades de deteção e procura do SIEM com as funcionalidades da inteligência contra ameaças da Google num fluxo de trabalho de segurança de ciclo fechado.

O SIEM ajuda a encontrar ameaças e o SOAR permite responder a elas. Os cenários seguintes ilustram como estas capacidades funcionam em conjunto:

  1. Investigação enriquecida (SIEM para SOAR):
    • Ação: um analista identifica um domínio suspeito no SIEM do Google SecOps através dos dados GTI carregados.
    • Resposta: acionam uma ação de pesquisa SOAR para consultar a GTI para obter um contexto detalhado sobre esse domínio (por exemplo, autores de ameaças associados, DNS passivo) sem sair do fluxo de investigação.
  2. Análise avançada de artefactos (SIEM para SOAR):
    • Ação: durante uma investigação no Google SecOps SIEM, um analista encontra um hash de ficheiro ou um URL suspeito que não tem dados de reputação definitivos.
    • Resposta: através da integração SOAR, o analista aciona uma ação para enviar de forma privada o URL ou o ficheiro para a Google Threat Intelligence para análise avançada. Esta ação realiza uma análise detalhada e detonações de sandbox para determinar a maliciosidade, mantendo o envio privado e não o partilhando imediatamente com a comunidade em geral.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.