谷歌云内的网络安全公司Chronicle周三宣布了一种新的实时威胁检测工具,名为Chronicle Detect。
该工具是Chronicle努力构建一个可以处理复杂分析事件的规则引擎的成果,充实一种新的威胁检测语言,针对现代攻击进行调整,并利用谷歌规模提供的安全优势。此外,Chronicle Detect旨在帮助企业轻松摆脱传统的安全工具,或更好地分析使用CrowdStrike等端点安全解决方案收集的数据。
“我们认为,这为客户提供了所需的工具,不仅可以在Google范围内调查问题,还可以尽早攻击这些工具谷歌云安全营销主管里克·卡西亚(Rick Caccia)对ZDNet说它允许我们的客户编写描述攻击者行为的规则,我们可以大规模地检测这些东西,并实时执行。”
Chronicle detect客户可以使用先进的现成规则,也可以构建自己的规则,或者从遗留工具迁移规则。规则引擎将YARA作为一种广泛使用的开放源码语言,用于编写规则来检测恶意软件。编年史团队创建了YARA-L,并于今年早些时候发布,用于安全日志和其他遥测,如EDR数据和网络流量。YARA-L(L表示日志)允许安全分析员编写更适合于检测斜接;CK(一个平台,用于组织和分类坏人使用的战术和技术类型)。
历史记录检测还包括一个Sigma-YARA转换器,因此客户可以将基于Sigma的规则移植到该平台。
新工具还包括来自大写的威胁情报和检测规则,编年史的威胁研究小组。大写的研究人员可以访问各种新颖的工具、技术和数据源(包括谷歌威胁情报和许多行业订阅源),帮助他们发现最新的犯罪软件、APT和不需要的恶意程序。
同时,安全团队可以以固定成本将其安全遥测数据发送到Chronicle,为他们提供了一种利用CrowdStrike等工具收集的大量数据的方法。Chronicle Detect将这些数据映射到跨机器、用户和威胁指示器的通用数据模型,这样用户就可以快速将强大的检测规则应用到统一的数据集中。
企业比以往任何时候都拥有更多的数据来分析和帮助他们理解威胁,Caccia说。”坏消息是,大多数人无法理解流向他们的万亿字节信息。这些攻击很多都相当复杂。“
