Incorporar la plataforma Google SecOps (solo la parte de SOAR)

Antes de empezar

Google recomienda encarecidamente que primero hagas el curso del plan de aprendizaje de Google SecOps.

Configurar grupos de usuarios

Debes crear o seleccionar un rol de SOC predefinido y un grupo de permisos, y, a continuación, asignarlos a los grupos de proveedores de identidades recibidos de la configuración de SIEM. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Asignar roles
• Asignar grupos de permisos
• Mapear usuarios con grupos de IdP

Configurar puntos de inserción de datos mediante conectores o webhooks

Configura conectores o webhooks para incorporar alertas a la plataforma y analizarlas. También puedes hacerlo descargando un caso práctico completo. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Ingerir datos mediante conectores
• Ingerir datos mediante webhooks
• Ejecutar un caso práctico de Marketplace
• Crear un conector (para usuarios avanzados)

Asignar y modelizar los datos entrantes

Puedes controlar cómo se asignan y modelan los productos, eventos y entidades entrantes para asegurarte de que se capture la información correcta. Puede definir esta configuración de ontología o elegir la configuración de asignación y modelado predeterminada. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Descripción general de la ontología
• Crear familias visuales
• Crear entidades

Crear guías

Google Security Operations te permite responder a las amenazas mediante un conjunto secuencial de pasos manuales y automatizados llamados guías. Para obtener más información sobre los playbooks, consulta los siguientes documentos:

• Qué se muestra en la pantalla de las guías
• Crear tu primera automatización (guía)
• Ejecutar un caso práctico de Marketplace
• Usar el simulador de guía

Analizar incidencias y alertas

Usa casos simulados y alertas de prueba para probar tus configuraciones y guías antes de ponerlas en marcha. Una vez que se hayan insertado las alertas y se hayan ejecutado los cuadernos de estrategias, puede consultar los casos y las alertas para ver qué debe hacer a continuación, incluidos los pasos de triaje o corrección. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Resumen de los casos
• Simular un caso
• Realizar acciones manuales
• Consultar alertas
• Página Explorador de entidades