Google Cloud去年6月将Alphabet子公司Chronicle整合进来作为企业安全侦测的一环,昨(23)日公布针对企业大规模及即时侦测威胁需求的Chronicle Detect技术。
今年二月Google公布Chronicle根据威胁侦测YARA规则改成的YARA-L,可大范围、即时及回溯执行威胁侦测,以及能将多起事件串联到单一时间串行加以分析的资料融合工具。
最新的Chronicle Detect即是在这些技术基础上最新发展成果。Google强调Chronicle Detect是以Google基础架构为底层打造的现代侦测技术,可协助企业以极快速度和规模侦测威胁。
Chronicle侦测方案包含Google最新的规则引擎、一组可有效描述复杂的威胁行为的规则语言,和即时更新的新规则及入侵指标(indicators of compromise)。
Google解释,想精准侦测威胁,需要有多样化、有用的安全遥测(telemetery)资料。但是大量的安全遥测资料,像是端点侦测与回应(EDR)及包括EDR与邮件的扩展性侦测与回应(XDR)资料,却因为量太大、成本太高、系统性能太低不高而效果有限。
结合Google的云计算底层,企业的安全部门就可以将他们的端点安全遥测资料以固定成本送到Chronicle,而得到完整的资料分析,资料送到Chronicle会被套用集成资料模型(Unified Data Model,UDM),这个模型是专为EDR、NDR、DNS、SaaS等安全遥测资料的威胁侦测而设计。Google指出,它加入了场景(如资产、用户、漏洞及威胁情报)及关联(如IP和主机的关联性),因而比SIEM(Security information and event management)更广,更能实现XDR的愿景。
Google指出,Chronicle Detect让企业可以很容易创建侦测规则,也可以直接使用Chronicle Detect内置的高端侦测规则,或是沿用旧式工具的规则。它的规则引擎包含了大数据分析能力,集成现代威胁侦测分析的构念(constructs),像是巨量资料的多事件串行、资料集成、窗口加权(windowing),让企业内的安全分析人员侦测一连串攻击事件。
另外,虽然Chronicle Detect规则引擎是以Google新的YARA-L威胁侦测语言访问,但有鉴于许多企业使用Sigma作为系统日志文件语言,Chronicle Detect也集成了Sigma到YARA -L的转换工具,方便企业将现有规则导出或转移到Google Cloud Chronicle上。
最后,Chronicle Detect也集成了由Chronicle情报研究团队Uppercase提供的侦测规则及最新威胁指标,支持即时侦测。并加入API,以方便企业集成市面上的SIEM工具,包括Palo Alto Cortex XSOAR、D3 SOAR、SIEMplify及Splunk Phantom。