Google云计算原生SIEM解决方案Chronicle,公开预览新功能上下文传感(Context-aware Detections)功能,以提高用户侦测和回应安全威胁的速度,让用户能够快速理解安全事件上下文,减少事件平均回应时间,快速对安全威胁采取行动。
在面对当今安全威胁的情势,企业面临了一些挑战,Google提到,无论是在云中还是内部部署,企业欠缺可快速回应安全威胁的基础,包括相关元数据、上下文资讯和资产消息等,同时因为企业普遍存在警示疲劳,使得安全团队难以确定需要优先解决的严重威胁。有鉴于这些问题,Google Chronicle添加上下文传感功能,可让警示功能更强大,使用户能够更快地找出需要优先处理的问题。
Google Chronicle的上下文传感功能,提供来自权威来源的消息,包括遥测、关系以及漏洞,让用户可以立即用于侦测事件,并且能以这些上下文资讯,编写有效的侦测规则,排定现有警示的重要性,并且更快地开始调查安全事件。
Google Chronicle新功能使用户可以在工作流程集成丰富的功能,借由评分确定威胁重要性,更快回应警示,同时提高警示的有效性,排除几乎没有危险的威胁群集。在用户激活这项侦测新功能后,安全事件列表便会出现风险分数字段,使得用户可以依据风险分数,决定需要优先处理的项目。
而除了风险评分之外,Google Chronicle也会关连接果与事件所包含的实体,以解释高风险事件需要优先处理的原因。用户可以从资产查看图中,查看受影响的主机,以及检查通过规则所找到的资产,最后用户也可以利用关系图,主动地查看实体之间的关系。
官方提到,这项新功能弥补了传统分析和SIEM产品间的差距,因为从过去以来,资料在逻辑上都是分开的,而现在用户可以在同一个地方,操作丰富的安全遥测数据源,并且利用这些资料源,开发灵活的警示和优先等级策略。