谷歌安全运营推出新兴威胁中心 | 谷歌云博客

当重大漏洞成为头条新闻时，CISO们希望快速了解其组织是否受到影响并做好准备。获取正确答案通常是一个耗时且人力密集的过程，可能需要数天或数周时间，留下危险的未知暴露窗口。

为了帮助缩小这一差距，今天我们推出谷歌安全运营中的新兴威胁中心。这一新功能现已面向谷歌安全运营的授权客户提供，可帮助解决扩展检测工程的核心实际问题，并改变团队运营威胁情报的方式。

由Gemini驱动，我们的检测工程代理能够响应谷歌威胁情报检测到的新威胁活动，并包含来自Mandiant、VirusTotal和谷歌全平台的前线洞察。它能生成代表性事件，评估覆盖范围并弥补检测缺口。

新兴威胁中心可帮助您了解是否受到关键威胁活动的影响，并提供检测覆盖以确保未来受到保护。

引入基于活动的新兴威胁优先级排序

长期以来，防御新威胁一直是一个手动、被动的循环。威胁分析师首先需要仔细研究报告以识别新的活动行为，然后将其转化为用于检测工程师的入侵指标（IoC）。接下来，工程团队手动编写、测试和部署新的检测规则。

我们经常听到客户和安全运营团队反映，这种劳动密集型流程让组织疲于奔命。根据Forrester Consulting代表谷歌云进行的委托研究《2025年威胁情报基准调查》，59%的IT和网络安全领导者表示“难以从威胁情报数据中得出明确行动”。

通过筛选大量威胁情报数据，新兴威胁中心可帮助安全团队发现对其组织最相关的威胁活动，并采取主动行动。

分析师现在可以单一视图查看对其特定环境构成最大风险的威胁，而不是从传统的警报队列开始。该视图包括事件数据和检测规则中IOC存在的详细信息。

例如，当出现新的零日漏洞时，分析师无需手动将博客文章与警报队列交叉引用。他们可以立即查看活动、已经针对其环境上下文化的IOC以及要应用的特定检测规则。这种整体方法可帮助他们在发生重大漏洞之前主动寻找最紧迫的威胁。

我们基于活动的方法可以为安全团队在重大威胁事件期间面临的两个最关键问题提供明确答案：我们如何受到影响，以及我们的准备情况如何。

首要任务是了解您的暴露情况。新兴威胁中心可通过两种方式将活动情报与您的数据关联，帮助您发现环境中的活跃和过去威胁：

两种匹配都为您的调查工作流程提供了明确的起点。

新兴威胁中心还可以帮助证明您未来受到保护。此功能通过帮助您确认两个关键事实，立即提供防御态势的保证：

新兴威胁中心建立在弹性自动化系统上，使用Gemini模型和AI代理大幅缩短检测工程生命周期。

工作原理如下：

首先，摄取情报：系统自动从谷歌威胁情报活动中摄取检测机会，这些活动源自Mandiant的前线事件响应参与、我们的托管防御客户和谷歌独特的全球可见性。从对手活动的数千个原始样本事件中，Gemini能够提取与活动相关的一组独特检测机会。

其次，生成合成事件：我们生成高保真匿名合成事件数据，准确模拟情报中描述的对手战术、技术和程序（TTP）。使用自动化流水线生成高保真合成日志事件语料库，为测试提供强大数据集。

然后，测试覆盖范围：系统使用合成数据测试我们现有的检测规则集，为新威胁的覆盖情况提供快速、经验性的答案。此自动化测试流水线快速提供检测覆盖范围的答案。

之后，加速规则创建：当发现覆盖缺口时，流程使用Gemini自动生成和评估新规则。Gemini起草新的检测规则并提供其逻辑和预期性能摘要，将生产就绪规则的创建时间从数天缩短至数小时。

最后，需要人工审核：新规则提交给在环安全分析师，可以在部署前审查和验证新规则。AI帮助我们将尽力而为的手动流程转变为系统化、自动化的工作流程。通过将新检测直接与其覆盖的情报活动联系起来，我们可以帮助您为最新威胁做好准备。

Fiserv网络安全运营高级副总裁Ron Smalley表示：“真正的战略转变是超越那些单一指标，系统性地检测底层对手行为——这就是我们保持领先的方式。基于谷歌深度情报可见性的开箱即用行为规则帮助我们实现这一目标。”