Présentation de Google SecOps

Compatible avec :

Google Security Operations est un service cloud conçu comme une couche spécialisée au-dessus de l'infrastructure Google. Il permet aux entreprises de conserver, d'analyser et de rechercher de manière privée les grandes quantités de télémétrie de sécurité et de réseau qu'elles génèrent.

Google SecOps normalise, indexe, corrèle et analyse les données pour fournir une analyse instantanée et du contexte sur les activités à risque. Google SecOps peut être utilisé pour détecter les menaces, examiner leur portée et leur cause, et fournir des solutions à l'aide d'intégrations prédéfinies avec des plates-formes de workflow, de réponse et d'orchestration d'entreprise.

Google SecOps vous permet d'examiner les informations de sécurité agrégées de votre entreprise qui remontent à plusieurs mois ou plus. Utilisez Google SecOps pour effectuer des recherches dans tous les domaines auxquels votre entreprise a accès. Vous pouvez limiter votre recherche à un élément, un domaine ou une adresse IP spécifique pour déterminer si une compromission a eu lieu.

La plate-forme Google SecOps permet aux analystes de sécurité d'analyser et d'atténuer une menace de sécurité tout au long de son cycle de vie grâce aux fonctionnalités suivantes :

  • Collecte : les données sont ingérées dans la plate-forme à l'aide de redirecteurs, d'analyseurs, de collecteurs OpenTelemetry, de connecteurs et de webhooks.
  • Détection : ces données sont agrégées, normalisées à l'aide du modèle de données unifié (UDM) et associées aux détections et aux renseignements sur les menaces.
  • Investigation : les menaces sont examinées par le biais de la gestion des demandes, de la recherche, de la collaboration et de l'analyse contextuelle.
  • Réponse : les analystes de sécurité peuvent répondre rapidement et fournir des solutions à l'aide de playbooks automatisés et de la gestion des demandes.

Collecte des données

Google SecOps peut ingérer de nombreux types de télémétrie de sécurité à l'aide de différentes méthodes, y compris les suivantes :

  • Redirecteur : composant logiciel léger, déployé dans le réseau du client, qui prend en charge le syslog, la capture de paquets et les référentiels de données de gestion des journaux ou de gestion des informations et des événements de sécurité (SIEM) existants.
  • Collecteur : composant logiciel, déployé dans le réseau du client, qui prend en charge de nombreuses sources de données acheminées vers Google SecOps.
  • API d'ingestion : API qui permettent d'envoyer des journaux directement à la plate-forme Google SecOps, ce qui élimine le besoin de matériel ou de logiciels supplémentaires dans les environnements clients.
  • Intégrations tierces : intégration à des API cloud tierces pour faciliter l'ingestion de journaux, y compris des sources telles qu'Office 365 et Azure AD.

Analyse des menaces

Les fonctionnalités d'analyse de Google SecOps sont fournies sous forme d'application basée sur un navigateur. De nombreuses fonctionnalités sont également accessibles de manière programmatique via des API de lecture. Google SecOps permet aux analystes, lorsqu'ils détectent une menace potentielle, d'enquêter plus en détail et de déterminer la meilleure façon de réagir.

Récapitulatif des fonctionnalités de Google SecOps

Cette section décrit certaines des fonctionnalités disponibles dans Google SecOps.

  • Recherche UDM : vous permet de trouver des événements et des alertes UDM dans votre instance Google SecOps.
  • Analyse des journaux bruts : recherchez dans vos journaux bruts non analysés.
  • Expressions régulières : recherchez dans vos journaux bruts non analysés à l'aide d'expressions régulières.

Gestion des demandes

Regroupez les alertes associées dans des demandes, triez et filtrez la file d'attente des demandes pour le tri et la hiérarchisation, attribuez des demandes, collaborez sur chaque demande, auditez et générez des rapports sur les demandes.

Outil de conception de playbook

Créez des playbooks en sélectionnant des actions prédéfinies, puis en les faisant glisser et en les déposant dans le canevas du playbook sans codage supplémentaire. Les playbooks vous permettent également de créer des vues dédiées pour chaque type d'alerte et chaque rôle SOC. La gestion des demandes ne présente que les données pertinentes pour un type d'alerte et un rôle utilisateur spécifiques.

Outil d'investigation graphique

Visualisez les acteurs, les éléments et le moment d'une attaque, identifiez les opportunités de recherche de menaces, obtenez une vue d'ensemble et agissez.

Tableaux de bord et rapports

Mesurez et gérez efficacement les opérations, démontrez la valeur ajoutée aux parties prenantes, suivez les métriques et les KPI des SOC en temps réel. Vous pouvez utiliser des tableaux de bord et des rapports intégrés ou créer les vôtres.

Environnement de développement intégré (IDE)

Les équipes de sécurité ayant des compétences en codage peuvent modifier et améliorer les actions de playbook existantes, déboguer le code, créer des actions pour les intégrations existantes et créer des intégrations qui ne sont pas disponibles dans le Content Hub.

Vues d'investigation

  • Vue des éléments : examinez les éléments de votre entreprise et déterminez s'ils ont interagi avec des domaines suspects.
  • Vue des adresses IP : examinez des adresses IP spécifiques au sein de votre entreprise et leur impact sur vos éléments.
  • Vue des hachages : recherchez et examinez des fichiers en fonction de leur valeur de hachage.
  • Vue des domaines : examinez des domaines spécifiques au sein de votre entreprise et leur impact sur vos éléments.
  • Vue des utilisateurs : examinez les utilisateurs de votre entreprise qui ont pu être affectés par des événements de sécurité.
  • Filtrage procédural : affinez les informations sur un élément, y compris par type d'événement, source de journal, état de la connexion réseau et domaine de premier niveau (TLD).

Informations mises en évidence

  • Les blocs d'informations sur les éléments mettent en évidence les domaines et les alertes que vous pouvez examiner plus en détail.
  • Le graphique de prévalence indique le nombre de domaines auxquels un élément s'est connecté sur une période spécifiée.
  • Alertes provenant d'autres produits de sécurité populaires.

Moteur de détection

Vous pouvez utiliser le moteur de détection Google SecOps pour automatiser le processus de recherche de problèmes de sécurité dans vos données. Vous pouvez spécifier des règles pour rechercher toutes vos données entrantes et vous avertir lorsque des menaces potentielles et connues apparaissent dans votre entreprise.

Contrôle des accès

Vous pouvez utiliser des rôles prédéfinis et configurer de nouveaux rôles pour contrôler l'accès aux classes de données, aux alertes et aux événements stockés dans votre instance Google SecOps. Identity and Access Management fournit un contrôle des accès pour Google SecOps.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.