Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configura un webhook

Compatible con:

Google secops SOAR

Los webhooks son una solución liviana para incorporar alertas de tu organización a la plataforma Google Security Operations SOAR.

Las alertas incorporadas por webhook aparecen en la plataforma con la misma información que las alertas incorporadas con conectores.

Google recomienda usar un conector o un webhook de la misma fuente, pero no ambos, para evitar crear casos duplicados.

Los webhooks son más adecuados para situaciones que requieren una lógica de asignación básica, mientras que los conectores son mejores para la asignación avanzada y flexible.

Configura un webhook para incorporar alertas

El siguiente caso de uso se centra en el uso de CrowdStrike como la plataforma a través de la cual se incorporan alertas.

Para configurar un webhook para incorporar alertas, sigue estos pasos:

Ve a Configuración de SOAR > Incorporación > Webhooks.
Haz clic en add Agregar webhook entrante.
Ingresa un nombre para el webhook nuevo y elige un entorno.
Haz clic en Guardar.

Copia la URL del webhook y anótala para usarla más adelante. La necesitarás para ingresar la en la plataforma de CrowdStrike como el destino del webhook.

Asigna datos

En la sección Asignación de datos, haz clic en Subir muestra de JSON (usa la muestra tomada de CrowdStrike).
Asigna los campos de Google Security Operations con los campos correspondientes en los campos JSON de CrowdStrike. Por ejemplo, el campo de alerta obligatorio de Google SecOps campo StartTime, selecciona el campo Detections.Last.Update de CrowdStrike. Esto aparece en el compilador de expresiones. Para obtener más información, consulta Usa el compilador de expresiones.
Agrega una función (en el lateral) para refinar aún más este campo, por ejemplo, Formato de fecha.
Una vez que aparezca Detections.Last.Format en el compilador de expresiones, haz clic en Ejecutar para ver los resultados.
El Inicio se muestra con una marca de verificación verde, lo que indica que el campo está asignado.
Después de asignar todos los campos necesarios, haz clic en Guardar y, luego, habilita el webhook.

Nota sobre la visualización de la marca de tiempo del evento: Cuando se incorporan datos de eventos con webhooks, la visualización de los campos de marca de tiempo dentro de la lista de detalles de la alerta puede variar. La plataforma intenta dar formato a los campos que parecen estar relacionados con el tiempo, suponiendo que el valor se proporciona en milisegundos de época.

Si un campo de marca de tiempo (a menudo uno que contiene "time" en su nombre, como @timestamp) se envía en un formato que no sea milisegundos de época (por ejemplo, MM/DD/YYYY HH:MM:SS o YYYY-MM-DDTHH:MM:SSz), es posible que la vista de lista no muestre la hora como se espera. Esto se debe a que el sistema intenta interpretarlo como milisegundos desde la época.

Para ver el valor original y sin procesar tal como se envió en el webhook, haz doble clic en el campo de marca de tiempo en la lista de eventos.

Para obtener los resultados de visualización más coherentes en toda la plataforma, te recomendamos que configures el sistema de origen para enviar valores de tiempo en milisegundos de época siempre que sea posible.

Prueba el webhook

El área de Pruebas te permite probar la funcionalidad de extremo a extremo del webhook y proporciona descripciones detalladas de los errores.

En la pestaña Pruebas, copia la URL del webhook.
Sube un archivo JSON con los datos pertinentes.
Haz clic en Ejecutar. Los resultados se muestran junto con el resultado.

Caso de uso: Configura la plataforma de CrowdStrike

En este caso de uso, se explican los pasos que debes seguir en CrowdStrike para que el webhook comience a incorporar alertas en la plataforma de Google SecOps.

En el panel de CrowdStrike Falcon, ve a la tienda de Falcon e instala el complemento Webhooks.
Configura el webhook con el nombre y la URL del webhook que copiaste de la plataforma de Google SecOps y haz clic en Guardar.
Ve a la sección Flujos de trabajo.
Haz clic en Crear un flujo de trabajo.
Selecciona un activador, como Detección nueva, y haz clic en Siguiente.
Selecciona Agregar acción.
En la sección Personalizar acción, selecciona Notificaciones en el menú Tipo de acción y selecciona Llamar a webhook en el menú Acción.
Selecciona el nombre que agregaste en el paso inicial y todos los campos necesarios y, luego, haz clic en Finalizar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.