Google 推出 Chronicle 新型實時威脅檢測功能

該工具是Chronicle努力構建規則引擎的巔峰之作，該引擎可以處理復雜的分析事件，為現代攻擊優化了一種新的威脅檢測語言，并利用了谷歌的規模提供的安全優勢。

Google Cloud網絡安全公司Chronicle發布了一款名為Chronicle Detect的實時威脅檢測工具。

該工具是Chronicle努力構建規則引擎的巔峰之作，該引擎可以處理復雜的分析事件，充實為現代攻擊而調整的新威脅檢測語言，并利用Google規模提供的安全優勢。此外，Chronicle Detect的設計目的是使企業可以輕松地從舊版安全工具遷移，或更好地分析使用CrowdStrike等端點安全解決方案收集的數據。

Google Cloud Security營銷負責人Rick Caccia對ZDNet表示：“我們認為，這不僅為客戶提供了所需的工具，不僅可以調查Google規模的事情，而且還可以以他們以前無法做到的方式盡早攻擊這些東西。” 。“它允許我們的客戶編寫描述攻擊者行為的規則，并且我們可以大規模檢測這些事件并實時進行。”

歷史記錄檢測到客戶可以使用高級的開箱即用規則，或者構建自己的規則，或者從舊版工具遷移規則。規則引擎結合了YARA（一種廣泛使用的開源語言），用于編寫規則以檢測惡意軟件。

YARA-L是一種描述威脅行為的語言，它是Chronicle Detect規則引擎的基礎。編年史小組創建了YARA-L，并于今年早些時候首次發布，以應用于安全日志和其他遙測，例如EDR數據和網絡流量。YARA-L（用于日志的L）使安全分析人員可以編寫更適合檢測Mitre ATT＆CK（一個對不良行為者使用的戰術和技術類型進行分類的平臺）中描述的現代威脅類型的規則。

Chronicle Detect還包括一個Sigma-YARA轉換器，因此客戶可以將其基于Sigma的規則移植到平臺上。

新工具還包括Chronicle專門的威脅研究團隊Uppercase的威脅情報和檢測規則。大寫研究人員可以使用各種新穎的工具，技術和數據源（包括Google Threat Intelligence和許多行業供稿）來幫助他們發現最新的犯罪軟件，APT和有害惡意程序。

同時，安全團隊可以以固定成本將其安全遙測發送到Chronicle，從而為他們利用CrowdStrike之類的工具收集的大量數據提供了一種方法。Chronicle Detect將數據映射到機器，用戶和威脅指示器之間的通用數據模型，以便用戶可以將強大的檢測規則快速應用于統一的數據集。

Caccia說，企業擁有比以往更多的數據來分析和幫助他們理解威脅。“壞消息是，大多數人無法理解流向它們的數兆字節的信息。許多此類攻擊非常復雜。”