Cette page a été traduite par l'API Cloud Translation.

Présentation de Google Security Operations SIEM

Compatible avec:

Le service SIEM de Google Security Operations est un service cloud conçu comme une couche spécialisée l'infrastructure de base de Google, conçue pour permettre aux entreprises de conserver, d'analyser et effectuer des recherches dans les quantités phénoménales de télémétrie réseau et de sécurité qu'elles génèrent. Google Security Operations normalise, indexe, corrèle et analyse les données pour fournir une analyse instantanée et du contexte sur les activités à risque.

Google Security Operations vous permet d'examiner les informations de sécurité agrégées de votre entreprise qui remontent à plusieurs mois ou plus. Utilisez Google Security Operations pour effectuer des recherches dans tous les domaines auxquels votre entreprise accède. Vous pouvez restreindre votre recherche sur un élément, un domaine ou une adresse IP spécifique pour déterminer compromis a eu lieu.

Présentation de la plate-forme Google Security Operations

Présentation de la plate-forme Google Security Operations

Collecte des données

Google Security Operations peut ingérer de nombreux types de télémétrie de sécurité grâce à différentes méthodes, y compris:

Forwarder: composant logiciel léger, déployé sur le réseau du client, qui prend en charge syslog, la capture de paquets, et dans les référentiels de gestion des journaux ou de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management).
API d'ingestion : API permettant d'envoyer des journaux directement à la plate-forme Google Security Operations, ce qui élimine le besoin de matériel ou de logiciels supplémentaires dans les environnements client.
Intégrations tierces : intégration aux API cloud tierces pour faciliter l'ingestion des journaux, y compris des sources telles qu'Office 365 et Azure AD.

Analyse des données

Les fonctionnalités d'analyse de Google Security Operations sont mises à la disposition des professionnels de la sécurité sous la forme d'un application. Bon nombre de ces fonctionnalités sont également accessibles de manière automatisée via les API Read. Google Security Operations permet aux analystes d'identifier une menace potentielle en les déterminant, si elles sont importantes et comment y répondre au mieux.

Sécurité et conformité

En tant que couche privée spécialisée construite sur l'infrastructure principale de Google, Google Security Operations hérite des fonctionnalités de calcul et de stockage, ainsi que de la conception et des fonctionnalités de sécurité de cette infrastructure.

Dans le cadre de sa conception de la sécurité, Google Security Operations stocke les identifiants utilisateur (par exemple, les identifiants que vous fournissez pour qu'un flux Google Security Operations puisse ingérer les données de journaux d'une API tierce) dans Secret Manager.

Fonctionnalités de Google Security Operations

Recherche

Analyse des journaux bruts: recherchez vos journaux bruts non analysés.
Expressions régulières: effectuez des recherches dans vos journaux bruts non analysés à l'aide d'expressions régulières.

Vues d'enquête

Enterprise Insights: affiche les domaines et les éléments qui nécessitent le plus d'examen.
Vue des composants : examinez les composants de votre entreprise et vérifiez s'ils ont interagi avec des domaines suspects.
Vue des adresses IP: recherchez des adresses IP spécifiques dans votre entreprise et l'impact qu'elles ont sur vos ressources.
Vue de hachage: recherchez et examinez des fichiers en fonction de leur valeur de hachage.
Vue par domaine : examinez des domaines spécifiques de votre entreprise et leur impact sur vos composants.
Vue des utilisateurs: examinez les utilisateurs de votre entreprise qui ont pu être affectés par des événements liés à la sécurité.
Filtrage procédural: affinez les informations sur une ressource, y compris par type d'événement, source du journal, état de connexion réseau et domaine de premier niveau (TLD).

Informations sélectionnées

Blocs d'insights sur les éléments: indique les domaines et les alertes que vous pourriez vouloir examiner plus en détail.
Graphique de prévalence : indique le nombre de domaines auxquels un composant s'est connecté sur une période donnée.
Alertes provenant de produits de sécurité populaires

Moteur de détection

Vous pouvez utiliser le moteur de détection Google Security Operations pour automatiser la recherche de problèmes de sécurité dans vos données. Vous pouvez spécifier des règles pour rechercher toutes vos données entrantes et vous informer lorsque des menaces potentielles et connues apparaissent dans votre entreprise.

VirusTotal

Vous pouvez lancer VirusTotal depuis Google Security Operations pour examiner plus en détail un composant, un domaine ou une adresse IP en cliquant sur Contexte VT.