Ingerir datos mediante conectores SOAR

La funcionalidad de la plataforma Google Security Operations usa conectores para ingerir alertas de varias fuentes de datos en la plataforma. Un conector es un elemento de un paquete de integración que puedes descargar desde el centro de contenido. Para configurar conectores, ve a Configuración de SOAR > Ingesta > Conectores.

Los conectores son aplicaciones basadas en Python que extraen alertas de productos de terceros a Google SecOps. Los conectores también analizan y normalizan los datos sin procesar (alertas y eventos) en un formato de Google SecOps, que se presenta como un caso en la cola de casos.

Si utilizas un SIEM de terceros (un lugar centralizado para todas tus alertas), basta con un conector. También puedes extraer datos de varias fuentes con varios conectores. Cada conector tiene un enlace a la documentación específica para obtener más ayuda.

Caso práctico: configurar un conector de correo

1. Ve a Centro de contenido > Integraciones.
2. Busca e instala la integración de correo electrónico.
3. Selecciona configuración Configurar instancia predeterminada para abrir el cuadro de diálogo Correo electrónico - Configurar instancia.
4. Rellena todos los parámetros obligatorios.
5. Opcional: Ve a Configuración de SOAR > Respuesta > Configuración de integraciones para configurar la integración en otra instancia relevante (no en el entorno predeterminado).
6. Ve a Ajustes de SOAR > Ingesta > Conectores.
7. Haz clic en Añadir Crear conector.
8. Selecciona el conector de correo IMAP y haz clic en Crear.
9. Rellena los campos obligatorios. Cuando se le solicite, haga clic en Guardar y, a continuación, en Sí.
10. Habilita el conector y vuelve a guardarlo. De esta forma, se ejecuta periódicamente para extraer los correos nuevos según la configuración.