Configurar un webhook

Disponible en:

Los webhooks son una solución ligera para ingerir alertas de tu organización en la plataforma SOAR de Google Security Operations. 

Las alertas insertadas mediante webhooks aparecen en la plataforma con la misma información que las insertadas mediante conectores.

Google recomienda usar un conector o un webhook de la misma fuente, pero no ambos, para evitar que se creen casos duplicados.

Los webhooks son la mejor opción para los casos en los que se necesita una lógica de asignación básica, mientras que los conectores son más adecuados para asignaciones avanzadas y flexibles.

Configurar un webhook para ingerir alertas

En este caso práctico, se explica cómo usar CrowdStrike como plataforma para ingerir alertas.

Para configurar un webhook que ingiera alertas, sigue estos pasos:

  1. Ve a Ajustes de SOAR > Ingesta > Webhooks.
  2.  Haz clic en Añadir Añadir webhook entrante.
  3. Escribe un nombre para el nuevo webhook y elige un entorno.
  4. Haz clic en Guardar.
    5. En este ejemplo se usa CrowdStrike.
    Después de guardar, aparece en la página principal.
  5. Copia la URL del webhook y anótala para usarla más adelante. Lo necesitarás para introducirlo en la plataforma de CrowdStrike como destino del webhook.

Datos del mapa

  1. En la sección Asignación de datos, haga clic en Subir muestra JSON (use la muestra tomada de CrowdStrike).
  2. Asocia los campos de Google Security Operations con los campos JSON de CrowdStrike correspondientes. Por ejemplo, en el campo obligatorio de alerta de SecOps de Google StartTime, seleccione el campo Detections.Last.Update de CrowdStrike. Esta opción aparece en el generador de expresiones. Para obtener más información, consulta Usar el creador de expresiones.
    Añada una función (en el lateral) para acotar aún más este campo. Por ejemplo, Formato de fecha.
  3. Cuando aparezca Detections.Last.Format en el Generador de expresiones, haz clic en Ejecutar para ver los resultados.
    El botón Iniciar se muestra con una marca de verificación verde, lo que indica que el campo se ha asignado.
  4. Una vez que hayas asignado todos los campos necesarios, haz clic en Guardar y, a continuación, habilita el webhook.

Probar el webhook

El área Pruebas te permite probar la funcionalidad integral del webhook y proporciona descripciones detalladas de los errores. 

  1. En la pestaña Pruebas, copia la URL del webhook.
  2. Sube un archivo JSON con los datos pertinentes.
  3. Haz clic en Ejecutar. Los resultados se muestran junto con el resultado.

Caso práctico: configurar la plataforma CrowdStrike

En este caso práctico, se explican los pasos que debes seguir en CrowdStrike para que la webhook empiece a ingerir alertas en la plataforma Google SecOps.

  1. En el panel de control de CrowdStrike Falcon, ve a Falcon store e instala el complemento Webhooks.
  2. Configura el webhook con el nombre y la URL del webhook que has copiado de la plataforma Google SecOps y haz clic en Guardar.
  3. Ve a la sección Flujos de trabajo.
  4. Haz clic en Crear un flujo de trabajo.
  5. Selecciona un activador, como Nueva detección, y haz clic en Siguiente.
  6. Selecciona Añadir acción.
  7. En la sección Personalizar acción, selecciona Notificaciones en el menú Tipo de acción y, a continuación, Llamar a webhook en el menú Acción.
  8. Selecciona el nombre que has añadido en el paso inicial y todos los campos necesarios. A continuación, haz clic en Finalizar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.