Google Cloud中的网络安全公司Chronicle在周三宣布了一种新的实时威胁检测工具,称为Chronicle Detect。
该工具是Chronicle努力构建规则引擎的最高潮,该引擎可以处理复杂的分析事件,充实为现代攻击而调整的新威胁检测语言,并利用Google规模提供的安全优势。此外,Chronicle Detect的设计目的是使企业可以轻松地从旧版安全工具迁移,或更好地分析使用CrowdStrike等端点安全解决方案收集的数据。
Google Cloud Security营销负责人Rick Caccia对ZDNet表示:“我们认为,这不仅为客户提供了所需的工具,不仅可以调查Google规模的事情,而且还可以以他们以前无法做到的方式尽早攻击这些东西。它允许我们的客户编写描述攻击者行为的规则,并且我们可以大规模检测这些事件并实时进行。”
Chronicle Detect客户可以使用高级的即用型规则,也可以构建自己的规则,或者从旧版工具迁移规则。规则引擎结合了YARA(一种广泛使用的开源语言),用于编写规则以检测恶意软件。
YARA-L是一种描述威胁行为的语言,它是Chronicle Detect规则引擎的基础。编年史小组创建了YARA-L,并于今年早些时候首次发布,以应用于安全日志和其他遥测,例如EDR数据和网络流量。YARA-L(用于日志的L)使安全分析人员可以编写更适合检测Mitre ATT&CK(一个对不良行为者使用的战术和技术类型进行分类的平台)中描述的现代威胁类型的规则。
Chronicle Detect还包括一个Sigma-YARA转换器,因此客户可以将其基于Sigma的规则移植到平台上。
新工具还包括Chronicle专门的威胁研究团队Uppercase的威胁情报和检测规则。大写研究人员可以使用各种新颖的工具,技术和数据源,包括Google Threat Intelligence和许多行业供稿来帮助他们发现最新的犯罪软件,APT和有害恶意程序。
同时,安全团队可以以固定成本将其安全遥测发送到Chronicle,从而为他们利用CrowdStrike之类的工具收集的大量数据提供了一种方法。Chronicle Detect将数据映射到机器,用户和威胁指示器之间的通用数据模型,以便用户可以将强大的检测规则快速应用于统一的数据集。
Caccia说,企业拥有比以往更多的数据来分析和帮助他们理解威胁。坏消息是,大多数人无法理解流向它们的数兆字节的信息。许多此类攻击非常复杂。
