安全运营团队正面临一场“完美风暴”的挑战，这些挑战来自民族国家行为者将注意力转向金融犯罪，由于云迁移和物联网采用的快速推进导致不确定性和潜在的复杂性增加，以及长期抱怨的技能短缺。 

现在想象一下，由于规模和成本问题阻碍了您获取和监控关键遥测数据的能力，因此不得不在不了解您的 IT 和安全基础架构的情况下面对这三重打击。为了帮助组织重新思考威胁检测和更广泛的安全团队工作，我们在本月的Google 云安全会谈中展示了关于为什么 DEI 是网络安全当务之急的主题演讲，Mandiant在 SolarWinds 两年后对组织的经验教训的回顾，Google Chrome 如何帮助保护您的业务（以及您还可以用它做些什么，）如何最好地鼓励您的组织追求零信任，以及Chronicle 安全运营的三种关键方式可以帮助您的组织扩展威胁检测和可操作的结果。这些包括:

1. 实施威胁情报

利用威胁情报的力量来获取上下文、确定风险优先级并根据检测采取行动，需要的不仅仅是摄取一组妥协指标 (IOC) 源。威胁情报必须具有广度和深度的覆盖范围，以提供有关威胁参与者的工具、策略和程序的自定义详细信息。探索为什么 Google Cloud 安全性背后的部分“魔力”是我们可以与客户共享的威胁情报的绝对规模。 

2. 驱动检测即代码

我们希望使网络安全成熟度更高的组织能够构建自己的自定义检测和规则，这意味着为我们的客户提供一个强大的检测创作平台。Chronicle Security Operations 可以帮助分析师围绕已知的错误文件或特定的注册表项更改等构建特定的检测。我们还演示了如何创建更复杂的检测，例如标记流程执行模式或根据特定活动序列制作可疑行为触发器。

3. 利用精心策划的检测

通过我们在 8 月宣布的精选检测，我们将 Google Cloud 智能的力量交到各地的安全运营团队手中。我们的检测提供了可操作的、随时可用的威胁检测内容，这些内容由 Google Cloud Threat Intelligence (GCTI) 研究人员策划、构建和维护。这些检测集涵盖了对您的网络及其他网络的各种威胁，包括勒索软件、远程访问工具 (RAT)、信息窃取程序、数据泄露和可疑活动等攻击。并留意我们将于 2023 年 3 月举行的下一次安全讲座。