Google SecOps – Übersicht

Unterstützt in:

Google Security Operations ist ein Cloud-Dienst, der als spezialisierte Schicht auf der Google-Infrastruktur aufgesetzt wurde. Er wurde für Unternehmen entwickelt, die große Mengen an Sicherheits- und Netzwerktelemetriedaten, die sie generieren, privat aufbewahren, analysieren und durchsuchen möchten.

Google SecOps normalisiert, indexiert, korreliert und analysiert die Daten, um sofortige Analysen und Kontext zu riskanten Aktivitäten bereitzustellen. Mit Google SecOps können Sie Bedrohungen erkennen, den Umfang und die Ursache dieser Bedrohungen untersuchen und Abhilfemaßnahmen mithilfe von vorgefertigten Integrationen mit Workflow-, Reaktions- und Orchestrierungsplattformen für Unternehmen bereitstellen.

Mit Google SecOps können Sie zusammengefasste Sicherheitsinformationen für Ihr Unternehmen untersuchen, die bereits mehrere Monate alt sind. Mit Google SecOps können Sie in allen Domains suchen, auf die in Ihrem Unternehmen zugegriffen wird. Sie können Ihre Suche auf ein bestimmtes Asset, eine bestimmte Domain oder IP-Adresse eingrenzen, um festzustellen, ob es zu einem Sicherheitsvorfall gekommen ist.

Mit der Google SecOps-Plattform können Sicherheitsanalysten eine Sicherheitsbedrohung während ihres gesamten Lebenszyklus analysieren und abwehren. Dazu stehen ihnen die folgenden Funktionen zur Verfügung:

  • Erfassung: Daten werden mithilfe von Forwardern, Parsern, OpenTelemetry-Collectors, Connectors und Webhooks in die Plattform aufgenommen.
  • Erkennung: Diese Daten werden aggregiert, mit dem Universal Data Model (UDM) normalisiert und mit Erkennungsmechanismen und Threat Intelligence verknüpft.
  • Untersuchung: Bedrohungen werden durch Fallverwaltung, Suche, Zusammenarbeit und kontextbezogene Analysen untersucht.
  • Reaktion: Sicherheitsanalysten können mithilfe automatisierter Playbooks und des Vorfallmanagements schnell reagieren und Lösungen bereitstellen.

Datenerhebung

Google SecOps kann zahlreiche Arten von Sicherheitstelemetrie über verschiedene Methoden aufnehmen, darunter:

  • Forwarder: Eine einfache Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird und Syslog, Packet Capture und vorhandene Datenrepositories für die Logverwaltung oder das Security Information and Event Management (SIEM) unterstützt.
  • Collector: Eine Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird und viele Datenquellen unterstützt, die an Google SecOps weitergeleitet werden.
  • Ingestion APIs: APIs, mit denen Protokolle direkt an die Google SecOps-Plattform gesendet werden können. Dadurch ist keine zusätzliche Hardware oder Software in Kundenumgebungen erforderlich.
  • Einbindung von Drittanbieterlösungen: Einbindung in Cloud-APIs von Drittanbietern, um die Aufnahme von Protokollen zu erleichtern, einschließlich Quellen wie Office 365 und Azure AD.

Bedrohungsanalyse

Die Analysefunktionen von Google SecOps werden als browserbasierte Anwendung bereitgestellt. Viele dieser Funktionen sind auch programmatisch über Read APIs zugänglich. Mit Google SecOps können Analysten potenzielle Bedrohungen genauer untersuchen und die beste Reaktion darauf ermitteln.

Zusammenfassung der Google SecOps-Funktionen

In diesem Abschnitt werden einige der in Google SecOps verfügbaren Funktionen beschrieben.

  • UDM-Suche: Mit dieser Funktion können Sie in Ihrer Google SecOps-Instanz nach UDM-Ereignissen (Unified Data Model) und ‑Benachrichtigungen suchen.
  • Rohlog-Scan: Durchsuchen Sie Ihre unformatierten, nicht geparsten Logs.
  • Reguläre Ausdrücke: Sie können in Ihren unaufbereiteten, nicht geparsten Logs mit regulären Ausdrücken suchen.

Fallverwaltung

Verwandte Warnungen zu Fällen gruppieren, die Fallwarteschlange für die Triage und Priorisierung sortieren und filtern, Fälle zuweisen, bei jedem Fall zusammenarbeiten, Fallprüfung und Berichterstellung.

Playbook-Designer

Sie können Playbooks erstellen, indem Sie vordefinierte Aktionen auswählen und sie per Drag-and-drop in den Playbook-Canvas ziehen. Zusätzliche Programmierung ist nicht erforderlich. Mit Playbooks können Sie auch spezielle Ansichten für jeden Warnungstyp und jede SOC-Rolle erstellen. In der Fallverwaltung werden nur die Daten angezeigt, die für einen bestimmten Benachrichtigungstyp und eine bestimmte Nutzerrolle relevant sind.

Graph-Untersuchungstool

Visualisieren Sie, wer, was und wann angegriffen wurde, identifizieren Sie Möglichkeiten für die Suche nach Bedrohungen, erfassen Sie das Gesamtbild und ergreifen Sie Maßnahmen.

Dashboard und Berichterstellung

Betriebsabläufe effektiv messen und verwalten, Stakeholdern den Wert demonstrieren, SOC-Messwerte und KPIs in Echtzeit im Blick behalten. Sie können integrierte Dashboards und Berichte verwenden oder eigene erstellen.

Integrierte Entwicklungsumgebung (IDE)

Sicherheitsteams mit Programmierkenntnissen können vorhandene Playbook-Aktionen ändern und erweitern, Code debuggen, neue Aktionen für vorhandene Integrationen erstellen und Integrationen entwickeln, die nicht im Content Hub verfügbar sind.

Ansichten für die Untersuchung

  • Asset-Ansicht: Untersuchen Sie Assets in Ihrem Unternehmen und prüfen Sie, ob sie mit verdächtigen Domains interagiert haben.
  • Ansicht „IP-Adresse“: Untersuchen Sie bestimmte IP-Adressen in Ihrem Unternehmen und die Auswirkungen, die sie auf Ihre Assets haben.
  • Hash-Ansicht: Sie können anhand des Hash-Werts nach Dateien suchen und diese untersuchen.
  • Domainansicht: Sie können bestimmte Domains in Ihrem Unternehmen untersuchen und sehen, welche Auswirkungen sie auf Ihre Assets haben.
  • Nutzeransicht: Untersuchen Sie Nutzer in Ihrem Unternehmen, die möglicherweise von Sicherheitsereignissen betroffen waren.
  • Prozedurales Filtern: Sie können Informationen zu einem Asset optimieren, z. B. nach Ereignistyp, Log-Quelle, Status der Netzwerkverbindung und Top-Level-Domain (TLD).

Hervorgehobene Informationen

  • In den Asset-Insight-Blöcken werden die Domains und Benachrichtigungen hervorgehoben, die Sie sich möglicherweise genauer ansehen möchten.
  • Das Prävalenzdiagramm zeigt die Anzahl der Domains, mit denen ein Asset in einem bestimmten Zeitraum verbunden war.
  • Benachrichtigungen von anderen beliebten Sicherheitsprodukten

Erkennungs-Engine

Mit der Google SecOps Detection Engine können Sie den Prozess der Suche nach Sicherheitsproblemen in Ihren Daten automatisieren. Sie können Regeln festlegen, um alle eingehenden Daten zu durchsuchen und sich benachrichtigen zu lassen, wenn potenzielle und bekannte Bedrohungen in Ihrem Unternehmen auftreten.

Zugriffssteuerung

Sie können sowohl vordefinierte Rollen verwenden als auch neue Rollen konfigurieren, um den Zugriff auf Datenklassen, Benachrichtigungen und Ereignisse zu steuern, die in Ihrer Google SecOps-Instanz gespeichert sind. Identity and Access Management bietet eine Zugriffssteuerung für Google SecOps.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten