Google 推出 Chronicle 新型实时威胁检测功能

该工具是Chronicle努力构建规则引擎的巅峰之作，该引擎可以处理复杂的分析事件，为现代攻击优化了一种新的威胁检测语言，并利用了谷歌的规模提供的安全优势。

Google Cloud网络安全公司Chronicle发布了一款名为Chronicle Detect的实时威胁检测工具。

该工具是Chronicle努力构建规则引擎的巅峰之作，该引擎可以处理复杂的分析事件，充实为现代攻击而调整的新威胁检测语言，并利用Google规模提供的安全优势。此外，Chronicle Detect的设计目的是使企业可以轻松地从旧版安全工具迁移，或更好地分析使用CrowdStrike等端点安全解决方案收集的数据。

Google Cloud Security营销负责人Rick Caccia对ZDNet表示：“我们认为，这不仅为客户提供了所需的工具，不仅可以调查Google规模的事情，而且还可以以他们以前无法做到的方式尽早攻击这些东西。” 。“它允许我们的客户编写描述攻击者行为的规则，并且我们可以大规模检测这些事件并实时进行。”

历史记录检测到客户可以使用高级的开箱即用规则，或者构建自己的规则，或者从旧版工具迁移规则。规则引擎结合了YARA（一种广泛使用的开源语言），用于编写规则以检测恶意软件。

YARA-L是一种描述威胁行为的语言，它是Chronicle Detect规则引擎的基础。编年史小组创建了YARA-L，并于今年早些时候首次发布，以应用于安全日志和其他遥测，例如EDR数据和网络流量。YARA-L（用于日志的L）使安全分析人员可以编写更适合检测Mitre ATT＆CK（一个对不良行为者使用的战术和技术类型进行分类的平台）中描述的现代威胁类型的规则。

Chronicle Detect还包括一个Sigma-YARA转换器，因此客户可以将其基于Sigma的规则移植到平台上。

新工具还包括Chronicle专门的威胁研究团队Uppercase的威胁情报和检测规则。大写研究人员可以使用各种新颖的工具，技术和数据源（包括Google Threat Intelligence和许多行业供稿）来帮助他们发现最新的犯罪软件，APT和有害恶意程序。

同时，安全团队可以以固定成本将其安全遥测发送到Chronicle，从而为他们利用CrowdStrike之类的工具收集的大量数据提供了一种方法。Chronicle Detect将数据映射到机器，用户和威胁指示器之间的通用数据模型，以便用户可以将强大的检测规则快速应用于统一的数据集。

Caccia说，企业拥有比以往更多的数据来分析和帮助他们理解威胁。“坏消息是，大多数人无法理解流向它们的数兆字节的信息。许多此类攻击非常复杂。”