GoogleCloudChronicle的新威胁检测服务承诺速度和规模
Google Cloud的Chronicle安全服务今天宣布推出Chronicle Detect,这是一种威胁检测解决方案,利用Google的基础架构来帮助企业更快,更大规模地识别威胁。
Detect旨在通过“以搜索速度运行”的下一代Google规则引擎为企业提供威胁检测,Detect提供了一种数据融合模型,可将事件缝合到统一的时间轴中,可以使用规则引擎来处理常见事件,并提供一种语言描述复杂的威胁行为。
所指语言是对YARA-L的支持, YARA-L是YARA语言的变体。该语言提供了一种基于规则的方法,可以基于文本或二进制族创建对恶意软件族的描述。
YARA-L更进一步,因为它可以用于表示检测结果,而不仅仅是查询数据。用安全策略师Anton Chuvakin 在二月份的话来说,“实质上,它是一种威胁检测语言,而不是数据查询语言!它是由安全分析人员设计的,并且是为安全分析人员设计的,不可否认地得到了恶意软件反向工程师的一些帮助。”
借助对YARA-L的支持,用户可以立即部署高级规则,构建自己的规则或从旧版工具迁移规则。Chronicle Detect还提供对MITER ATT&CK安全框架以及Sigma-YARA转换器的支持,该转换器允许客户将其规则与现有Sigma设备进行移植。
Chronicle的客户还可以利用Chronicle专门的威胁研究团队Uppercase的检测规则和威胁指示符。研究人员利用各种工具,技术和数据源,为Chronicle客户提供了跨最新软件,高级持续威胁组和有害恶意程序的指标。
然后,研究人员可以提供折衷指标,例如高风险IP,哈希,域,注册表项,并根据客户的“编年史”设置中的所有安全遥测进行分析, 以检测高威胁指标。
NCR Corp.首席信息安全官Bob Chronicle的现有客户Bob Varnadoe在新闻稿中高度评价了该产品。“ Google Chronicle的规模和SaaS部署模型 推动了NCR最初的兴趣和投资,” Varnadoe说。“他们提供新功能和集成的速度使我们保持了生产力,并继续给人留下深刻印象。通过运行 《纪事报》 进行威胁调查,我们大大改善了我们的检测指标。”