谷歌正式将其纪事网络安全平台扩展到威胁检测领域,并承诺为企业带来“谷歌规模的威胁分析”。
编年史最初是作为Alphabet神秘的X部门的内部项目开发的,2018年作为一家独立的网络安全公司推出。去年6月,Chronicle被谷歌云(Google Cloud)吞并,成为吸引云竞争对手企业客户的潜在胡萝卜棒,承诺提供更全面的网络安全智能。
“纪事报”的核心是机器学习算法,它可以分析大量数据,以便更快地识别安全威胁。最初,《纪事报》更多地关注威胁搜索和调查,并假设客户正在接收来自其他地方的警报,这些警报将启动他们的调查。然而,早在2月份,谷歌就启动了主动威胁检测和警报功能。
谷歌云安全营销主管里克·卡西亚(Rick Caccia)在接受VentureBeat采访时表示:“我们的计划一直是在调查之外增加提供高级检测的能力,即创建我们自己的警报。”
这包括推出智能数据融合,将新的数据模型与自动将多个“事件”连接到单一统一时间表的能力相结合。此外,谷歌还宣布,纪事将使用Yara-L检测威胁,Yara-L是一种新的基于规则的语言,用于描述复杂的威胁行为-这是受到Yara的启发,Yara是一家名为VirusTotal的恶意软件扫描公司开发的工具,谷歌于2012年收购了该公司。
快进到今天的发布,Google现在正式推出Chronicle Detect,被吹捧为企业“以前所未有的速度和规模识别威胁”的解决方案。在谷歌之前公布的基础上,谷歌表示,其规则引擎现在可以处理更复杂的事件分析,同时它还扩大了Yara-L行为描述的范围,并根据Mitre ATT;CK知识库中列出的现代威胁类型对其进行了“调整”。
Chronicle允许网络安全专业人员根据更一般的规则配置他们的威胁警报,按照Caccia提供的此示例的思路:
如果您曾经看到一个以前从未发送到我们网络中的文件,然后在打开它之后,用户的机器打开了一个连接到一个以前没有人连接过的IP地址,然后发出警报,并显示也收到相同文件的任何用户。
因此,纪事用来描述“危险行为”的方法可以涵盖更多关于威胁和潜在目标的基础,而不是指定要注意的域或特定的文件散列。然而,在识别一般行为所需的能力方面存在权衡,因为系统必须不断分析公司的安全遥测-这就是为什么直接构建在谷歌云之上会有所帮助。
“这种行为描述方法可以实现更强大的检测,”卡西亚说。“没有强大的计算能力是很难做到的,但”纪事报“已经做到了这一点。”
Chronicle Detect现在还利用来自其研究小组Uppercase的额外实时数据馈送,包括检测规则和危害指示器(IOC),其中可能包括高风险IP或注册表项,这些数据将与每家公司系统中的安全遥测进行比较。
虽然纪事被大力宣传为谷歌云的核心组件,但该平台实际上允许客户聚合和分析存储在其他任何地方的数据,无论是在第三方云提供商上还是通过内部数据中心。