Comprende la plataforma de Google SecOps

Si sigues el artículo Cómo navegar por la plataforma, verás que hay áreas divididas en SIEM y SOAR. Esto se debe a que la plataforma de Google Security Operations proporciona herramientas para la administración de información y eventos de seguridad (SIEM) y la organización, automatización y respuesta de seguridad (SOAR). Algunas partes de la plataforma de Google SecOps son específicas solo para SIEM o SOAR y, por lo tanto, se etiquetan como tales.

Búsqueda de SIEM y Búsqueda de SOAR

En la plataforma de Google SecOps, hay dos pantallas de búsqueda separadas.

La búsqueda de SIEM te dirige a la página Búsqueda de UDM. La búsqueda de UDM te permite encontrar eventos y alertas del modelo de datos unificados (UDM) en tu instancia de Google Security Operations. Puedes buscar eventos de la AUA individuales o grupos de eventos de la AUA vinculados a términos de búsqueda compartidos. También proporciona una experiencia holística única, ya que la búsqueda también incluye información sobre las alertas que se transfirieron desde los conectores y los webhooks de SOAR. Para obtener más información, consulta Búsqueda de SIEM.

La pantalla de búsqueda de SOAR se enfoca en dos áreas principales: casos y entidades. En esta pantalla, puedes buscar casos abiertos o cerrados, o bien entidades que participaron en casos. Puedes desglosar las entidades que buscas para obtener más información sobre ellas. Puedes realizar acciones masivas, como combinar casos, en los resultados de la búsqueda. Para obtener más información, consulta Búsqueda de SOAR.

Paneles de SIEM y paneles de SOAR

Los paneles de SIEM muestran información sobre los datos de tus eventos de UDM. Esto incluye la telemetría de seguridad, las métricas de transferencia, las detecciones, las alertas, los IOC y mucho más. Para obtener más información, consulta Paneles de SIEM.

Los paneles de SOAR muestran información sobre casos, guías y datos de analistas del SOC. Puedes crear paneles nuevos y compartirlos con otros usuarios. Para obtener más información, consulta Paneles de SOAR.

Configuración de SIEM y configuración de SOAR

La mayor parte de la administración y configuración de SOAR se encuentra en la configuración de SOAR, y la mayor parte de la administración y configuración de SIEM se encuentra en la configuración de SIEM. Los permisos se establecen por separado para cada lado de la plataforma y no hay dependencia entre ellos. Por ejemplo, puedes optar por limitar los permisos de las guías de procedimientos en la configuración de SOAR para ciertos grupos de usuarios y, al mismo tiempo, otorgar permisos completos a todos los módulos en la configuración de SIEM.

Sin embargo, hay algunos parámetros de configuración que se aplican a toda la plataforma de SecOps de Google. Estos parámetros de configuración de toda la plataforma se controlan desde la configuración de SOAR. Esto incluye la página Asignación de grupos de IdP, que asigna todos los grupos de usuarios de la plataforma de Google SecOps, y la página Grupos de permisos, que define una opción de página de destino para cada grupo de usuarios. Los cambios en los permisos que se administran a través de Identity and Access Management (IAM) se aplican de inmediato. Sin embargo, los permisos administrados desde la configuración de SOAR solo se aplican la próxima vez que el usuario accede a la plataforma.

Para obtener información sobre la configuración de SIEM, consulta Configuración de SIEM.

Para obtener información sobre la configuración de SOAR, consulta Configuración de SOAR.

Transferencia de datos con SecOps SIEM y SIEM de terceros

La plataforma de Google SecOps ofrece la oportunidad de no solo transferir alertas con la plataforma de SIEM integrada (que transfiere registros sin procesar con reenvío y feeds de datos), sino que también acepta alertas de SIEMS de terceros (a través de SOAR > Conectores y Webhooks).

Esto te brinda la flexibilidad para aprovechar otros SIEM, así como nuestra propia oferta de SIEM de Google SecOps. Google recomienda usar el SIEM integrado siempre que sea posible para obtener una experiencia más fluida.
Las alertas transferidas desde el SIEM integrado y los SIEM de terceros se pueden agrupar en casos y analizar como parte de las funciones de administración de casos. Las alertas transferidas desde SIEM de terceros se envían al lado de SIEM de la plataforma y se pueden ver con la búsqueda de la UDM, pero no están sujetas a las reglas integradas de SIEM.