Google Chronicle SecOps
Что такое Google Chronicle SecOps?
Google Chronicle SecOpsОблачная SIEM/SOAR от Google Cloud (ранее Backstory), которая хранит петабайтные объёмы телеметрии по фиксированной цене за сотрудника и запрашивает их на языке детекций YARA-L.
Google Chronicle SecOps был запущен в 2018 году подразделением Alphabet Chronicle под именем Backstory и построен на инфраструктуре Google класса BigQuery. Он принимает сырую телеметрию безопасности в неограниченном объёме, нормализует её в Unified Data Model (UDM) и позволяет писать детекты на YARA-L 2.0 в дополнение к курируемым правилам Mandiant (приобретённой Google в 2022 году). Тарификация чаще всего идёт за сотрудника, а не за гигабайт, что снимает ограничения по объёму логов. Chronicle SecOps интегрирует Siemplify SOAR (поглощённый в 2022), Mandiant Threat Intel, помощника Duet AI for Security на базе Gemini и подключается к дашбордам Google Security Operations. Он конкурирует со Splunk ES и Microsoft Sentinel на корпоративном рынке SIEM.
● Примеры
- 01
Правило YARA-L, которое обнаруживает новые TLD-домены, контактируемые хостом в течение 5 минут после срабатывания EDR.
- 02
Переход от срабатывания Mandiant threat intel ко всем UDM-событиям того же IP за последний год с задержкой меньше секунды.
● Частые вопросы
Что такое Google Chronicle SecOps?
Облачная SIEM/SOAR от Google Cloud (ранее Backstory), которая хранит петабайтные объёмы телеметрии по фиксированной цене за сотрудника и запрашивает их на языке детекций YARA-L. Относится к категории Защита и операции в кибербезопасности.
Что означает Google Chronicle SecOps?
Облачная SIEM/SOAR от Google Cloud (ранее Backstory), которая хранит петабайтные объёмы телеметрии по фиксированной цене за сотрудника и запрашивает их на языке детекций YARA-L.
Как работает Google Chronicle SecOps?
Google Chronicle SecOps был запущен в 2018 году подразделением Alphabet Chronicle под именем Backstory и построен на инфраструктуре Google класса BigQuery. Он принимает сырую телеметрию безопасности в неограниченном объёме, нормализует её в Unified Data Model (UDM) и позволяет писать детекты на YARA-L 2.0 в дополнение к курируемым правилам Mandiant (приобретённой Google в 2022 году). Тарификация чаще всего идёт за сотрудника, а не за гигабайт, что снимает ограничения по объёму логов. Chronicle SecOps интегрирует Siemplify SOAR (поглощённый в 2022), Mandiant Threat Intel, помощника Duet AI for Security на базе Gemini и подключается к дашбордам Google Security Operations. Он конкурирует со Splunk ES и Microsoft Sentinel на корпоративном рынке SIEM.
Как защититься от Google Chronicle SecOps?
Защита от Google Chronicle SecOps обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Google Chronicle SecOps?
Распространённые альтернативные названия: Chronicle SecOps, Chronicle SIEM, Backstory.
● Связанные термины
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
- defense-ops№ 1062
SOAR
Платформа, автоматизирующая и оркеструющая процессы SOC за счёт сценариев (playbooks), объединяющих обнаружения, обогащение данных и действия по реагированию во множестве инструментов безопасности.
- defense-ops№ 1080
Splunk Enterprise Security
Коммерческая SIEM от Splunk Inc. (приобретена Cisco в 2024 году), которая собирает, индексирует и коррелирует машинные данные через Splunk Processing Language (SPL) для мониторинга и расследования инцидентов.
- defense-ops№ 680
Microsoft Sentinel
Облачный сервис SIEM и SOAR от Microsoft на Azure, который запрашивает журналы на Kusto Query Language (KQL) и нативно интегрируется с Microsoft 365 Defender и источниками данных Azure.
- defense-ops№ 1148
Threat Intelligence
Основанные на доказательствах знания об угрозах и злоумышленниках — индикаторах, TTP и контексте — используемые для принятия решений по безопасности и настройки детектирования.