סקירה כללית על Google SecOps

נתמך ב:

‫Google Security Operations הוא שירות ענן שפותח כשכבה ייעודית מעל תשתית Google. בעזרת השירות הזה, ארגונים שומרים כמויות גדולות של נתוני מדידות שהם מייצרים לגבי שימוש ברשת ובאבטחה. בארגונים יכולים גם לנתח נתונים אלה ולבצע בהם חיפושים באופן פרטי.

‫Google SecOps מנרמלת, מוסיפה לאינדקס, יוצרת מתאם ומנתחת את הנתונים כדי לספק ניתוח מיידי והקשר במקרה של פעילות מסוכנת. אפשר להשתמש ב-Google SecOps כדי לזהות איומים, לחקור את ההיקף והגורם של האיומים האלה ולספק פתרונות באמצעות שילובים מוכנים מראש עם פלטפורמות ארגוניות של תהליכי עבודה, תגובה ותזמור.

‫Google SecOps מאפשרת לכם לבדוק את מידע האבטחה המצטבר של הארגון שלכם, עד לפני חודשים או יותר. אפשר להשתמש ב-Google SecOps כדי לחפש בכל הדומיינים שהייתה אליהם גישה בארגון. אתם יכולים לצמצם את החיפוש לנכס, לדומיין או לכתובת IP ספציפיים כדי לבדוק אם הייתה פריצה.

פלטפורמת Google SecOps מאפשרת לאנליסטים בתחום האבטחה לנתח איום אבטחה ולצמצם אותו לאורך מחזור החיים שלו באמצעות היכולות הבאות:

  • איסוף: הנתונים מוזנים לפלטפורמה באמצעות מעבירים, מנתחים, אוספי OpenTelemetry, מחברים ו-webhooks.
  • זיהוי: הנתונים האלה מצטברים, עוברים נירמול באמצעות מודל הנתונים המאוחד (UDM) ומקושרים לזיהויים ולמודיעין איומי סייבר.
  • חקירה: חקירת האיומים מתבצעת באמצעות ניהול בקשות תמיכה, חיפוש, שיתוף פעולה וניתוח נתונים מודע-הקשר.
  • תגובה: אנליסטים של אבטחה יכולים להגיב במהירות ולספק פתרונות באמצעות תוכניות פעולה אוטומטיות וניהול של בקשות תמיכה.

איסוף נתונים

‫Google SecOps יכולה לקלוט סוגים רבים של טלמטריית אבטחה באמצעות מגוון שיטות, כולל:

  • Forwarder: רכיב תוכנה קל משקל שמוטמע ברשת של הלקוח ותומך ב-syslog, בלכידת מנות ובמאגרי נתונים קיימים של ניהול יומנים או של ניהול אבטחת מידע ואירועים (SIEM).
  • כלי איסוף: רכיב תוכנה שמוטמע ברשת של הלקוח ותומך בהעברה של מקורות נתונים רבים אל Google SecOps.
  • APIs להעברת נתונים: ממשקי API שמאפשרים לשלוח יומנים ישירות לפלטפורמת Google SecOps, וכך לא נדרש חומרה או תוכנה נוספים בסביבות של הלקוחות.
  • שילובי צד שלישי: שילוב עם ממשקי API בענן של צד שלישי כדי להקל על הטמעת יומנים, כולל מקורות כמו Office 365 ו-Azure AD.

ניתוח איומים

יכולות הניתוח של Google SecOps מסופקות כאפליקציה מבוססת-דפדפן. רבות מהיכולות האלה זמינות גם באופן פרוגרמטי באמצעות ממשקי Read API. כשמנתחים מזהים איום פוטנציאלי, Google SecOps מאפשר להם לבצע חקירה נוספת ולקבוע מהי הדרך הטובה ביותר להגיב.

סיכום התכונות של Google SecOps

בקטע הזה מוסבר על חלק מהתכונות שזמינות ב-Google SecOps.

  • UDM Search: מאפשר למצוא אירועים והתראות של UDM במכונת Google SecOps.
  • סריקת יומן גולמי: חיפוש ביומנים הגולמיים שלא עברו ניתוח.
  • ביטויים רגולריים: חיפוש ביומנים הגולמיים שלא עברו ניתוח באמצעות ביטויים רגולריים.

ניהול בקשות התמיכה

קיבוץ התראות קשורות לפניות, מיון וסינון של תור הפניות לצורך בדיקה וקביעת סדר עדיפויות, הקצאת פניות, שיתוף פעולה בכל פנייה, ביקורת ודיווח על פניות.

מעצב פלייבוקים

כדי ליצור תוכניות פעולה, בוחרים פעולות מוגדרות מראש וגוררים אותן אל אזור העבודה של תוכנית הפעולה, בלי צורך בכתיבת קוד נוסף. בנוסף, בעזרת מדריכים מפורטים אפשר ליצור תצוגות ייעודיות לכל סוג התראה ולכל תפקיד ב-SOC. ניהול פניות מציג רק את הנתונים שרלוונטיים לסוג מסוים של התראה ולתפקיד המשתמש.

כלי לבדיקת גרפים

הדמיה של מי, מה ומתי בהתקפה, זיהוי הזדמנויות לחיפוש איומים, קבלת תמונה מלאה ופעולה.

מרכז הבקרה ודיווח

למדוד ולנהל את הפעולות בצורה יעילה, להציג ערך לבעלי העניין, לעקוב אחרי מדדי SOC ו-KPI בזמן אמת. אתם יכולים להשתמש במרכזי בקרה ובדוחות מובנים או ליצור מרכזי בקרה ודוחות משלכם.

סביבת פיתוח משולבת (IDE)

צוותי אבטחה עם כישורי קידוד יכולים לשנות ולשפר פעולות קיימות ב-playbook, לנפות באגים בקוד, ליצור פעולות חדשות לשילובים קיימים וליצור שילובים שלא זמינים במרכז התוכן.

תצוגות חקירה

  • תצוגת נכסים: בדיקת נכסים בארגון כדי לראות אם הייתה אינטראקציה בינם לבין דומיינים חשודים.
  • תצוגת כתובת IP‏: בדיקה של כתובות IP ספציפיות בארגון וההשפעה שלהן על הנכסים.
  • תצוגת גיבוב (hash): חיפוש קבצים ובדיקה שלהם על סמך ערך הגיבוב שלהם.
  • תצוגת דומיין: בדיקה של דומיינים ספציפיים בארגון וההשפעה שלהם על הנכסים.
  • תצוגת משתמש: חקירת משתמשים בארגון שאולי הושפעו מאירועי אבטחה.
  • סינון לפי נהלים: כוונון מדויק של מידע על נכס, כולל לפי סוג אירוע, מקור יומן, סטטוס חיבור לרשת ודומיין ברמה עליונה (TLD).

מידע מודגש

  • בלוק התובנות לגבי נכסים מציג את הדומיינים וההתראות שכדאי לבדוק לעומק.
  • בתרשים השכיחות מוצג מספר הדומיינים שנכס התחבר אליהם במהלך תקופת זמן מסוימת.
  • התרעות ממוצרי אבטחה פופולריים אחרים.

מנוע הזיהוי

אתם יכולים להשתמש במנוע הזיהוי של Google SecOps כדי להפוך את תהליך החיפוש של בעיות אבטחה בנתונים לאוטומטי. אתם יכולים לציין כללים לחיפוש בכל הנתונים הנכנסים, ולקבל התראה כשמופיעים בארגון איומים פוטנציאליים או מוכרים.

בקרת גישה

אתם יכולים להשתמש בתפקידים מוגדרים מראש וגם להגדיר תפקידים חדשים כדי לשלוט בגישה לסוגי נתונים, להתראות ולאירועים שמאוחסנים במופע Google SecOps שלכם. ניהול זהויות והרשאות גישה (IAM) מספק בקרת גישה ל-Google SecOps.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.