Visão geral do Google SecOps

Compatível com:

O Google Security Operations é um serviço de nuvem criado como uma camada especializada na infraestrutura do Google, projetado para que as empresas retenham, analisem e pesquisem de forma privada as grandes quantidades de telemetria de segurança e rede que geram.

O Google SecOps normaliza, indexa, correlaciona e analisa os dados para fornecer análise instantânea e contexto sobre atividades de risco. O Google SecOps pode ser usado para detectar ameaças, investigar o escopo e a causa delas e fornecer correção usando integrações pré-criadas com plataformas de fluxo de trabalho, resposta e orquestração corporativas.

O Google SecOps permite examinar as informações de segurança agregadas da sua empresa por meses ou mais. Use o Google SecOps para pesquisar todos os domínios acessados na sua empresa. Você pode restringir a pesquisa a um recurso, domínio ou endereço IP específico para determinar se houve alguma violação.

A plataforma do Google SecOps permite que os analistas de segurança analisem e atenuem uma ameaça de segurança durante todo o ciclo de vida dela usando os seguintes recursos:

  • Coleta: os dados são ingeridos na plataforma usando encaminhadores, analisadores, coletores do OpenTelemetry, conectores e webhooks.
  • Detecção: esses dados são agregados, normalizados usando o modelo de dados unificado (UDM, na sigla em inglês) e vinculados a detecções e inteligência contra ameaças.
  • Investigação: as ameaças são investigadas por meio de gerenciamento de casos, pesquisa, colaboração e análise contextual.
  • Resposta: os analistas de segurança podem responder rapidamente e fornecer soluções usando playbooks automatizados e gerenciamento de incidentes.

Coleta de dados

O Google SecOps pode ingerir vários tipos de telemetria de segurança usando diversos métodos, incluindo:

  • Encaminhador: um componente de software leve, implantado na rede do cliente , que oferece suporte a syslog, captura de pacotes e repositórios de dados de gerenciamento de registros ou gerenciamento de eventos e informações de segurança (SIEM) atuais.
  • Coletor: um componente de software, implantado na rede do cliente, que oferece suporte a muitas fontes de dados que são encaminhadas para o Google SecOps.
  • APIs de ingestão: APIs que permitem que os registros sejam enviados diretamente para a plataforma do Google SecOps, eliminando a necessidade de hardware ou software adicional nos ambientes do cliente.
  • Integrações de terceiros: integração com APIs de nuvem de terceiros para facilitar a ingestão de registros, incluindo fontes como o Office 365 e o Azure AD.

Análise de ameaças

Os recursos analíticos do Google SecOps são oferecidos como um aplicativo baseado em navegador. Muitos desses recursos também podem ser acessados de maneira programática pelas APIs de leitura. O Google SecOps oferece aos analistas uma maneira de investigar melhor e determinar a melhor forma de responder quando detectam uma possível ameaça.

Resumo dos recursos do Google SecOps

Esta seção descreve alguns dos recursos disponíveis no Google SecOps.

  • Pesquisa do UDM: permite encontrar eventos e alertas do UDM na sua instância do Google SecOps.
  • Verificação de registros brutos: pesquise seus registros brutos não analisados.
  • Expressões regulares: pesquise seus registros brutos não analisados usando expressões regulares.

Gerenciamento de casos de suporte

Agrupe alertas relacionados em casos, classifique e filtre a fila de casos para triagem e priorização, atribua casos, colabore em todos os casos, auditorias e relatórios.

Designer de playbook

Crie playbooks selecionando ações predefinidas e arrastando e soltando-as na tela do playbook sem codificação adicional. Os playbooks também permitem criar visualizações dedicadas para cada tipo de alerta e cada função do SOC. O gerenciamento de casos apresenta apenas os dados relevantes para um tipo de alerta e uma função do usuário específicos.

Investigador de gráficos

Visualize o quem, o quê e o quando de um ataque, identifique oportunidades de caça a ameaças, capture o panorama geral e tome medidas.

Painel e relatórios

Meça e gerencie operações de forma eficaz, demonstre valor para as partes interessadas, rastreie métricas e KPIs do SOC em tempo real. Você pode usar painéis e relatórios integrados ou criar seus próprios.

Ambiente de desenvolvimento integrado (IDE)

As equipes de segurança com habilidades de codificação podem modificar e aprimorar as ações de playbook atuais, depurar o código, criar novas ações para integrações atuais e criar integrações que não estão disponíveis no Content Hub.

Visualizações investigativas

  • Visualização de recursos: investigue os recursos da sua empresa e se eles interagiram com domínios suspeitos.
  • Visualização de endereço IP: investigue endereços IP específicos na sua empresa e o impacto deles nos seus recursos.
  • Visualização de hash: pesquise e investigue arquivos com base no valor de hash deles.
  • Visualização de domínio: investigue domínios específicos na sua empresa e o impacto deles nos seus recursos.
  • Visualização de usuário: investigue usuários na sua empresa que possam ter sido afetados por eventos de segurança.
  • Filtragem processual: ajuste as informações sobre um recurso, incluindo por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).

Informações destacadas

  • Os blocos de insights de recursos destacam os domínios e alertas que você pode querer investigar melhor.
  • O gráfico de prevalência mostra o número de domínios a que um recurso se conectou durante um período especificado.
  • Alertas de outros produtos de segurança conhecidos.

Mecanismo de detecção

Você pode usar o mecanismo de detecção do Google SecOps para automatizar o processo de pesquisa de problemas de segurança nos seus dados. É possível especificar regras para pesquisar todos os dados recebidos e receber uma notificação quando ameaças potenciais e conhecidas aparecerem na sua empresa.

Controle de acesso

Você pode usar funções predefinidas e configurar novas funções para controlar o acesso a classes de dados, alertas e eventos armazenados na sua instância do Google SecOps. O Identity and Access Management fornece controle de acesso para o Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.