Was ist Google Security Operations (früher bekannt als Google Chronicle)?

Google Security Operations ist eine Cloud-basierte Plattform, die Unternehmen bei der Verwaltung und Analyse großer Mengen an Sicherheits- und Netzwerktelemetriedaten unterstützt. Sie basiert auf der Infrastruktur von Google und bietet Tools zum Speichern, Durchsuchen und Analysieren von Sicherheitsdaten in großem Umfang.

Die Plattform soll es Organisationen ermöglichen, Bedrohungen zu erkennen und zu untersuchen, deren Ausmaß und Ursache zu verstehen und durch vorgefertigte Integrationen mit Workflow- und Incident-Response-Tools Abhilfemaßnahmen zu ergreifen.

Durch die Normalisierung und Indizierung von Daten liefert Google Security Operations Analysen und kontextbezogene Einblicke in verdächtige Aktivitäten. Es unterstützt die Suche in Unternehmensdaten, um potenzielle Kompromittierungen auf Domänen-, Asset- oder IP-Adressebene zu identifizieren. Sicherheitsteams können damit Bedrohungen über längere Zeiträume überwachen.

Dies ist Teil einer Artikelserie zur Google Cloud-Sicherheit

Hauptfunktionen von Google Security Operations

1. Datenerhebung

Google Security Operations erfasst verschiedene Arten von Sicherheitstelemetriedaten mithilfe von:

• Ein Forwarder: In Kundennetzwerken bereitgestellte Software für Syslog, Paketerfassung und Integration mit vorhandenen SIEM-Systemen.
• Ingestion-APIs: APIs zum direkten Senden von Protokollen an die Plattform.
• Integrationen von Drittanbietern: Vorgefertigte Konnektoren für Cloud-Dienste wie Office 365 und Azure AD.

2. Erkennung und Bedrohungsanalyse

Die Plattform nutzt das Universal Data Model (UDM), um Daten zu normalisieren und zu korrelieren und sie mit Erkennungen und Bedrohungsinformationen zu verknüpfen. Analysten können Rohprotokollscans oder UDM-basierte Suchvorgänge, einschließlich regulärer Ausdrücke, verwenden, um potenzielle Bedrohungen zu identifizieren und deren Ursachen zu analysieren.

3. Untersuchung und Fallmanagement

Analysten können verwandte Warnmeldungen in Fällen gruppieren, zuordnen und priorisieren sowie bei Untersuchungen zusammenarbeiten. Funktionen wie Verfahrensfilterung und Untersuchungsansichten (z. B. Asset-, IP-Adress-, Hash-, Domänen- und Benutzeransichten) bieten detaillierten Kontext zu den betroffenen Entitäten. Der Graph Investigator visualisiert den zeitlichen Verlauf und das Ausmaß von Angriffen und unterstützt Teams dabei, Möglichkeiten zur Bedrohungssuche zu erkennen und Maßnahmen zu ergreifen.

4. Automatisierte Reaktionen

Die Plattform umfasst einen Playbook Designer, der Teams bei der Erstellung automatisierter Workflows mit einer Drag-and-Drop-Oberfläche unterstützt. Analysten können mithilfe einer integrierten Entwicklungsumgebung (IDE) neue Playbooks ändern und erstellen.

5. Dashboards und Reporting

Sicherheitsteams können integrierte Dashboards nutzen, um Kennzahlen wie die SOC-Leistung und Key Performance Indicators (KPIs) zu überwachen. Diese Dashboards helfen dabei, die operative Effektivität zu messen und benutzerdefinierte Ansichten zu erstellen.

6. Erkennungs-Engine

Die Detection Engine ermöglicht Benutzern die Automatisierung der Sicherheitsüberwachung durch die Einrichtung von Regeln, die eingehende Daten nach bekannten und potenziellen Bedrohungen durchsuchen. Sie benachrichtigt bei erkannten Problemen, um schneller reagieren und Abhilfe schaffen zu können.

Übersicht über die Google SecOps-Plattform

Sehen wir uns die wichtigsten Funktionen der Google SecOps-Plattform an.

SIEM- und SOAR Funktionalität

SIEM-Suche und Dashboards
SIEM-Tools konzentrieren sich auf die Verarbeitung und Analyse von Sicherheitstelemetrie und bieten folgende Funktionen:

• UDM-Suche: Unterstützt Benutzer bei der Suche nach Ereignissen und Warnmeldungen, die im Unified Data Model (UDM) normalisiert sind. Benutzer können Rohprotokolle zusammen mit korrelierten UDM-Ereignissen anzeigen, einschließlich Daten, die von SOAR Konnektoren erfasst wurden.
• Dashboards: Ziel ist es, Einblicke in Telemetriemetriken, Erkennungen, Warnungen und IOCs zu bieten.

SOAR Suche und Dashboards
SOAR Tools dienen der Fallbearbeitung und der Automatisierung von Reaktionsvorgängen:

• SOAR Suche: Hilft Benutzern, Fälle und Entitäten im Zusammenhang mit Sicherheitsvorfällen zu finden. Sie ermöglicht Massenaktionen wie das Zusammenführen von Fällen und das Anzeigen entitätsspezifischer Details.
• Dashboards: Ermöglicht Benutzern die Anzeige von Fallstatus, Playbooks und SOC-Analystenmetriken. Benutzerdefinierte Dashboards können erstellt und im gesamten Team geteilt werden.

Datenaufnahmefunktionen

Google SecOps unterstützt die Datenaufnahme sowohl von seinem integrierten SIEM als auch von SIEMs von Drittanbietern:

• Integriertes SIEM: Entwickelt, um Rohprotokolle direkt mithilfe von Forwardern und Datenfeeds aufzunehmen und so die Integration mit der Plattform zu ermöglichen.
• SIEM-Systeme von Drittanbietern: Protokolle und Warnmeldungen können idealerweise über SOAR Konnektoren und Webhooks erfasst werden. Diese Warnmeldungen sind in der UDM-Suche sichtbar, werden aber nicht von den integrierten Erkennungsregeln des SIEM-Systems verarbeitet.

Administration und Konfiguration

Die administrativen Aufgaben für SIEM und SOAR werden unabhängig voneinander verwaltet:

• SIEM-Einstellungen: Steuern Sie die Aufnahme, Analyse und Regelkonfigurationen für SIEM-bezogene Funktionen.
• SOAR Einstellungen: Sie dienen der Steuerung von Automatisierung, Playbooks und Plattformberechtigungen, einschließlich Benutzergruppeneinstellungen. Einige plattformweite Konfigurationen, wie die Zuordnung von Identitätsanbietergruppen (IDP-Gruppen), werden hier verwaltet.

Berechtigungen, die über Identity and Access Management (IAM) konfiguriert werden, werden sofort angewendet, während diejenigen, die über SOAR Einstellungen verwaltet werden, erst beim nächsten Login wirksam werden.

Einschränkungen bei Google Security Operations

Obwohl Google Security Operations Funktionen zur Erkennung und Abwehr von Bedrohungen bietet, haben Nutzer einige Einschränkungen festgestellt, die sich auf Benutzerfreundlichkeit, Leistung und Support auswirken können. Diese Einschränkungen wurden von Nutzern der G2-Plattform gemeldet:

• Mangelnder angemessener Support: Benutzer berichten von Verzögerungen bei der Unterstützung bei Fehlern oder Problemen.
• Höhere Preise und erodierte Partnerschaften: Nach der Übernahme der Plattform durch Google sind die Preise gestiegen und enge Partnerschaften, wie die mit Siemplify, haben sich abgeschwächt.
• Komplexität der Playbooks: Die Playbook-Funktion ist für neue Benutzer möglicherweise zu kompliziert und erfordert für eine effektive Nutzung eine steile Lernkurve.
• Träge Leistung: Die Plattform erfordert eine starke Internetverbindung und kann bei schwächeren Netzwerkbedingungen langsam werden oder nicht mehr reagieren.
• Inkonsistenzen beim Suchfilter: Die Filteroption in der Suchleiste kann gelegentlich die in den Suchfeldern angegebenen Daten nicht abrufen.
• Herausforderungen bei der Berichterstellung: Die auf Tableau basierende Berichtsfunktion wird derzeit neu entwickelt.
• Einschränkungen bei der Alarmzuordnung: Die Zuordnung von Alarm-IDs ist auf der Registerkarte „Vorschau“ nicht verfügbar, was die schnelle Identifizierung und Analyse einschränkt.

Exabeam: Ultimative Google SecOps-Alternative

Exabeam ist ein führender Anbieter von Sicherheitsinformations- und Ereignisverwaltungslösungen (SIEM), die UEBA, SIEM, SOAR und TDIR kombinieren, um die Sicherheitsabläufe zu beschleunigen. Seine Security Operations-Plattformen ermöglichen es Sicherheitsteams, Bedrohungen schnell zu erkennen, zu untersuchen und darauf zu reagieren und gleichzeitig die betriebliche Effizienz zu steigern.

Hauptmerkmale:

• Skalierbare Protokollerfassung und -verwaltung: Die offene Plattform beschleunigt das Onboarding von Protokollen um 70 %, sodass keine fortgeschrittenen technischen Kenntnisse mehr erforderlich sind, und gewährleistet gleichzeitig eine nahtlose Protokollaggregation in hybriden Umgebungen.
• Verhaltensanalyse: Verwendet erweiterte Analysen, um normales und abnormales Verhalten zu vergleichen und Insider-Bedrohungen, laterale Bewegungen und komplexe Angriffe zu erkennen, die von signaturbasierten Systemen übersehen werden. Kunden berichten, dass Exabeam 90 % der Angriffe erkennt und darauf reagiert, bevor andere Anbieter sie abfangen können.
• Automatisierte Reaktion auf Bedrohungen: Vereinfacht Sicherheitsvorgänge durch Automatisierung der Vorfallzeitpläne, Reduzierung des manuellen Aufwands um 30 % und Beschleunigung der Untersuchungszeiten um 80 %.
• Kontextbezogene Vorfalluntersuchung: Da Exabeam die Zeitleistenerstellung automatisiert und den Zeitaufwand für Routineaufgaben reduziert, verkürzt sich die Zeit für die Erkennung und Reaktion auf Bedrohungen um über 50 %. Vorgefertigte Korrelationsregeln, Modelle zur Anomalieerkennung und Anbieterintegrationen reduzieren die Anzahl der Warnmeldungen um 60 % und minimieren Fehlalarme.
• SaaS- und Cloud-native Optionen: Flexible Bereitstellungsoptionen bieten Skalierbarkeit für Cloud-First- und Hybridumgebungen und gewährleisten eine schnelle Wertschöpfung für Kunden. Für Unternehmen, die ihr SIEM nicht in die Cloud migrieren können oder wollen, bietet Exabeam ein marktführendes, voll funktionsfähiges und selbst gehostetes SIEM.
• Netzwerktransparenz mit NetMon: Bietet tiefe Einblicke über Firewalls und IDS/IPS hinaus, erkennt Bedrohungen wie Datendiebstahl und Botnet-Aktivitäten und erleichtert die Untersuchung durch flexible Suchfunktionen. Deep Packet Analytics (DPA) basiert außerdem auf der NetMon Deep Packet Inspection (DPI)-Engine, um wichtige Indikatoren für Kompromittierungen (IOCs) zu interpretieren.

Die Kunden Exabeam betonen immer wieder, wie die KI-gestützten Tools für Echtzeittransparenz, Automatisierung und Produktivität die Sicherheitskompetenz des Unternehmens verbessern, überforderte Analysten in proaktive Verteidiger verwandeln und gleichzeitig die Kosten senken und branchenführenden Support bieten.

Erfahren Sie mehr über Exabeam New-Scale SIEM