Ingerir datos mediante conectores SOAR

La función de la plataforma SOAR de Google Security Operations usa conectores para ingerir alertas de diversas fuentes de datos en la plataforma. Un conector es un elemento de un paquete de integración que puedes descargar desde Google SecOps Content Hub (Marketplace). Los conectores se configuran en Configuración de SOAR > Ingesta > Conectores.

Los conectores son aplicaciones basadas en Python que extraen alertas de productos de terceros a Google SecOps. Los conectores también analizan y normalizan los datos sin procesar (alertas y eventos) en un formato de Google SecOps, que se presenta como un caso en la cola de casos.

Si utilizas un SIEM de terceros (un lugar centralizado para todas tus alertas), basta con un conector. También puedes extraer datos de varias fuentes con varios conectores. Cada conector tiene un enlace a la documentación específica para obtener más ayuda.

Caso práctico: configurar un conector de correo

1. Ve a Google SecOps Content Hub (Marketplace) > Integrations (Integraciones).
2. Busca e instala la integración de correo electrónico.
3. Selecciona configuración Configurar instancia predeterminada para abrir el cuadro de diálogo Correo electrónico - Configurar instancia.
4. Rellena todos los parámetros obligatorios.
5. Opcional: Ve a Configuración de SOAR > Respuesta > Configuración de integraciones para configurar la integración en otra instancia relevante (no en el entorno predeterminado).
6. Ve a Ajustes de SOAR > Ingesta > Conectores.
7. Haz clic en Añadir Crear conector.
8. Selecciona el conector de correo IMAP y haz clic en Crear.
9. Rellena los campos obligatorios. Cuando se le solicite, haga clic en Guardar y, a continuación, en Sí.
10. Habilita el conector y vuelve a guardarlo. De esta forma, se ejecuta periódicamente para extraer los correos nuevos según la configuración.