Integração da inteligência de ameaças BYOL

Compatível com:

Integre seus dados licenciados do Google Threat Intelligence (GTI) diretamente ao Google SecOps usando a integração "Traga sua própria licença" (BYOL). Ingira listas de ameaças, fluxos de IoC e contexto de adversário para melhorar seus recursos de detecção e busca de ameaças.

A integração BYOL da inteligência contra ameaças do Google ingere seus dados de inteligência contra ameaças no Google SecOps e os normaliza no formato do modelo de dados unificado (UDM). O Google SecOps correlaciona essa telemetria de ameaças com seus eventos de segurança, melhorando imediatamente a detecção e a busca de ameaças.

Disponibilidade

Essa integração está disponível para clientes do Google SecOps Standard e Enterprise que têm uma licença ativa do Google Threat Intelligence.

  • Standard e Enterprise:essa integração fornece um pipeline implantado pelo cliente para trazer dados de inteligência de ameaças do Google para seu ambiente do Google SecOps para detecção e busca.
  • Enterprise+:os clientes do Enterprise+ já se beneficiam da inteligência de ameaças aplicada (ATI), um pipeline totalmente gerenciado e integrado que seleciona e aplica automaticamente a inteligência de ameaças do Google. Embora essa integração BYOL seja compatível com o Enterprise+, o serviço ATI é a solução recomendada.

Principais recursos

  • Ingestão ingestão de dados:ingere listas de ameaças da GTI (IoCs categorizados) e dados de stream de IoC, fornecendo atualizações quase em tempo real para hashes de arquivos, IPs, URLs e domínios.
  • Normalização do UDM:analisa automaticamente os dados no Modelo de Dados Unificado (UDM) no tipo de registro GCP_THREATINTEL, tornando-os pesquisáveis instantaneamente e prontos para regras de correlação.
  • Contexto do adversário:ingere associações de malware, agentes de ameaças, campanhas e relatórios, incluindo mapeamentos do MITRE ATT&CK.
  • Painéis pré-criados:incluem painéis prontos para uso para visualizar listas de ameaças, inteligência de adversários e fluxos de IoC.

Pré-requisitos

Antes de configurar a integração, verifique se você tem o seguinte:

  • Uma licença válida e ativa do Google Threat Intelligence (BYOL) para acessar a API GTI.
  • Acesso a um projeto do Google Cloud para implantar os recursos necessários (funções do Cloud Run, Cloud Scheduler e Secret Manager).
  • Acesso à sua instância do Google SecOps.

Implantação

Essa integração é uma solução implantada pelo cliente que usa recursos do Google Cloud para buscar dados da API GTI e transmiti-los para o Google SecOps.

Siga as instruções e o guia do usuário para executar os scripts de implantação e configurar a integração do Google Threat Intelligence. Para mais detalhes, consulte o arquivo README oficial do repositório do GitHub: Scripts de ingestão do Google Threat Intelligence no GitHub

Depois de implantado, o processo de ingestão de BYOL é acionado por um job do Cloud Scheduler, que ativa uma função do Cloud para buscar com segurança as credenciais da API no Secret Manager. Em seguida, a função consulta a API GTI externa para buscar os dados de ameaças mais recentes, transmite para a API do Chronicle, e um analisador padrão transforma (normaliza) os dados brutos em entidades UDM.

Painéis

O Google Threat Intelligence oferece a visibilidade necessária para entender e antecipar as táticas dos agentes de ameaças e proteger sua organização contra ameaças emergentes. Use os seguintes painéis para visualizar os dados ingeridos:

  • Painel de listas de ameaças: focado na detecção e no bloqueio, mostrando contagens de IoC por gravidade e tipo de entidade.
  • Painel de inteligência de adversários: foca no contexto e permite detalhar famílias de malware, agentes de ameaças e campanhas.
  • Painel do Google Threat Intelligence: oferece uma visão geral em tempo real do fluxo de IoCs, incluindo distribuição de gravidade e detalhamento geográfico.

Fluxo de trabalho unificado: SIEM e SOAR

A integração BYOL combina os recursos de detecção e busca do SIEM com os recursos de SOAR e inteligência de ameaças do Google em um fluxo de trabalho de segurança de ciclo fechado.

O SIEM ajuda a encontrar ameaças, e o SOAR permite responder a elas. Os cenários a seguir ilustram como esses recursos funcionam juntos:

  1. Investigação avançada (SIEM para SOAR):
    • Ação:um analista identifica um domínio suspeito no Google SecOps SIEM usando os dados ingeridos do GTI.
    • Resposta:eles acionam uma ação de pesquisa de SOAR para consultar a GTI e obter um contexto detalhado sobre esse domínio (por exemplo, agentes de ameaças associados, DNS passivo) sem sair do fluxo de investigação.
  2. Análise avançada de artefatos (SIEM para SOAR):
    • Ação:durante uma investigação no Google SecOps SIEM, um analista encontra um hash de arquivo ou URL suspeito que não tem dados de reputação definitivos.
    • Resposta:usando a integração do SOAR, o analista aciona uma ação para enviar de forma particular o URL ou o arquivo ao Google Threat Intelligence para uma análise avançada. Isso realiza verificações detalhadas e detonações de sandbox para determinar a malícia, mantendo o envio privado e sem compartilhá-lo imediatamente com a comunidade em geral.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.