Google Cloud公布威胁侦测技术Chronicle Detect

Google Cloud去年6月将Alphabet子公司Chronicle整并进来作为企业安全侦测的一环，昨（23）日公布针对企业大规模及即时侦测威胁需求的Chronicle Detect技术。

今年二月Google公布Chronicle根据威胁侦测YARA规则改成的YARA-L，可大范围、即时及回溯执行威胁侦测，以及能将多起事件串连到单一时间序列加以分析的资料融合工具。

最新的Chronicle Detect即是在这些技术基础上最新发展成果。Google强调Chronicle Detect是以Google基础架构为底层打造的现代侦测技术，可协助企业以极快速度和规模侦测威胁。

Chronicle侦测方案包含Google最新的规则引擎、一组可有效描述复杂的威胁行为的规则语言，和即时更新的新规则及入侵指标（indicators of compromise）。

Google解释，想精准侦测威胁，需要有多样化、有用的安全遥测（telemetery）资料。但是大量的安全遥测资料，像是端点侦测与回应（EDR）及包括EDR与邮件的扩展性侦测与回应（XDR）资料，却因为量太大、成本太高、系统效能太低不彰而效果有限。

结合Google的云端底层，企业的资安部门就可以将他们的端点安全遥测资料以固定成本送到Chronicle，而得到完整的资料分析，资料送到Chronicle会被套用整合资料模型（Unified Data Model，UDM），这个模型是专为EDR、NDR、DNS、SaaS等安全遥测资料的威胁侦测而设计。Google指出，它加入了情境（如资产、使用者、漏洞及威胁情报）及关联（如IP和主机的关联性），因而比SIEM（Security information and event management）更广，更能实现XDR的愿景。

Google指出，Chronicle Detect让企业可以很容易建立侦测规则，也可以直接使用Chronicle Detect内建的进阶侦测规则，或是沿用旧式工具的规则。它的规则引擎包含了大数据分析能力，整合现代威胁侦测分析的构念（constructs），像是巨量资料的多事件序列、资料整合、视窗加权（windowing），让企业内的安全分析人员侦测一连串攻击事件。

另外，虽然Chronicle Detect规则引擎是以Google新的YARA-L威胁侦测语言存取，但有鉴于许多企业使用Sigma作为系统日志文件语言，Chronicle Detect也整合了Sigma到YARA-L的转换工具，方便企业将现有规则汇出或转移到Google Cloud Chronicle上。

最后，Chronicle Detect 也整合了由Chronicle 情报研究团队Uppercase提供的侦测规则及最新威胁指标，支援即时侦测。并加入API，以方便企业整合市面上的SIEM工具，包括Palo Alto Cortex XSOAR、D3 SOAR、SIEMplify及 Splunk Phantom。