Integra la plataforma de Google SecOps (solo del lado de SOAR)

Antes de comenzar

Google recomienda especialmente realizar primero la capacitación de la ruta de aprendizaje de Google SecOps.

Cómo configurar grupos de usuarios

Debes crear o seleccionar un rol de SOC predefinido y un grupo de permisos, y, luego, asignarlos a los grupos de IdP que se reciben de la configuración del SIEM. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Asigna roles
• Asigna grupos de permisos
• Asigna usuarios a grupos de IdP

Configura puntos de transferencia de datos con conectores o webhooks

Configura conectores o webhooks para transferir alertas a la plataforma y analizarlas. Esto también se puede lograr descargando un caso de uso completo. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Transfiere tus datos con conectores
• Transfiere tus datos con webhooks
• Ejecuta un caso de uso desde Marketplace
• Crea tu propio conector (para usuarios avanzados)

Asigna y modela los datos entrantes

Puedes controlar cómo se asignan y modelan los productos, los eventos y las entidades entrantes para asegurarte de que se capture la información correcta. Puedes definir esta configuración de la ontología por tu cuenta o elegir la configuración predeterminada de asignación y modelado. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Descripción general de la ontología
• Crea familias visuales
• Crea entidades

Crear guías

Google Security Operations te permite responder a las amenazas con un conjunto secuencial de pasos manuales y automatizados llamados guías. Para obtener más información sobre los playbooks, consulta los siguientes documentos:

• Qué hay en la pantalla de las guías
• Crea tu primera automatización (guía)
• Ejecuta un caso de uso desde Marketplace
• Trabaja con el Simulador de guías

Analiza casos y alertas

Usa casos simulados y alertas de prueba para probar tus configuraciones y manuales antes de publicarlos. Después de que se procesan las alertas y se ejecutan los playbooks, puedes consultar los casos y las alertas para ver qué se debe hacer a continuación, incluidos los pasos de clasificación o corrección. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Descripción general de casos
• Cómo simular un caso
• Realiza acciones manuales
• Explorar alertas
• Página del Explorador de entidades