Ringkasan Chronicle Security Operations
Chronicle Security Operations adalah layanan cloud, yang dibuat sebagai lapisan khusus di atas infrastruktur Google, yang dirancang bagi perusahaan untuk secara pribadi menyimpan, menganalisis, serta menelusuri sejumlah besar telemetri jaringan dan keamanan yang dihasilkan.
Chronicle menormalisasi, mengindeks, menghubungkan, dan menganalisis data untuk memberikan analisis instan dan konteks pada aktivitas yang berisiko. Chronicle dapat digunakan untuk mendeteksi ancaman, menyelidiki cakupan dan penyebab ancaman tersebut, serta memberikan perbaikan menggunakan integrasi bawaan dengan platform alur kerja, respons, dan orkestrasi perusahaan.
Chronicle SecOps memungkinkan Anda memeriksa informasi keamanan gabungan untuk perusahaan Anda setelah berbulan-bulan atau lebih. Gunakan Chronicle untuk menelusuri semua domain yang diakses dalam perusahaan Anda. Anda dapat mempersempit penelusuran ke aset, domain, atau alamat IP tertentu untuk menentukan apakah telah terjadi penyusupan.
Platform SecOps Chronicle memungkinkan analis keamanan menganalisis dan memitigasi ancaman keamanan di sepanjang siklus prosesnya dengan menggunakan kemampuan berikut:
- Pengumpulan: Data diserap ke dalam platform menggunakan penerusan, parser, konektor, dan webhook.
- Deteksi: Data ini digabungkan, dinormalisasi menggunakan Universal Data Model (UDM), dan dikaitkan ke deteksi dan kecerdasan ancaman.
- Investigasi: Ancaman diselidiki melalui pengelolaan kasus, penelusuran, kolaborasi, dan analisis kontekstual.
- Respons: Analis keamanan dapat merespons dengan cepat dan memberikan penyelesaian menggunakan playbook otomatis dan manajemen insiden.
Pengumpulan data
Chronicle Security Operations dapat menyerap berbagai jenis telemetri keamanan melalui berbagai metode, termasuk yang berikut:
Forwarder: Komponen software ringan yang di-deploy di jaringan pelanggan, yang mendukung syslog, pengambilan paket, dan pengelolaan log atau repositori data informasi keamanan dan manajemen peristiwa (SIEM) yang sudah ada.
API Penyerapan: API yang memungkinkan log dikirim langsung ke platform Operasi Keamanan Chronicle, sehingga tidak diperlukan lagi hardware atau software tambahan di lingkungan pelanggan.
Integrasi pihak ketiga: Integrasi dengan API cloud pihak ketiga untuk memfasilitasi penyerapan log, termasuk sumber seperti Office 365 dan Azure AD.
Analisis ancaman
Kemampuan analisis Chronicle Security Operations diberikan kepada profesional keamanan sebagai aplikasi sederhana berbasis browser. Banyak dari kemampuan ini juga dapat diakses secara terprogram melalui Read API. Chronicle memberi analis cara, ketika mereka melihat potensi ancaman, untuk menyelidiki lebih lanjut dan menentukan cara terbaik untuk merespons.
Ringkasan fitur Chronicle Security Operations
Bagian ini menjelaskan beberapa fitur yang tersedia di Chronicle Security Operations.
Penelusuran
- Penelusuran UDM: Memungkinkan Anda menemukan peristiwa dan pemberitahuan Model Data Terpadu (UDM) dalam instance Chronicle.
- Pemindaian Log Mentah: Menelusuri log mentah yang tidak diurai.
- Ekspresi Reguler: Menelusuri log mentah yang tidak diurai menggunakan ekspresi reguler.
Pengelolaan kasus
Kelompokkan pemberitahuan terkait ke dalam kasus, urutkan dan filter kasus dengan antrean untuk triase dan penentuan prioritas, tetapkan kasus, berkolaborasi dengan mudah pada setiap kasus, audit dan pelaporan kasus.
Desainer Playbook
Buat playbook dengan memilih tindakan standar dan menarik lalu melepasnya ke kanvas playbook tanpa coding tambahan. Playbook juga memungkinkan Anda membuat tampilan khusus untuk setiap jenis pemberitahuan dan setiap peran SOC. Pengelolaan kasus hanya menampilkan data yang relevan dengan jenis notifikasi dan peran pengguna tertentu.
Penyelidik grafik
Visualisasikan siapa, apa, dan kapan terjadinya serangan, mengidentifikasi peluang untuk berburu ancaman, mengambil gambaran lengkap, dan mengambil tindakan.
Dasbor dan pelaporan
Mengukur dan mengelola operasi secara efektif, menunjukkan nilai kepada pemangku kepentingan, melacak metrik dan KPI SOC real-time. Anda dapat menggunakan dasbor dan laporan bawaan atau membuatnya sendiri.
Integrated development environment (IDE)
Tim keamanan yang memiliki keterampilan coding dapat mengubah dan meningkatkan tindakan playbook yang ada, men-debug kode, membuat tindakan baru untuk integrasi yang ada, dan membuat integrasi yang tidak tersedia di Chronicle SOAR Marketplace.
Tampilan investigasi
- Tampilan aset: Selidiki aset dalam perusahaan Anda dan apakah aset tersebut berinteraksi dengan domain yang mencurigakan atau tidak.
- Tampilan Alamat IP: Selidiki alamat IP tertentu dalam perusahaan Anda dan apa dampaknya terhadap aset Anda.
- Tampilan hash: Menelusuri dan menyelidiki file berdasarkan nilai hash-nya.
- Tampilan domain: Selidiki domain tertentu dalam perusahaan Anda dan pengaruhnya terhadap aset Anda.
- Tampilan pengguna: Selidiki pengguna di perusahaan Anda yang mungkin telah terpengaruh oleh peristiwa keamanan.
- Pemfilteran prosedural: Menyesuaikan informasi tentang aset, termasuk berdasarkan jenis peristiwa, sumber log, status koneksi jaringan, dan Domain Level Teratas (TLD).
Informasi yang disorot
- Blok insight aset menyoroti domain dan pemberitahuan yang mungkin ingin Anda selidiki lebih lanjut.
- Grafik prevalensi menampilkan jumlah domain yang terhubung dengan aset selama jangka waktu tertentu.
- Notifikasi dari produk keamanan populer lainnya.
Mesin deteksi
Anda dapat menggunakan Chronicle Detection Engine untuk mengotomatiskan proses penelusuran di seluruh data Anda untuk masalah keamanan. Anda dapat menentukan aturan untuk menelusuri semua data yang masuk dan memberi tahu Anda saat ancaman potensial dan yang diketahui muncul di perusahaan Anda.
Kontrol akses
Anda dapat menggunakan peran yang telah ditetapkan dan mengonfigurasi peran baru untuk mengontrol akses ke class data, notifikasi, dan peristiwa yang disimpan dalam instance Chronicle. Identity and Access Management memberikan kontrol akses untuk Chronicle.