Integra la plataforma de Google SecOps (solo para el lado de SOAR)

Antes de comenzar

Google recomienda que, primero, realices la capacitación de la ruta de aprendizaje de Chronicle.

Configura grupos de usuarios

Debes crear o seleccionar un rol de SOC predefinido y un grupo de permisos y, luego, asignarlos a los grupos de IdP recibidos de la configuración de SIEM. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

Configura puntos de transferencia de datos con conectores o webhooks

Configura conectores o webhooks para transferir alertas a la plataforma y analizarlas. Esto también se puede lograr descargando un caso de uso completo. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

Asigna y modela datos entrantes

Puedes controlar cómo se asignan y modelan los productos, los eventos y las entidades entrantes para garantizar que se capture la información correcta. Puedes definir esta configuración de ontología por ti mismo o elegir la configuración predeterminada de asignación y modelado. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

Crear guías

Google Security Operations te permite responder a las amenazas mediante un conjunto secuencial de pasos manuales y automatizados llamados guías. Para obtener más información sobre las guías, consulta los siguientes documentos:

Analizar casos y alertas

Usa casos simulados y alertas de prueba para probar tu configuración y tus guías antes de publicarlas. Una vez que las alertas se transfieren y las guías terminan de ejecutarse, puedes analizar los casos y las alertas para ver qué se debe hacer a continuación, incluidos los pasos de clasificación o corrección. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos: