BYOL 威胁情报集成

支持的平台：

Google SecOps SIEM

使用自带许可 (BYOL) 集成，将许可的 Google 威胁情报 (GTI) 数据直接集成到 Google SecOps 中。注入威胁列表、IoC 流和攻击者背景信息，以增强威胁检测和探查能力。

Google Threat Intelligence BYOL 集成会将您的威胁情报数据提取到 Google SecOps 中，并将其标准化为统一数据模型 (UDM) 格式。Google SecOps 会将此威胁遥测数据与您的安全事件相关联，从而立即改进威胁搜寻和检测。

可用性

此集成适用于拥有有效 Google Threat Intelligence 许可的 Google SecOps 标准版和企业版客户。

标准版和企业版：此集成提供了一个由客户部署的流水线，可将 Google 威胁情报数据引入您的 Google SecOps 环境，以进行检测和威胁搜寻。
企业 Plus 版：企业 Plus 版客户已受益于应用型威胁情报 (ATI)，这是一种全代管式内置流水线，可自动整理和应用 Google 的威胁情报。虽然此 BYOL 集成与 Enterprise+ 兼容，但建议使用 ATI 服务。

主要功能

统一的数据注入：提取 GTI 威胁列表（已分类的 IoC）和 IoC 流数据，近乎实时地更新文件哈希、IP、网址和网域。
UDM 标准化：自动将数据解析为日志类型 GCP_THREATINTEL 下的统一数据模型 (UDM)，使其可立即用于搜索和关联规则。
攻击者背景信息：可提取恶意软件、威胁行动者、攻击活动和报告的关联信息，包括 MITRE ATT&CK 映射。
预构建的信息中心：包含开箱即用的信息中心，用于直观呈现威胁列表、攻击者情报和 IoC 流。

前提条件

在设置集成之前，请确保您已准备好以下各项：

有效且有效的 Google Threat Intelligence 许可 (BYOL)，用于访问 GTI API。
有权访问 Google Cloud 项目以部署所需资源（Cloud Run functions、Cloud Scheduler、Secret Manager）。
对您的 Google SecOps 实例的访问权限。

部署

此集成是一项客户部署的解决方案，可使用 Google Cloud资源从 GTI API 中提取数据并将其流式传输到 Google SecOps。

按照说明和用户指南运行部署脚本，并配置 Google 威胁情报集成。如需了解详情，请参阅官方 GitHub 代码库自述文件：GitHub 上的 Google 威胁情报提取脚本

部署完成后，BYOL 提取流程会由 Cloud Scheduler 作业触发，该作业会激活 Cloud Function 以从 Secret Manager 安全地提取 API 凭据。然后，该函数会查询外部 GTI API 以获取最新的威胁数据，将其流式传输到 Chronicle API，并且默认解析器会将原始数据转换为 UDM 实体。

信息中心

Google Threat Intelligence 可为您提供所需的洞察能力，帮助您了解和预测威胁实施者的策略，并保护组织免受新兴威胁的侵害。使用以下信息中心直观呈现提取的数据：

威胁列表信息中心：侧重于检测和阻止，按严重程度和实体类型显示 IoC 数量。
对手情报信息中心：侧重于背景信息，可让您深入了解恶意软件系列、威胁行为者和攻击活动。
Google Threat Intelligence 信息中心：提供 IoC 流的实时概览，包括严重程度分布和地理位置细分。

统一的工作流：SIEM 和 SOAR

BYOL 集成将 SIEM 的检测和搜寻功能与 SOAR 的 Google 威胁情报功能相结合，形成闭环安全工作流。

SIEM 可帮助您发现威胁，而 SOAR 可让您应对威胁。以下场景说明了这些功能如何协同工作：

丰富调查（从 SIEM 到 SOAR）：
- 操作：分析师使用提取的 GTI 数据在 Google SecOps SIEM 中识别出可疑网域。
- 回答：它们会触发 SOAR 搜索操作，以查询 GTI 中有关该网域的深入背景信息（例如，关联的威胁行为者、被动 DNS），而无需离开调查流程。
高级制品分析（从 SIEM 到 SOAR）：
- 操作：在 Google SecOps SIEM 中进行调查期间，分析师遇到可疑的文件哈希或网址，但缺乏明确的声誉数据。
- 响应：分析师使用 SOAR 集成功能触发一项操作，以私密方式将网址或文件提交给 Google 威胁情报进行高级分析。此功能会执行深度扫描和沙盒引爆来确定恶意程度，同时保持提交内容的私密性，不会立即与更广泛的社区分享。