Descripción general de Google SecOps

Compatible con:

Google Security Operations es un servicio en la nube, creado como una capa especializada sobre la infraestructura de Google, diseñada para que las empresas retengan, analicen y busquen de forma privada las grandes cantidades de telemetría de seguridad y de red que generan.

Google SecOps normaliza, indexa, correlaciona y analiza los datos para proporcionar análisis y contexto instantáneos sobre la actividad riesgosa. Google SecOps se puede usar para detectar amenazas, investigar el alcance y la causa de esas amenazas, y proporcionar soluciones mediante integraciones precompiladas con plataformas de flujo de trabajo, respuesta y organización empresariales.

Google SecOps te permite examinar la información de seguridad agregada de tu empresa durante meses o más. Usa Google SecOps para buscar en todos los dominios a los que se accede en tu empresa. Puedes limitar tu búsqueda a cualquier recurso, dominio o dirección IP específicos para determinar si se produjo alguna vulneración.

La plataforma de Google SecOps permite a los analistas de seguridad analizar y mitigar una amenaza de seguridad durante todo su ciclo de vida mediante las siguientes capacidades:

  • Recopilación: Los datos se transfieren a la plataforma mediante servidores de reenvío, analizadores, recopiladores de OpenTelemetry, conectores y webhooks.
  • Detección: Estos datos se agregan, se normalizan con el modelo de datos unificados (UDM) y se vinculan a las detecciones y la inteligencia contra amenazas.
  • Investigación: Las amenazas se investigan a través de la administración de casos, la búsqueda, la colaboración y el análisis contextual .
  • Respuesta: Los analistas de seguridad pueden responder rápidamente y proporcionar soluciones mediante guías automatizadas y administración de incidentes.

Recopilación de datos

Google SecOps puede transferir numerosos tipos de telemetría de seguridad a través de varios métodos, incluidos los siguientes:

  • Servidor de reenvío: Es un componente de software liviano, implementado en la red del cliente, que admite syslog, captura de paquetes y administración de registros existente o repositorios de datos de administración de información y eventos de seguridad (SIEM).
  • Recopilador: Es un componente de software, implementado en la red del cliente, que admite muchas fuentes de datos que se enrutan a Google SecOps.
  • APIs de transferencia: Son APIs que permiten que los registros se envíen directamente a la plataforma de Google SecOps, lo que elimina la necesidad de hardware o software adicional en los entornos del cliente.
  • Integraciones de terceros: Integración con APIs de la nube de terceros para facilitar la transferencia de registros, incluidas fuentes como Office 365 y Azure AD.

Análisis de amenazas

Las capacidades analíticas de Google SecOps se entregan como una aplicación basada en navegador. También se puede acceder a muchas de estas capacidades de forma programática a través de las APIs de lectura. Google SecOps les brinda a los analistas una forma de investigar más a fondo y determinar la mejor manera de responder cuando ven una posible amenaza.

Resumen de las funciones de Google SecOps

En esta sección, se describen algunas de las funciones disponibles en Google SecOps.

  • Búsqueda de UDM: Te permite encontrar eventos y alertas de UDM en tu instancia de Google SecOps.
  • Análisis de registros sin procesar: Busca en tus registros sin procesar sin analizar.
  • Expresiones regulares: Busca en tus registros sin procesar sin analizar con expresiones regulares.

Administración de casos

Agrupa alertas relacionadas en casos, ordena y filtra la cola de casos para su clasificación y priorización, asigna casos, colabora en cada caso y crea informes y auditorías.

Diseñador de guías

Para crear guías, solo tienes que seleccionar acciones predefinidas y arrastrarlas y soltarlas en el panel de guías sin codificación adicional. Las guías también te permiten crear vistas dedicadas para cada tipo de alerta y cada rol de SOC. La administración de casos solo presenta los datos relevantes para un tipo de alerta y un rol de usuario específicos.

Investigador de grafos

Visualiza quién, qué y cuándo de un ataque, identifica oportunidades para la búsqueda de amenazas, captura la imagen completa y toma medidas.

Informes y paneles

Mide y gestiona eficazmente las operaciones, demuestra valor a las partes interesadas y realiza seguimientos en tiempo real de las métricas y los KPI del SOC. Puedes usar informes y paneles integrados o crear los tuyos.

Entorno de desarrollo integrado (IDE)

Los equipos de seguridad con habilidades de codificación pueden modificar y mejorar las acciones de guías existentes, depurar código, crear acciones nuevas para integraciones existentes y crear integraciones que no estén disponibles en el Centro de contenido.

Vistas de investigación

  • Vista de recursos: Investiga los recursos de tu empresa y si interactuaron con dominios sospechosos.
  • Vista de direcciones IP: Investiga direcciones IP específicas dentro de tu empresa y qué impacto tienen en tus recursos.
  • Vista de hash: Busca e investiga archivos según su valor hash.
  • Vista de dominios: Investiga dominios específicos dentro de tu empresa y qué impacto tienen en tus recursos.
  • Vista de usuarios: Investiga a los usuarios de tu empresa que podrían verse afectados por eventos de seguridad.
  • Filtrado de procedimientos: Ajusta la información sobre un recurso, incluso por tipo de evento, fuente del archivo de registro, estado de conexión de red y dominio de nivel superior (TLD).

Información destacada

  • Los bloques de estadísticas de recursos destacan los dominios y las alertas que quizás quieras investigar más a fondo.
  • El gráfico de prevalencia muestra la cantidad de dominios a los que se conectó un recurso durante un período especificado.
  • Alertas de otros productos de seguridad populares.

Motor de detección

Puedes usar el motor de detección de Google SecOps para automatizar el proceso de búsqueda de problemas de seguridad en tus datos. Puedes especificar reglas para buscar todos tus datos entrantes y notificarte cuando aparezcan amenazas potenciales y conocidas en tu empresa.

Control de acceso

Puedes usar roles predefinidos y configurar roles nuevos para controlar el acceso a clases de datos, alertas y eventos almacenados en tu instancia de Google SecOps. Identity and Access Management proporciona control de acceso para Google SecOps.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.