Angesichts des wachsenden Trends von Unternehmen zur Verlagerung ihrer IT-Infrastruktur und Workloads in die Cloud ist es nicht verwunderlich, dass inzwischen alle großen Hyperscaler im Sicherheitsbereich agieren. Google positioniert sich durch die Akquisition führender Threat Intelligence der beiden Spezialisten Mandiant und VirusTotal als Wegweiser an der vordersten Front der Bedrohungserkennung und -bekämpfung. Mit Google Chronicle und dem Fokus auf die Unterstützung von Security Operations Center (SOC)-Teams will Google den aktuellen und zukünftigen Herausforderungen der Cybersicherheit begegnen. Welche einzigartigen Eigenschaften und Vorteile Google Chronicle bietet und was wir in Zukunft von Google bei der Sicherheitsüberwachung zu erwarten haben, erfahren Sie in diesem Blogbeitrag.
Während andere Anbieter hybride Ansätze verfolgen, setzt Chronicle konsequent auf die Leistungsfähigkeit und Flexibilität der Cloud-Technologie von Google. Als Cloud-Service auf Basis der Google Public Cloud verändert Google Chronicle die Art und Weise, wie Unternehmen ihre Sicherheitsinfrastrukturen aufbauen und betreiben. Ein Schlüsselakteur ist das Security Operations Center (SOC), das eine zentrale Rolle bei der Überwachung und Analyse von Sicherheitsvorfällen spielt, um die Integrität der IT-Infrastruktur zu gewährleisten und potenzielle Bedrohungen frühzeitig zu erkennen und zu bekämpfen.
Google Chronicle, das wie eine Art Zusatzschicht auf der Google-Kerninfrastruktur aufbaut, wurde für Unternehmen entwickelt, um große Mengen an Sicherheits- und Netzwerktelemetriedaten zu speichern, zu analysieren und durchsuchbar zu machen. Neben dem SIEM (Security Information and Event Management) beinhaltet die Security Operations Plattform von Google Chronicle auch das SOAR (Security Orchestration Automation and Response).
Was in Google Chronicle steckt: Yara-L und Threat Intelligence
Chronicle verwendet einen architektonischen Ansatz zur Datenverarbeitung. Das Chronicle SIEM basiert auf einem Schema-on-write-Konzept, das verschiedene Protokolldaten aus unterschiedlichen Quellen in ein gemeinsames Schema, das Unified Data Model (UDM), standardisiert. Durch Parser werden die Protokolldaten in das UDM normalisiert und liegen damit bereits in einem einheitlichen Format vor. Für SOC-Analysten ist dies besonders vorteilhaft, da diese Art der Datenverarbeitung und -speicherung große Flexibilität bei der Erstellung von Analysen und Regeln sowie eine gute Performance mit sich bringt, da gezielter gesucht werden kann.
Ein Alleinstellungsmerkmal von Google Chronicle ist die Computersprache Yara-L: Diese wird verwendet, um Regeln für die Suche in den Logdaten eines Unternehmens zu erstellen. Die YARA-L-Syntax basiert auf der von VirusTotal entwickelten YARA-Sprache und arbeitet mit der Chronicle Detection Engine zusammen, um Bedrohungen in großen Datenmengen zu identifizieren. Sie ermöglicht es, Muster bösartiger Dateien zu definieren und benutzerdefinierte Regeln für die Bedrohungserkennung zu erstellen. VirusTotal, das „Google der Malware“, ist nahtlos in Chronicle integrierbar und analysiert als größtes Schadsoftware Repository sowie Intelligence Datenbank täglich massenhaft die eingehenden Daten. Somit liegen direkt Einschätzungen zu verdächtigen IP-Adressen, Links oder anderen Indikatoren wie zum Beispiel Datei-Hashes vor.
Neben VirusTotal sticht Google Chronicle auch durch die Threat Intelligence-Expertise von Mandiant heraus: Mandiant ist spezialisiert auf Bedrohungsaufklärung und Incident Response und kann für fortschrittliche Bedrohungserkennung, aber auch Reaktionen eingesetzt werden, da es detaillierte Bedrohungsanalysen liefert.
Wie Unternehmen davon profitieren
Die Sicherheitssuite von Google Cloud bietet eine robuste Integration und Kompatibilität mit einer sehr großen Anzahl von Sicherheitssystemen – sie ist in gewisser Weise per Design darauf ausgelegt, nahtlos mit unterschiedlichen Datenquellen und Sicherheitstools zusammenzuarbeiten. Chronicle unterstützt alle gängigen Protokolle und Standards wie beispielsweise Syslog, Common Event Format (CEEF) und Log Event Extended Format (LEEF). So ist eine breite Unterstützung von Drittanbietersicherheitslösungen gegeben, da sich Logquellen unkompliziert per API andocken lassen. Diese umfassende Integration ermöglicht es Unternehmen, ihre Sicherheitsinfrastrukturen effektiv zu gestalten und zu betreiben, ohne auf die Leistung oder Kompatibilität ihrer Sicherheitssysteme verzichten zu müssen.
Über Skalierung und Performance müssen sich Unternehmen bei Google Chronicle keine Gedanken mehr machen: In der Google Cloud steht automatisch jede Menge Cloud Storage und eine IT-Infrastruktur zur Verfügung. Im Gegensatz zu On Premise-Lösungen können Unternehmen dank der Cloud-nativen Struktur von Google Chronicle vergleichsweise günstig Petabytes an Daten mit Schnellzugriff aufbewahren – ohne Performance-Einbußen in Kauf nehmen zu müssen. Die langfristige Speicherung von Logdaten über 12 Monate hinweg erlaubt es Unternehmen nicht nur, die Anforderungen der Compliance-Richtlinien zu erfüllen, sondern auch bei Sicherheitsvorfällen auf historische Daten zuzugreifen, die eine tiefgehende Untersuchung ermöglichen.
Googles Vision für die Security Branche
Wo geht die Reise für Google Chronicle in der Security Branche hin? Google hat viel vor – und das sehr schnell. Mit dem Zukauf von Mandiant und VirusTotal als Thread Intelligence Integration hat der Hyperscaler sein Angebot mit einer Security Operations Suite erweitert, die einiges zu bieten hat. Damit verfolgt Google das klare Ziel, Cybersicherheit ganzheitlich aus einer Hand anbieten zu können und dabei sicherzustellen, dass alle Komponenten zusammenpassen.
Auch die Künstliche Intelligenz wird weiterhin eine große Rolle spielen. Mit KI – genauer Gemini – soll noch mehr vereinfacht werden. Es existieren bereits heute die ersten Features, die Gemini nutzen. Beispielsweise ist es bei Chronicle SIEM möglich, einen Befehl in natürlicher Sprache einzugeben, der beschreibt, was man in Chronicle sucht bzw. sehen möchte. Gemini konvertiert diesen Text dann in die einheitliche Abfragesprache, in der die Daten vorliegen. Aber auch bei Chronicle SOAR erleichtert die Integration der KI Gemini die Arbeit der Security-Analysten: Für eine schnellere Alarmbearbeitung extrahiert es für jeden Alarm Informationen, erstellt eine konsolidierte Beschreibung und hebt die wichtigsten Komponenten optisch hervor. So können bei einem kritischen Vorfall unter einer Vielzahl von Alarmen sofort die wichtigen Daten identifiziert und untersucht werden.
Google Chronicle: Effiziente Bedrohungserkennung mit indevis MDR
Als Managed Security Services Provider (MSSP) hat indevis Google Chronicle in den Managed Detection and Response-Service integriert und bietet damit Unternehmen die Möglichkeit, alle Vorteile von Google Chronicle zu nutzen, ohne ein eigenes SOC aufwendig aufbauen und betreiben zu müssen. Das indevis SOC-Spezialistenteam erstellt Use Cases, überwacht und analysiert die eingehenden Warnmeldungen. Bei einem Cyberangriff unterstützen die Spezialisten bei der Bewältigung. Unternehmen aller Größen sind damit in der Lage, ihre IT-Systeme auch rund um die Uhr trotz Fachkräftemangel vor Bedrohungen zu schützen, ihre IT-Abteilungen zu entlasten und auf Sicherheitsvorfälle schnell zu reagieren.
Entscheiden sich Unternehmen dafür, Google Chronicle selbst zu managen, können sie die indevis Professional Services nutzen, um Unterstützung bei der Implementierung und beim Administrieren der Lösung zu erhalten.
Fazit
Mit Google Chronicle steht Unternehmen eine leistungsstarke und innovative Lösung für die Sicherheitsüberwachung zur Verfügung, die dank ihres Cloud-Only-Ansatzes, technischen Innovationen und der Integration von Threat Intelligence die Sicherheitslandschaft nachhaltig verändert. Der Einsatz von KI vereinfacht die Sicherheitsanalyse und Alarmbearbeitung erheblich und setzt neue Maßstäbe in der Branche.
