ما هي عمليات الأمن في جوجل (المعروفة سابقًا باسم جوجل كرونيكل)؟

تعتبر عمليات أمان جوجل منصة قائمة على السحابة تهدف إلى مساعدة المؤسسات في إدارة وتحليل كميات كبيرة من بيانات الأمان والشبكة. مبنية على بنية جوجل التحتية، توفر أدوات للاحتفاظ بالبيانات والبحث عنها وتحليلها على نطاق واسع.

تهدف المنصة إلى تمكين المنظمات من اكتشاف التهديدات والتحقيق فيها، وفهم نطاقها وسببها، واتخاذ إجراءات تصحيحية من خلال تكاملات مسبقة البناء مع أدوات سير العمل واستجابة الحوادث.

من خلال تطبيع وفهرسة البيانات، تقدم عمليات الأمن في جوجل تحليلات ورؤى سياقية حول الأنشطة المشبوهة. تدعم عمليات البحث عبر بيانات المؤسسة لتحديد الاختراقات المحتملة على مستوى النطاق أو الأصول أو عنوان IP. قد تستخدم الفرق الأمنية هذه البيانات لمراقبة التهديدات على مدى فترات طويلة.

هذا جزء من سلسلة مقالات حول أمان سحابة جوجل

الميزات الرئيسية لعمليات الأمان في جوجل

1. جمع البيانات

تستوعب عمليات الأمن في جوجل أنواعًا مختلفة من بيانات المراقبة الأمنية باستخدام:

• مُرسل: برنامج مُنشر في شبكات العملاء لجمع سجلات النظام، والتقاط الحزم، والتكامل مع أنظمة SIEM الموجودة.
• واجهات برمجة التطبيقات للإدخال: واجهات برمجة التطبيقات لإرسال السجلات مباشرة إلى المنصة.
• تكاملات الطرف الثالث: موصلات مسبقة البناء لخدمات السحابة مثل Office 365 و Azure AD.

2. الكشف وتحليل التهديدات

تستخدم المنصة نموذج البيانات العالمي (UDM) لتوحيد البيانات وربطها بالكشف عن التهديدات ومعلومات التهديد. يمكن للمحللين استخدام عمليات مسح السجلات الخام أو عمليات البحث المعتمدة على UDM، بما في ذلك التعبيرات العادية، لتحديد التهديدات المحتملة وتحليل أسبابها.

3. التحقيق وإدارة الحالات

قد يقوم المحللون بتجميع التنبيهات ذات الصلة في حالات، وتعيينها وتحديد أولوياتها، والتعاون في التحقيقات. توفر ميزات مثل تصفية الإجراءات ووجهات النظر التحقيقية (مثل الأصول، عنوان IP، التجزئة، النطاق، ووجهات نظر المستخدم) سياقًا عميقًا حول الكيانات المتأثرة. تقوم أداة "Graph Investigator" بتصور الجدول الزمني ونطاق الهجمات، بهدف مساعدة الفرق في تحديد الفرص لصيد التهديدات واتخاذ الإجراءات.

4. أتمتة الاستجابة

تتضمن المنصة مصمم كتيبات يهدف إلى مساعدة الفرق في إنشاء سير عمل آلي باستخدام واجهة سحب وإفلات. يمكن للمحللين تعديل وبناء كتيبات جديدة باستخدام بيئة تطوير متكاملة.

5. لوحات المعلومات والتقارير

يمكن لفرق الأمن الاستفادة من لوحات المعلومات المدمجة لمراقبة مقاييس مثل أداء مركز العمليات الأمنية (SOC) ومؤشرات الأداء الرئيسية (KPIs). تهدف هذه اللوحات إلى قياس الفعالية التشغيلية وبناء وجهات نظر مخصصة.

6. محرك الكشف

يتيح محرك الكشف للمستخدمين أتمتة مراقبة الأمان من خلال إعداد قواعد تبحث في البيانات الواردة عن التهديدات المعروفة والمحتملة. كما يوفر إشعارات للمشكلات المكتشفة، بهدف تمكين استجابة أسرع وتخفيف الأضرار.

نظرة عامة على منصة Google للأمن السيبراني

دعونا نستعرض الوظائف الرئيسية التي تقدمها منصة Google SecOps.

وظائف نظام إدارة معلومات الأمن (SIEM) ونظام استجابة الأمان (SOAR)

بحث SIEM ولوحات المعلومات
أدوات SIEM تركز على معالجة وتحليل بيانات الأمان، مع قدرات لـ:

• بحث UDM: يساعد المستخدمين في البحث عن الأحداث والتنبيهات التي تم توحيدها في نموذج البيانات الموحد (UDM). يمكن للمستخدمين عرض السجلات الخام جنبًا إلى جنب مع أحداث UDM المرتبطة، بما في ذلك البيانات المستخرجة من موصلات SOAR.
• لوحات المعلومات: تهدف إلى تقديم رؤى حول مقاييس التليمترية، والكشف، والتنبيهات، وعناصر المؤشر.

بحث SOAR ولوحات المعلومات
أدوات SOAR مخصصة لإدارة الحالات وأتمتة الاستجابة:

• بحث SOAR: يساعد المستخدمين في تحديد الحالات والكيانات المتعلقة بحوادث الأمان. يتيح إجراءات جماعية مثل دمج الحالات والبحث في تفاصيل محددة للكيانات.
• لوحات المعلومات: تسمح للمستخدمين بمشاهدة حالات القضايا، والكتب التشغيلية، ومقاييس محللي مركز العمليات الأمنية. يمكن إنشاء لوحات معلومات مخصصة ومشاركتها عبر الفريق.

قدرات استيعاب البيانات

يدعم Google SecOps إدخال البيانات من نظام SIEM المدمج الخاص به بالإضافة إلى أنظمة SIEM من جهات خارجية.

• نظام SIEM المدمج: مصمم لاستيعاب السجلات الخام مباشرة باستخدام أدوات الإرسال وتغذيات البيانات، مما يوفر تكاملًا مع المنصة.
• أنظمة SIEM من طرف ثالث: يمكن أن يتم استيعاب السجلات والتنبيهات من خلال موصلات SOAR وwebhooks. هذه التنبيهات مرئية في بحث UDM لكنها لا تخضع لقواعد الكشف المدمجة في SIEM.

الإدارة والتكوين

تُدار المهام الإدارية لنظام SIEM وSOAR بشكل مستقل.

• إعدادات SIEM: التحكم في استيعاب البيانات، والتحليل، وتكوين القواعد للميزات المتعلقة بـ SIEM.
• إعدادات SOAR: مصممة للتحكم في الأتمتة، والكتب التشغيلية، وأذونات المنصة، بما في ذلك إعدادات مجموعات المستخدمين. بعض التكوينات على مستوى المنصة، مثل تعيين مجموعة موفر الهوية (IDP)، تُدار هنا.

تُطبق الأذونات المكونة من خلال إدارة الهوية والوصول (IAM) على الفور، بينما تلك التي تتم إدارتها عبر إعدادات SOAR تدخل حيز التنفيذ عند تسجيل الدخول التالي.

قيود عمليات الأمان في جوجل

على الرغم من أن عمليات أمان Google توفر ميزات للكشف عن التهديدات والاستجابة لها، إلا أن المستخدمين قد حددوا عدة قيود قد تؤثر على قابلية الاستخدام والأداء وتجربة الدعم. وقد تم الإبلاغ عن هذه القيود من قبل المستخدمين على منصة G2:

• نقص الدعم الكافي: يذكر المستخدمون تأخيرات في تلقي المساعدة بشأن الأخطاء أو المشكلات.
• زيادة الأسعار وضعف الشراكات: بعد استحواذ جوجل على المنصة، ارتفعت الأسعار، وضعفت الشراكات القريبة، مثل تلك مع Siemplify.
• تعقيد دفاتر اللعب: قد تكون ميزة دفتر اللعب معقدة للغاية بالنسبة للمستخدمين الجدد، مما يتطلب منحنى تعلم حاد للاستخدام الفعال.
• أداء بطيء: تتطلب المنصة اتصال إنترنت قوي وقد تصبح بطيئة أو غير مستجيبة في ظل ظروف الشبكة الضعيفة.
• عدم اتساق فلاتر البحث: خيار الفلترة في شريط البحث يفشل أحيانًا في استرجاع البيانات المحددة في حقول البحث.
• تحديات التقارير: وظيفة التقارير، المبنية على Tableau، تخضع لإعادة تطوير.
• قيود تعيين التنبيهات: لا يتوفر تعيين معرفات التنبيهات في علامة التبويب المعاينة، مما يحد من سرعة التعرف عليها وتحليلها.

إكزابين: البديل النهائي لجوجل سيك أوبس

إكزابييم هي مزود رائد لحلول إدارة معلومات الأمن والأحداث (SIEM)، تجمع بين UEBA وSIEM وSOAR وTDIR لتسريع عمليات الأمن. تمكّن منصات العمليات الأمنية الخاصة بها الفرق الأمنية من اكتشاف التهديدات والتحقيق فيها والاستجابة لها بسرعة، مما يعزز الكفاءة التشغيلية.

الميزات الرئيسية:

• جمع السجلات وإدارتها القابلة للتوسع: تسرع المنصة المفتوحة عملية إدخال السجلات بنسبة 70%، مما يلغي الحاجة لمهارات هندسية متقدمة مع ضمان تجميع سلس للسجلات عبر البيئات الهجينة.
• تحليلات سلوكية: تستخدم تحليلات متقدمة لتحديد السلوك الطبيعي مقابل السلوك غير الطبيعي، وكشف التهديدات الداخلية، والحركة الجانبية، والهجمات المتقدمة التي تفوتها الأنظمة المعتمدة على التوقيع. يذكر العملاء أن Exabeam يساعد في الكشف والاستجابة لـ 90% من الهجمات قبل أن تتمكن الشركات الأخرى من اكتشافها.
• استجابة التهديدات الآلية: تبسط عمليات الأمان من خلال أتمتة جداول الحوادث، وتقليل الجهد اليدوي بنسبة 30%، وتسريع أوقات التحقيق بنسبة 80%.
• تحقيق الحوادث السياقية: نظرًا لأن Exabeam يقوم بأتمتة إنشاء الجداول الزمنية ويقلل من الوقت المستغرق في المهام البسيطة، فإنه يقلل من الوقت اللازم لاكتشاف التهديدات والاستجابة لها بأكثر من 50%. تقلل قواعد الكورليشن المسبقة البناء، ونماذج اكتشاف الشذوذ، ودمج البائعين من التنبيهات بنسبة 60%، مما يقلل من الإيجابيات الكاذبة.
• خيارات SaaS والسحابة الأصلية: توفر خيارات النشر المرنة قابلية التوسع للبيئات السحابية والهجينة، مما يضمن سرعة تحقيق القيمة للعملاء. بالنسبة للمنظمات التي لا تستطيع، أو لا ترغب في نقل SIEM الخاص بها إلى السحابة، تقدم Exabeam SIEM رائد في السوق، كامل الميزات، ومُستضاف ذاتيًا.
• رؤية الشبكة مع NetMon: يوفر رؤى عميقة تتجاوز الجدران النارية وأنظمة كشف التسلل/أنظمة منع التسلل، ويكتشف التهديدات مثل سرقة البيانات ونشاط الشبكات الآلية، مما يسهل التحقيق من خلال البحث المرن. كما أن تحليل الحزم العميق (DPA) يبني أيضًا على محرك فحص الحزم العميق (DPI) الخاص بـ NetMon لتفسير مؤشرات الاختراق الرئيسية (IOCs).

يبرز عملاء Exabeam باستمرار كيف أن رؤيتها في الوقت الحقيقي، وأدوات الأتمتة والإنتاجية المدعومة بالذكاء الاصطناعي، تعزز من مهارات الأمن، مما يحول المحللين المرهقين إلى مدافعين نشطين، مع تقليل التكاليف والحفاظ على دعم رائد في الصناعة.

تعرف على المزيد حول Exabeam New-Scale SIEM