Clasifica los casos y responde a ellos

Esta guía ayuda a los analistas de seguridad a identificar y priorizar de manera eficiente los casos y las alertas de seguridad que requieren atención inmediata. Se explica cómo usar las funciones de Google Security Operations, incluidas las vistas personalizadas, la automatización, la clasificación potenciada por IA y las guías. Si siguen este método, los analistas pueden reducir el ruido, acelerar los tiempos de respuesta y enfocar sus esfuerzos en los verdaderos positivos que representan el mayor riesgo. La finalización exitosa garantiza la mitigación oportuna de las amenazas críticas.

Caso de uso común

• Objetivo: Identificar de manera eficiente las alertas y los casos de alto riesgo entre un gran volumen de datos de seguridad con la ayuda de la automatización y la IA
• Valor: Garantiza una respuesta rápida a las amenazas críticas, lo que minimiza el impacto potencial.

Antes de comenzar

• Permisos: Asegúrate de tener los permisos necesarios en Google SecOps para acceder a Cases, Your Workdesk y ejecutar Playbooks. Es posible que se requieran roles de IAM específicos, como los siguientes:

  • Administrador de la API de Chronicle
  • Editor de la API de Chronicle
  • Visualizador de la API de Chronicle
  • Visualizador limitado de la API de Chronicle

Determina qué casos y alertas requieren atención inmediata

En esta sección, se describen los pasos secuenciales para determinar la urgencia.

Supervisa las filas personalizadas y aplica filtros estrictos

El siguiente enfoque garantiza que veas tanto los elementos que requieren tu atención específica como el conjunto general de incidentes de alto riesgo, lo que proporciona visibilidad inmediata de los eventos más impactantes.

1. En la plataforma de Google SecOps, selecciona Tu Workdesk > Mis casos. En esta vista, se muestran los casos que se te asignaron directamente a ti o a tu rol de analista.
2. Abre la página principal de Casos y, luego, haz clic en Filtro de casos.
3. Filtra los hallazgos con niveles de prioridad Crítico y Alto. Asegúrate de guardar estos filtros para poder volver a ellos fácilmente.

Aprovecha la IA y la automatización para la clasificación

Para cualquier alerta, usa la automatización basada en agentes, que combina guías determinísticas predefinidas con agentes de IA dinámicos, como el agente de investigación y clasificación de Gemini. Este agente automatiza el análisis profundo inicial y, a menudo, condensa entre 15 y 20 minutos de trabajo manual en un período mucho más corto.

Funciones clave:

• Secuenciación de la automatización: Configura guías para que una guía de corrección (por ejemplo, aislamiento del host o suspensión de la cuenta) se inicie automáticamente según el resultado del agente de investigación y clasificación de Gemini, y pueda actuar de inmediato en casos importantes.
• Respuestas adaptativas: Usa resultados generados por IA (como puntuaciones de riesgo o veredictos como True Positive) como condiciones dentro de las guías para activar diferentes rutas de respuesta automatizadas. Por ejemplo, aísla automáticamente un host si el veredicto es Malicious, pero solo marca para revisión si es Suspicious. Puedes usar el veredicto o la puntuación de riesgo para aumentar la prioridad o derivar el caso. Por ejemplo, derivar el caso a un nivel superior o enviar un mensaje al asignado.
• Reconstrucción del árbol de procesos: El agente de triage puede generar una línea de tiempo visual de la actividad del sistema, lo que ayuda a los analistas a comprender al instante la cadena de ataque, las relaciones entre procesos principales y secundarios, y el movimiento lateral.

Usa guías para realizar una clasificación rápida y tomar medidas coherentes

En la página Casos, usa Guías prediseñadas y personalizadas. Las guías codifican los procedimientos operativos estándar (SOP) en flujos de trabajo automatizados, lo que minimiza el esfuerzo manual y garantiza la coherencia.

Funciones clave del manual:

• Enriquecimiento automatizado: Muchas guías enriquecen automáticamente las alertas con inteligencia contra amenazas de fuentes como VirusTotal, CrowdStrike y feeds internos de amenazas, lo que proporciona contexto inmediato sobre los indicadores de compromiso (IoC), como hashes, direcciones IP y dominios.
• Puntos de decisión guiados: Los manuales pueden pausarse y presentar a los analistas preguntas de sí o no, preguntas de opción múltiple o mensajes condicionales, por ejemplo, "Is this activity expected for this user role?"... if "No", then "Escalate to Tier 3", if "Yes", then "Mark as False Positive", or "Continue monitoring".
• Intervención manual controlada: Para las acciones sensibles, las guías pueden incluir pasos de aprobación manual. Esto permite que los analistas revisen las acciones propuestas (por ejemplo, aislar el host, detonar el archivo en la zona de pruebas o bloquear la dirección IP) antes de la ejecución.
• Administración de casos automatizada: Los manuales de tácticas pueden automatizar el enrutamiento de casos a equipos especializados según los hallazgos y cerrar automáticamente las alertas confirmadas como benignas o informativas, lo que mantiene la cola activa enfocada en las amenazas prácticas.

Cómo utilizan los analistas los manuales en este recorrido:

• Respuesta estandarizada: Garantiza que todas las alertas de un tipo específico (por ejemplo, phishing o ransomware) se controlen según los PEO establecidos de la organización.
• Reducción de ruido: Filtra o resuelve automáticamente las alertas de baja fidelidad según la lógica predefinida.
• Reducción del trabajo repetitivo: Automatiza tareas que consumen mucho tiempo, como la recopilación de datos, la correlación de registros y el enriquecimiento de entidades.
• Automatización basada en agentes en acción: Combina la velocidad analítica de los agentes de IA con la confiabilidad de las guías determinísticas.
• Paso de agente: Los playbooks pueden aprovechar la integración de Vertex AI para crear un flujo de trabajo seleccionado potenciado por Gemini que ayude con la investigación.

Beneficio: Agiliza el proceso de clasificación, aplica respuestas coherentes, reduce las tareas repetitivas y permite que los analistas manejen amenazas más complejas de manera eficaz.

Ejemplos de situaciones que requieren atención inmediata

En esta sección, se incluyen ejemplos de situaciones que requieren atención inmediata.

Inicio de la corrección automatizada

Verás una alerta de prioridad Crítica en la página Casos para Suspicious PowerShell Execution.

La guía vinculada muestra que se ejecutó el agente de triage de Gemini, que devolvió un veredicto True Positive con un alto nivel de confianza y que, en consecuencia, la guía activó automáticamente una acción de Aislamiento del host, que ahora está pendiente de aprobación o se completó.

Esto requiere una revisión inmediata de los hallazgos del agente y el estado de aislamiento.

Decisión manual asistida por IA

Filtra la cola de Casos por Prioridad: Crítica.

Cuando abres un caso, ves que un manual se detuvo en una pregunta de sí o no, en la que se pregunta si se debe derivar el caso o cerrarlo.

Revisas el resumen del agente de Gemini para la investigación y la clasificación, que indica Altamente probable que sea un verdadero positivo con una explicación detallada que cita indicadores específicos de actividad maliciosa.

Selecciona Deriva el caso al nivel 2 con confianza.

Soluciona problemas

Latencia, cuota de servicio y límites

• Cuota del agente de triage: El agente de investigación y triage de Gemini está sujeto a una cuota, que suele ser de alrededor de 10 investigaciones por hora y por arrendatario (por ejemplo, 5 activadores manuales y 5 automáticos). Las alertas que superen este límite requieren una clasificación manual.

Corrección de errores

Código de error	Descripción del problema	Corrección
N/A	Faltan elementos urgentes esperados en la cola de Mis casos o Casos.	Asegúrate de que la regla Alerting esté ACTIVADA para las detecciones pertinentes. Verifica que los casos se asignen correctamente a tu usuario o rol, y comprueba que no se hayan aplicado filtros restrictivos de forma involuntaria a la cola.
N/A	Falta el resumen de Gemini.	Verifica el estado de Gemini Investigations en el muro de casos. Si se alcanzó la cuota, verás un mensaje que indica que no se pudo activar el agente.

Validación y prueba

Para validar que el proceso funcione, confirma lo siguiente:

• Las alertas de gravedad alta y crítica aparecen según lo previsto en función de los filtros.
• Los Playbooks se activan con alertas nuevas.
• Los resúmenes del agente de clasificación e investigación de Gemini están presentes donde se espera.
• Los casos se derivan o cierran según la lógica del manual y las decisiones del analista.

Síntoma	Solución
Faltan elementos urgentes esperados en la cola de Mis casos o Casos.	Asegúrate de que la regla Alerting esté ACTIVADA para las detecciones pertinentes. Verifica que los casos se asignen correctamente a tu usuario o rol, y comprueba que no se hayan aplicado filtros restrictivos de forma involuntaria a la cola.
Falta el resumen de Gemini.	Verifica el estado de Gemini Investigations en el muro de casos. Si se alcanzó la cuota, verás un mensaje que indica que no se pudo activar el agente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.