整合自備授權的威脅情報

支援的國家/地區:

使用自備授權 (BYOL) 整合功能,將授權的 Google 威脅情報 (GTI) 資料直接整合至 Google SecOps。擷取威脅清單、入侵指標串流和敵人背景資訊,提升威脅偵測和搜捕能力。

Google Threat Intelligence BYOL 整合功能會將威脅情報資料擷取至 Google SecOps,並將資料正規化為統合資料模型 (UDM) 格式。Google SecOps 會將這項威脅遙測資料與您的安全性事件建立關聯,立即提升威脅搜尋和偵測能力。

可用性

這項整合功能適用於具備有效 Google Threat Intelligence 授權的 Google SecOps StandardEnterprise 客戶。

  • Standard 和 Enterprise:這項整合功能提供客戶部署的管道,可將 Google 威脅情報資料導入 Google SecOps 環境,以進行偵測和搜尋。
  • Enterprise+:Enterprise+ 客戶已享有應用程式威脅情報 (ATI) 的優勢,這是一項全代管的內建管道,可自動整理及套用 Google 的威脅情報。雖然這項 BYOL 整合功能與 Enterprise+ 相容,但建議使用 ATI 服務。

主要功能

  • 統一資料擷取:擷取 GTI 威脅清單 (已分類的 IoC) 和 IoC 串流資料,近乎即時更新檔案雜湊、IP、網址和網域。
  • UDM 正規化:自動將資料剖析為記錄類型 GCP_THREATINTEL 下的統合式資料模型 (UDM),方便立即搜尋及用於關聯規則。
  • 攻擊者背景資訊:擷取惡意軟體、威脅發動者、攻擊活動和報告的關聯性,包括 MITRE ATT&CK 對應。
  • 預先建構的資訊主頁:包括立即可用的資訊主頁,可顯示威脅清單、敵人情報和入侵指標串流

必要條件

設定整合功能前,請確認您具備下列項目:

  • 有效且已啟用的 Google Threat Intelligence 授權 (自備授權),可存取 GTI API。
  • 有權存取 Google Cloud 專案,可部署必要資源 (Cloud Run functions、Cloud Scheduler、Secret Manager)。
  • Google SecOps 執行個體的存取權。

部署

這項整合功能是客戶部署的解決方案,可使用 Google Cloud 資源從 GTI API 擷取資料,並將資料串流至 Google SecOps。

按照操作說明和使用者指南執行部署指令碼,並設定 Google 威脅情報整合功能。詳情請參閱 GitHub 存放區的官方 Readme 檔案: GitHub 上的 Google 威脅情報擷取指令碼

部署完成後,系統會透過 Cloud Scheduler 工作觸發 BYOL 擷取程序,並啟動 Cloud Function,從 Secret Manager 安全地擷取 API 憑證。接著,函式會查詢外部 GTI API 的最新威脅資料,並將資料串流至 Chronicle API,而預設剖析器會將原始資料轉換 (正規化) 為 UDM 實體。

資訊主頁

Google Threat Intelligence 可提供您所需的洞察資訊,協助您瞭解及預測威脅發動者的策略,並保護貴機構免於新興威脅。您可以使用下列資訊主頁,以視覺化方式呈現擷取的資料:

  • 威脅清單資訊主頁:著重於偵測和封鎖,依嚴重程度和實體類型顯示入侵指標 (IoC) 數量。
  • 威脅情報資訊主頁:著重於背景資訊,可讓您深入瞭解惡意軟體系列、威脅發動者和攻擊活動。
  • Google Threat Intelligence 資訊主頁:即時概覽 IoC 串流,包括嚴重程度分布和地理位置細目。

整合工作流程:SIEM 和 SOAR

BYOL 整合功能會將 SIEM 的偵測和搜尋功能,與閉迴路安全防護工作流程中的 SOAR Google 威脅情報功能結合。

SIEM 可協助您找出威脅,SOAR 則可讓您因應威脅。 以下情境說明這些功能如何搭配運作:

  1. 強化調查 (SIEM 到 SOAR):
    • 動作:分析師使用擷取的 GTI 資料,在 Google SecOps SIEM 中找出可疑網域。
    • 回應:他們會觸發 SOAR 搜尋動作,向 GTI 查詢該網域的深入情境 (例如相關聯的威脅發動者、被動 DNS),不必離開調查流程。
  2. 進階構件分析 (SIEM 到 SOAR):
    • 動作:在 Google SecOps SIEM 中進行調查時,分析師發現可疑的檔案雜湊或網址,但缺乏明確的信譽資料。
    • 回應:分析師使用 SOAR 整合功能觸發動作,私下提交網址或檔案給 Google 威脅情報,進行進階分析。這項功能會執行深度掃描和安全沙箱引爆,判斷是否為惡意內容,同時確保提交內容的隱私權,不會立即與廣大社群分享。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。