Google正式将其Chronicle网络安全平台扩展到威胁检测领域,并承诺将“ Google规模的威胁分析”引入企业。
Chronicle最初是作为Alphabet秘密的X部门内部的一个内部项目开发的,然后于2018年作为独立的网络安全公司推出。去年6月,Chronicle被Google Cloud吞没了,它可能成为吸引潜在竞争对手的企业客户,并有望提供更全面的网络安全技术。
大数据
编年史的核心是机器学习算法,该算法分析大量数据以更快地识别安全威胁。最初,Chronicle更加专注于威胁搜寻和调查,并假设客户收到来自其他地方的警报,这将启动他们的调查。但是,早在2月份,Google便开始积极主动地进行威胁检测和警报功能。
“除调查外,计划始终是增加提供高级检测的能力(即创建我们自己的警报),” Google Cloud云安全营销负责人Rick Caccia告诉VentureBeat。
这包括启动智能数据融合,将新的数据模型与能够将多个“事件”自动连接到一个统一的时间表中的功能相结合。此外,谷歌还宣布纪事将检测到使用威胁亚拉-L,新规则为基础的语言来描述复杂的威胁行为-这是由“灵感”亚拉,由称为VirusTotal恶意软件扫描公司创建了一个工具,谷歌收购在2012年。
快进今天的发布,Google现在正式发布Chronicle Detect,被吹捧为企业“以前所未有的速度和规模识别威胁”的解决方案。谷歌表示,基于谷歌先前公布的内容,它的规则引擎现在可以处理更复杂的事件分析,同时还扩大了Yara-L行为描述的范围,并针对Mitre ATT&CK知识中概述的现代威胁类型进行了“调整”基础。
Chronicle允许网络安全专业人员根据更通用的规则,按照本示例Caccia提供的配置其威胁警报:
如果您看到以前从未发送到我们网络的文件,然后在打开该文件后,用户的计算机打开了一个与以前从未有人连接过的IP地址的连接,然后发出警报并同时显示也收到相同文件的所有用户。
因此,Chronicle描述“危险行为”的方法不必指定要查找的域或特定文件哈希,而可以涵盖威胁和潜在目标方面的更多基础。但是,在识别一般行为所需的功能方面需要权衡取舍,因为系统必须不断分析公司的安全遥测数据-这就是为什么直接在Google Cloud之上构建功能会有所帮助。
Caccia说:“这种行为描述方法可以进行更强大的检测。”“如果没有强大的计算能力,这是很难做到的,但《纪事报》拥有这种能力。”
现在,Chronicle Detect还利用其研究团队Uppercase的其他实时数据提要,其中包括检测规则和危害指标(IoC),其中可能包括高风险IP或注册表项,并与每个安全遥测进行比较公司系统。
尽管Chronicle非常适合作为Google Cloud的核心组件,但该平台实际上允许客户聚合和分析存储在其他位置的数据,无论是在第三方云提供商上还是通过本地数据中心。
