Skip to the main content.

4 minute gelesen

Wie Google Chronicle die Cybersicherheitslandschaft verändert

Wie Google Chronicle die Cybersicherheitslandschaft verändert

Angesichts des wachsenden Trends von Unternehmen zur Verlagerung ihrer IT-Infrastruktur und Workloads in die Cloud ist es nicht verwunderlich, dass inzwischen alle großen Hyperscaler im Sicherheitsbereich agieren. Google positioniert sich durch die Akquisition führender Threat Intelligence der beiden Spezialisten Mandiant und VirusTotal als Wegweiser an der vordersten Front der Bedrohungserkennung und -bekämpfung. Mit Google Chronicle und dem Fokus auf die Unterstützung von Security Operations Center (SOC)-Teams will Google den aktuellen und zukünftigen Herausforderungen der Cybersicherheit begegnen. Welche einzigartigen Eigenschaften und Vorteile Google Chronicle bietet und was wir in Zukunft von Google bei der Sicherheitsüberwachung zu erwarten haben, erfahren Sie in diesem Blogbeitrag.

Während andere Anbieter hybride Ansätze verfolgen, setzt Chronicle konsequent auf die Leistungsfähigkeit und Flexibilität der Cloud-Technologie von Google. Als Cloud-Service auf Basis der Google Public Cloud verändert Google Chronicle die Art und Weise, wie Unternehmen ihre Sicherheitsinfrastrukturen aufbauen und betreiben. Ein Schlüsselakteur ist das Security Operations Center (SOC), das eine zentrale Rolle bei der Überwachung und Analyse von Sicherheitsvorfällen spielt, um die Integrität der IT-Infrastruktur zu gewährleisten und potenzielle Bedrohungen frühzeitig zu erkennen und zu bekämpfen.

Google Chronicle, das wie eine Art Zusatzschicht auf der Google-Kerninfrastruktur aufbaut, wurde für Unternehmen entwickelt, um große Mengen an Sicherheits- und Netzwerktelemetriedaten zu speichern, zu analysieren und durchsuchbar zu machen. Neben dem SIEM (Security Information and Event Management) beinhaltet die Security Operations Plattform von Google Chronicle auch das SOAR (Security Orchestration Automation and Response).

Was in Google Chronicle steckt: Yara-L und Threat Intelligence

Chronicle verwendet einen architektonischen Ansatz zur Datenverarbeitung. Das Chronicle SIEM basiert auf einem Schema-on-write-Konzept, das verschiedene Protokolldaten aus unterschiedlichen Quellen in ein gemeinsames Schema, das Unified Data Model (UDM), standardisiert. Durch Parser werden die Protokolldaten in das UDM normalisiert und liegen damit bereits in einem einheitlichen Format vor. Für SOC-Analysten ist dies besonders vorteilhaft, da diese Art der Datenverarbeitung und -speicherung große Flexibilität bei der Erstellung von Analysen und Regeln sowie eine gute Performance mit sich bringt, da gezielter gesucht werden kann.

Ein Alleinstellungsmerkmal von Google Chronicle ist die Computersprache Yara-L: Diese wird verwendet, um Regeln für die Suche in den Logdaten eines Unternehmens zu erstellen. Die YARA-L-Syntax basiert auf der von VirusTotal entwickelten YARA-Sprache und arbeitet mit der Chronicle Detection Engine zusammen, um Bedrohungen in großen Datenmengen zu identifizieren. Sie ermöglicht es, Muster bösartiger Dateien zu definieren und benutzerdefinierte Regeln für die Bedrohungserkennung zu erstellen. VirusTotal, das „Google der Malware“, ist nahtlos in Chronicle integrierbar und analysiert als größtes Schadsoftware Repository sowie Intelligence Datenbank täglich massenhaft die eingehenden Daten. Somit liegen direkt Einschätzungen zu verdächtigen IP-Adressen, Links oder anderen Indikatoren wie zum Beispiel Datei-Hashes vor.

Neben VirusTotal sticht Google Chronicle auch durch die Threat Intelligence-Expertise von Mandiant heraus: Mandiant ist spezialisiert auf Bedrohungsaufklärung und Incident Response und kann für fortschrittliche Bedrohungserkennung, aber auch Reaktionen eingesetzt werden, da es detaillierte Bedrohungsanalysen liefert.

Wie Unternehmen davon profitieren

Die Sicherheitssuite von Google Cloud bietet eine robuste Integration und Kompatibilität mit einer sehr großen Anzahl von Sicherheitssystemen – sie ist in gewisser Weise per Design darauf ausgelegt, nahtlos mit unterschiedlichen Datenquellen und Sicherheitstools zusammenzuarbeiten. Chronicle unterstützt alle gängigen Protokolle und Standards wie beispielsweise Syslog, Common Event Format (CEEF) und Log Event Extended Format (LEEF). So ist eine breite Unterstützung von Drittanbietersicherheitslösungen gegeben, da sich Logquellen unkompliziert per API andocken lassen. Diese umfassende Integration ermöglicht es Unternehmen, ihre Sicherheitsinfrastrukturen effektiv zu gestalten und zu betreiben, ohne auf die Leistung oder Kompatibilität ihrer Sicherheitssysteme verzichten zu müssen.

Über Skalierung und Performance müssen sich Unternehmen bei Google Chronicle keine Gedanken mehr machen: In der Google Cloud steht automatisch jede Menge Cloud Storage und eine IT-Infrastruktur zur Verfügung. Im Gegensatz zu On Premise-Lösungen können Unternehmen dank der Cloud-nativen Struktur von Google Chronicle vergleichsweise günstig Petabytes an Daten mit Schnellzugriff aufbewahren – ohne Performance-Einbußen in Kauf nehmen zu müssen. Die langfristige Speicherung von Logdaten über 12 Monate hinweg erlaubt es Unternehmen nicht nur, die Anforderungen der Compliance-Richtlinien zu erfüllen, sondern auch bei Sicherheitsvorfällen auf historische Daten zuzugreifen, die eine tiefgehende Untersuchung ermöglichen.

Googles Vision für die Security Branche

Wo geht die Reise für Google Chronicle in der Security Branche hin? Google hat viel vor – und das sehr schnell. Mit dem Zukauf von Mandiant und VirusTotal als Thread Intelligence Integration hat der Hyperscaler sein Angebot mit einer Security Operations Suite erweitert, die einiges zu bieten hat. Damit verfolgt Google das klare Ziel, Cybersicherheit ganzheitlich aus einer Hand anbieten zu können und dabei sicherzustellen, dass alle Komponenten zusammenpassen.

Auch die Künstliche Intelligenz wird weiterhin eine große Rolle spielen. Mit KI – genauer Gemini – soll noch mehr vereinfacht werden. Es existieren bereits heute die ersten Features, die Gemini nutzen. Beispielsweise ist es bei Chronicle SIEM möglich, einen Befehl in natürlicher Sprache einzugeben, der beschreibt, was man in Chronicle sucht bzw. sehen möchte. Gemini konvertiert diesen Text dann in die einheitliche Abfragesprache, in der die Daten vorliegen. Aber auch bei Chronicle SOAR erleichtert die Integration der KI Gemini die Arbeit der Security-Analysten: Für eine schnellere Alarmbearbeitung extrahiert es für jeden Alarm Informationen, erstellt eine konsolidierte Beschreibung und hebt die wichtigsten Komponenten optisch hervor. So können bei einem kritischen Vorfall unter einer Vielzahl von Alarmen sofort die wichtigen Daten identifiziert und untersucht werden.

Google Chronicle: Effiziente Bedrohungserkennung mit indevis MDR

Als Managed Security Services Provider (MSSP) hat indevis Google Chronicle in den Managed Detection and Response-Service integriert und bietet damit Unternehmen die Möglichkeit, alle Vorteile von Google Chronicle zu nutzen, ohne ein eigenes SOC aufwendig aufbauen und betreiben zu müssen. Das indevis SOC-Spezialistenteam erstellt Use Cases, überwacht und analysiert die eingehenden Warnmeldungen. Bei einem Cyberangriff unterstützen die Spezialisten bei der Bewältigung. Unternehmen aller Größen sind damit in der Lage, ihre IT-Systeme auch rund um die Uhr trotz Fachkräftemangel vor Bedrohungen zu schützen, ihre IT-Abteilungen zu entlasten und auf Sicherheitsvorfälle schnell zu reagieren.

Entscheiden sich Unternehmen dafür, Google Chronicle selbst zu managen, können sie die indevis Professional Services nutzen, um Unterstützung bei der Implementierung und beim Administrieren der Lösung zu erhalten.

Fazit

Mit Google Chronicle steht Unternehmen eine leistungsstarke und innovative Lösung für die Sicherheitsüberwachung zur Verfügung, die dank ihres Cloud-Only-Ansatzes, technischen Innovationen und der Integration von Threat Intelligence die Sicherheitslandschaft nachhaltig verändert. Der Einsatz von KI vereinfacht die Sicherheitsanalyse und Alarmbearbeitung erheblich und setzt neue Maßstäbe in der Branche.


Maximilian Junker

IT Security Specialist SOC, indevis

Das könnte Sie auch interessieren:

Nahtlose Sicherheit: Die Einbindung von Microsoft-Applikationen in indevis MDR

3 minuutin luku

Nahtlose Sicherheit: Die Einbindung von Microsoft-Applikationen in indevis MDR

Die Integration von Microsoft-Applikationen in den indevis Managed Detection and Response Service bietet Unternehmen eine umfassende Lösung zur proaktiven Bedrohungserkennung und -abwehr. Mit Google Chronicle als zentralem Sicherheitstool können nun auch die Log-Informationen von Microsoft-Anwendungen mit den SIEM und SOAR Security-Tools innerhalb des indevis SOC überwacht und analysiert werden.

Google Chronicle: Hersteller-agnostischer Katalysator für SOC-/Security Projekte

2 minuutin luku

Google Chronicle: Hersteller-agnostischer Katalysator für SOC-/Security Projekte

Mit Google Chronicle vermarktet der Onlineriese seit einiger Zeit die eigenentwickelte cloud-native SIEM und Security Operations Suite, mit der er sich selbst vor Cyberangriffen verteidigt. Das Spannende daran: Chronicle ist beim Thema Logdaten absolut herstellerneutral. Dank zahlreicher Schnittstellen zu führenden IT-Security Anbietern bleiben Unternehmen bei der Wahl ihrer Security-Infrastruktur vollkommen flexibel.

Google Chronicle & indevis MDR: ein starkes Team

3 minuutin luku

Google Chronicle & indevis MDR: ein starkes Team

Google und Security – passt das zusammen? Ja, denn mit Google Chronicle bietet der Hyperscaler ein Cloud-natives SIEM, das völlig neue Möglichkeiten eröffnet. Was der SaaS-Service bringt und warum wir ihn in unser Portfolio integriert haben, erfahren Sie hier.