Configura un webhook

Compatible con:

Los webhooks son una solución liviana para transferir alertas de tu organización a la plataforma SOAR de Google Security Operations. 

Las alertas incorporadas a través de webhooks aparecen en la plataforma con la misma información que las alertas incorporadas a través de conectores.

Google recomienda usar un conector o un webhook de la misma fuente, pero no ambos, para evitar crear casos duplicados.

Los webhooks son ideales para situaciones que requieren lógica de asignación básica, mientras que los conectores son mejores para la asignación avanzada y flexible.

Configura un webhook para transferir alertas

El siguiente caso de uso se centra en el uso de CrowdStrike como la plataforma a través de la cual se transfieren las alertas.

Para configurar un webhook que ingiera alertas, sigue estos pasos:

  1. Ve a Configuración de SOAR > Ingestión > Webhooks.
  2.  Haz clic en add Agregar webhook entrante.
  3. Ingresa un nombre para el webhook nuevo y elige un entorno.
  4. Haz clic en Guardar.
    5. En este ejemplo, se usa CrowdStrike.
    Después de guardar, aparecerá en la página principal.
  5. Copia la URL del webhook y anótala para usarla más adelante. Lo necesitarás para ingresarlo en la plataforma de CrowdStrike como destino del webhook.

Datos del mapa

  1. En la sección Asignación de datos, haz clic en Subir muestra de JSON (usa la muestra tomada de CrowdStrike).
  2. Asigna los campos de Google Security Operations a los campos correspondientes en los campos JSON de CrowdStrike. Por ejemplo, para el campo obligatorio de alerta de Google SecOps StartTime, selecciona el campo de CrowdStrike Detections.Last.Update. Esto aparece en el Generador de expresiones. Para obtener más información, consulta Cómo usar el compilador de expresiones.
    Agrega una función (en el lateral) para definir mejor este campo, por ejemplo, Formato de fecha.
  3. Una vez que aparezca Detections.Last.Format en el compilador de expresiones, haz clic en Ejecutar para ver los resultados.
    El Inicio se muestra con una marca de verificación verde, lo que indica que el campo está asignado.
  4. Después de asignar todos los campos necesarios, haz clic en Guardar y, luego, habilita el webhook.

Prueba el webhook

El área Pruebas te permite probar la funcionalidad integral del webhook y proporciona descripciones detalladas de los errores. 

  1. En la pestaña Testing, copia la URL del webhook.
  2. Sube un archivo JSON con los datos pertinentes.
  3. Haz clic en Ejecutar. Los resultados se muestran junto con el resultado.

Caso de uso: Configura la plataforma de CrowdStrike

En este caso de uso, se explican los pasos que debes seguir en CrowdStrike para que el webhook comience a transferir alertas a la plataforma de SecOps de Google.

  1. En el panel de CrowdStrike Falcon, ve a Falcon Store y, luego, instala el complemento de Webhooks.
  2. Configura el webhook con el nombre y la URL que copiaste de la plataforma de Google SecOps y haz clic en Guardar.
  3. Ve a la sección Workflows.
  4. Haz clic en Create a Workflow.
  5. Selecciona un activador, como Nueva detección, y haz clic en Siguiente.
  6. Selecciona Agregar acción.
  7. En la sección Personalizar acción, selecciona Notificaciones en el menú Tipo de acción y, luego, Llamar a webhook en el menú Acción.
  8. Selecciona el nombre que agregaste en el paso inicial y todos los campos necesarios, y, luego, haz clic en Finalizar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.