Integra la plataforma de Google SecOps (solo para el lado de SOAR)
Antes de comenzar
Google recomienda que, primero, realices la capacitación de la ruta de aprendizaje de Chronicle.
Configura grupos de usuarios
Debes crear o seleccionar un rol de SOC predefinido y un grupo de permisos y, luego, asignarlos a los grupos de IdP recibidos de la configuración de SIEM. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:
Configura puntos de transferencia de datos con conectores o webhooks
Configura conectores o webhooks para transferir alertas a la plataforma y analizarlas.
Esto también se puede lograr descargando un caso de uso completo. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:
- Transfiere tus datos mediante conectores
- Transfiere tus datos mediante webhooks
- Ejecuta un caso de uso desde Marketplace
- Crea tu propio conector (para usuarios avanzados)
Asigna y modela datos entrantes
Puedes controlar cómo se asignan y modelan los productos, los eventos y las entidades entrantes para garantizar que se capture la información correcta. Puedes definir esta configuración de ontología por ti mismo o elegir la configuración predeterminada de asignación y modelado. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:
Crear guías
Google Security Operations te permite responder a las amenazas mediante un conjunto secuencial de pasos manuales y automatizados llamados guías. Para obtener más información sobre las guías, consulta los siguientes documentos:
- Qué hay en la pantalla de guías
- Crea tu primera automatización (guía)
- Ejecuta un caso de uso desde Marketplace
- Trabaja con el simulador de la guía
Analizar casos y alertas
Usa casos simulados y alertas de prueba para probar tu configuración y tus guías antes de publicarlas.
Una vez que las alertas se transfieren y las guías terminan de ejecutarse, puedes analizar los casos y las alertas para ver qué se debe hacer a continuación, incluidos los pasos de clasificación o corrección. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos: