Integrar el Centro de Alertas de Google con Google SecOps
En este documento se explica cómo integrar el Centro de Alertas de Google con Google Security Operations (Google SecOps).
Versión de la integración: 8.0
En la plataforma Google SecOps, la integración del centro de alertas se llama Google Alert Center.
Casos prácticos
Si integras el Centro de alertas con Google SecOps, podrás resolver los siguientes casos prácticos:
Detección de campañas de phishing: usa las funciones de Google SecOps para recibir las notificaciones del Centro de alertas sobre posibles correos de phishing dirigidos a tu organización. Google SecOps puede activar flujos de trabajo automatizados para investigar los correos, bloquear URLs maliciosas y poner en cuarentena las cuentas de usuario afectadas.
Intento de exfiltración de datos: usa las funciones de Google SecOps para activar la respuesta automática a incidentes, aislar los sistemas afectados, bloquear a los agentes maliciosos e iniciar un análisis forense.
Detección de malware: usa las funciones de Google SecOps para poner en cuarentena los dispositivos infectados, iniciar análisis de malware e implementar parches.
Identificación de vulnerabilidades: usa las funciones de Google SecOps para procesar automáticamente las alertas sobre las vulnerabilidades recién descubiertas que afectan a los sistemas de tu organización, priorizar las tareas de parcheado, iniciar análisis de vulnerabilidades e informar a los equipos correspondientes.
Antes de empezar
Antes de configurar la integración del Centro de Alertas de Google, asegúrate de que tienes lo siguiente:
- Habilita la API necesaria.
- Crea una cuenta de servicio y sus credenciales.
- Asigna el rol
Alert Center Viewera la cuenta de servicio. - Delega la autoridad de todo el dominio en tu cuenta de servicio.
Habilitar la API del Centro de alertas de Google Workspace
Para habilitar la API del Centro de alertas de Google Workspace, debes hacerlo en tu proyecto de la Google Cloud consola.
Ve a APIs y servicios > Biblioteca.
Busca y selecciona la API Alert Center de Google Workspace.
Haz clic en Enable (Habilitar).
Crear una cuenta de servicio
Para permitir que la integración acceda de forma segura a los datos de su Centro de Alertas de Google, debe crear una cuenta de servicio en la Google Cloud consola para que actúe como su identidad.
Para obtener instrucciones sobre cómo crear una cuenta de servicio, consulta el artículo Crear cuentas de servicio.
Crear una clave JSON de cuenta de servicio
Para crear una clave JSON, sigue estos pasos:
Selecciona la cuenta de servicio que has creado y ve a Claves.
Haz clic en Añadir clave > Crear clave.
Selecciona JSON como tipo de clave y haz clic en Crear. La clave privada se descargará automáticamente en tu ordenador y aparecerá un cuadro de diálogo de confirmación que te recordará que debes almacenar la clave de forma segura.
Busca el
client_iden el archivo JSON y cópialo para usarlo más adelante cuando delegues la autoridad en todo el dominio a tu cuenta de servicio.
Asigna el rol Lector del Centro de alertas a tu cuenta de servicio
En la Google Cloud consola, ve a IAM y administración > IAM.
Busca tu cuenta de servicio en la lista y haz clic en Editar junto a su nombre.
En el menú Rol, añade el rol
Alert Center Viewer.Guarda los cambios.
Delegar la autoridad de todo el dominio en tu cuenta de servicio
Para permitir que la cuenta de servicio acceda a los datos de tus usuarios, debes concederle autoridad en todo el dominio en la consola de administración de Google.
En la consola de administración de Google de tu dominio, ve a Menú principal > Seguridad > Control de acceso y de datos > Controles de APIs.
En el panel Delegación de todo el dominio, selecciona Gestionar delegación de todo el dominio.
Haz clic en Añadir nuevo.
En el campo Client ID (ID de cliente), introduce el ID de cliente que aparece en la clave JSON que has creado (
client_id).En el campo Permisos de OAuth, introduce el siguiente permiso:
https://www.googleapis.com/auth/apps.alertsHaz clic en Autorizar.
Configurar la integración del Centro de alertas en Google SecOps
La integración requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Service Account JSON Secret |
Obligatorio
El contenido JSON completo del archivo de la cuenta de servicio que has usado para autenticarte en el centro de alertas. |
Impersonation Email Address |
Obligatorio
Dirección de correo electrónico para suplantar la identidad de un usuario con acceso al Centro de alertas. Para configurar este parámetro, introduce la dirección de correo del administrador. Los datos del centro de alertas solo están disponibles para los administradores. |
Verify SSL |
Optional Si se selecciona, la integración verifica que el certificado SSL para conectarse al centro de alertas sea válido. Esta opción está seleccionada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta el artículo Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde tu mesa de trabajo y Realizar una acción manual.
Eliminación de alerta
Usa la acción Eliminar alerta para eliminar una alerta del Centro de alertas.
Después de eliminar una alerta, puedes recuperarla durante los 30 días siguientes. No puedes recuperar una alerta que hayas eliminado hace más de 30 días.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Eliminar alerta requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Alert ID |
Obligatorio
El ID de la alerta que se va a eliminar. |
Resultados de la acción
La acción Eliminar alerta proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Eliminar alerta puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Delete Alert". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se indica el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Eliminar alerta:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad con el Centro de alertas.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully connected to the alert center server with the
provided connection parameters! |
La acción se ha realizado correctamente. |
Failed to connect to the alert center server! Error is
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Ingerir datos (conectores).
Centro de alertas de Google: conector de alertas
Usa Google Alert Center – Alerts Connector para obtener información sobre las alertas del Centro de alertas.
El filtro de lista dinámica funciona con el parámetro type.
El conector de alertas del Centro de alertas de Google requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio Nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es |
Event Field Name |
Obligatorio Nombre del campo que se usa para determinar el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se asigna el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Un patrón de expresión regular que se aplica al valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
PythonProcessTimeout |
Obligatorio
El límite de tiempo de espera en segundos del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
Service Account JSON Secret |
Obligatorio
El contenido JSON completo del archivo de la cuenta de servicio que has usado para autenticarte en el centro de alertas. |
Impersonation Email Address |
Obligatorio
Dirección de correo electrónico para suplantar la identidad de un usuario con acceso al Centro de alertas. Para configurar este parámetro, introduce la dirección de correo del administrador. Los datos del centro de alertas solo están disponibles para los administradores. |
Verify SSL |
Optional Si se selecciona, la integración verifica que el certificado SSL para conectarse al centro de alertas sea válido. Esta opción está seleccionada de forma predeterminada. |
Max Hours Backwards |
Optional Número de horas antes de la primera iteración del conector para obtener las respuestas. Este parámetro se aplica a la iteración inicial del conector después de habilitarlo por primera vez o al valor de respaldo de una marca de tiempo del conector caducada. El valor predeterminado es 1 hora. |
Max Alerts To Fetch |
Optional
Número máximo de alertas que se van a recuperar en cada iteración del conector. El número máximo es 100. |
Lowest Severity To Fetch |
Optional
La gravedad más baja de las alertas que se van a obtener. |
Use whitelist as a blacklist |
Optional
Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Proxy Server Address |
Optional Dirección del servidor proxy que se va a usar. |
Proxy Username |
Optional Nombre de usuario del proxy para autenticarse. |
Proxy Password |
Optional La contraseña del proxy para autenticarte. |
Reglas de conectores
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.