Google更新Chronicle SecOps组件,强化企业安全运营团队掌握威胁情报的能力,提供经过仔细策划的安全侦测功能,目的是在当前企业面临越来越复杂的威胁,以及不断扩大的攻击面,借由更全面的威胁情报,来减轻企业安全人员的工作负担。
新加入的威胁侦测功能,是由Google Cloud Threat Intelligence(GCTI)策划、构建和维护,能够开箱即用,侦测的范围包含各种网络威胁,和基于Windows的攻击,包含勒索软件、远程访问工具和资讯泄露等可疑行为。Google提到,他们从数十亿用户、浏览器和设备中,获得庞大的威胁情报,这些情报则成为用于制定这些针对性侦测的独特优势。
在人力不足和威胁形式不断变化的环境,Google此次更新的威胁情报资料解决方案,提供数个可快速识别威胁,并且高效调查和回应安全事件的功能。用户可以在Chronicle控制台点击立刻激活这些新的威胁侦测功能,并且利用来自权威来源IAM和CMDB的上下文集成高传真威胁侦测,操作资料找出安全威胁。
借由侦测所触发的可视化功能,能够让用户发现异常资产和域名,加速进行调查和回应,另外,威胁侦测也能够映射到MITRE ATT&CK框架,以进一步了解攻击的战术和技术,发现潜在的威胁漏洞。Google提到,这些经过精心策划的侦测规则,会由GCTI研究人员持续更新和调整,第一波发布的侦测功能主要针对两个类别,分别是针对Windows的威胁以及网络攻击。
用户可以在Chronicle规则仪表板中,查看日志资料的侦测规则,以及侦测相关的调查查看图。官方提到,通过他们提供的高效侦测,安全运营团队可以减少警报疲劳,花更多时间在回应真正的安全威胁上,在恶意活动的生命周期早期采取行动阻挡威胁。