Google更新Chronicle SecOps組件,強(qiáng)化企業(yè)安全運(yùn)營團(tuán)隊(duì)掌握威脅情報(bào)的能力,提供經(jīng)過仔細(xì)策劃的安全偵測功能,目的是在當(dāng)前企業(yè)面臨越來越復(fù)雜的威脅,以及不斷擴(kuò)大的攻擊面,借由更全面的威脅情報(bào),來減輕企業(yè)安全人員的工作負(fù)擔(dān)。
新加入的威脅偵測功能,是由Google Cloud Threat Intelligence(GCTI)策劃、構(gòu)建和維護(hù),能夠開箱即用,偵測的范圍包含各種網(wǎng)絡(luò)威脅,和基于Windows的攻擊,包含勒索軟件、遠(yuǎn)程訪問工具和資訊泄露等可疑行為。Google提到,他們從數(shù)十億用戶、瀏覽器和設(shè)備中,獲得龐大的威脅情報(bào),這些情報(bào)則成為用于制定這些針對性偵測的獨(dú)特優(yōu)勢。
在人力不足和威脅形式不斷變化的環(huán)境,Google此次更新的威脅情報(bào)資料解決方案,提供數(shù)個(gè)可快速識別威脅,并且高效調(diào)查和回應(yīng)安全事件的功能。用戶可以在Chronicle控制臺點(diǎn)擊立刻激活這些新的威脅偵測功能,并且利用來自權(quán)威來源IAM和CMDB的上下文集成高傳真威脅偵測,操作資料找出安全威脅。
借由偵測所觸發(fā)的可視化功能,能夠讓用戶發(fā)現(xiàn)異常資產(chǎn)和域名,加速進(jìn)行調(diào)查和回應(yīng),另外,威脅偵測也能夠映射到MITRE ATT&CK框架,以進(jìn)一步了解攻擊的戰(zhàn)術(shù)和技術(shù),發(fā)現(xiàn)潛在的威脅漏洞。Google提到,這些經(jīng)過精心策劃的偵測規(guī)則,會由GCTI研究人員持續(xù)更新和調(diào)整,第一波發(fā)布的偵測功能主要針對兩個(gè)類別,分別是針對Windows的威脅以及網(wǎng)絡(luò)攻擊。
用戶可以在Chronicle規(guī)則儀表板中,查看日志資料的偵測規(guī)則,以及偵測相關(guān)的調(diào)查查看圖。官方提到,通過他們提供的高效偵測,安全運(yùn)營團(tuán)隊(duì)可以減少警報(bào)疲勞,花更多時(shí)間在回應(yīng)真正的安全威脅上,在惡意活動的生命周期早期采取行動阻擋威脅。