Integra el Centro de alertas de Google con Google SecOps

En este documento, se explica cómo integrar el Centro de alertas de Google con Google Security Operations (Google SecOps).

Versión de integración: 8.0

En la plataforma de SecOps de Google, la integración del centro de alertas se llama Centro de alertas de Google.

Casos de uso

Integrar el Centro de alertas con Google SecOps puede ayudarte a resolver los siguientes casos de uso:

  • Detección de campañas de phishing: Usa las capacidades de SecOps de Google para incorporar las notificaciones del Centro de alertas sobre posibles correos electrónicos de phishing dirigidos a tu organización. Las Operaciones de seguridad de Google pueden activar flujos de trabajo automatizados para investigar los correos electrónicos, bloquear las URLs maliciosas y poner en cuarentena las cuentas de usuario afectadas.

  • Intento de robo de datos: Usa las capacidades de Google SecOps para activar la respuesta ante incidentes automatizada, aislar los sistemas afectados, bloquear a los actores maliciosos y comenzar el análisis forense.

  • Detección de software malicioso: Usa las capacidades de Google SecOps para poner en cuarentena los dispositivos infectados, iniciar análisis de software malicioso y, luego, implementar parches.

  • Identificación de vulnerabilidades: Usa las capacidades de SecOps de Google para procesar automáticamente las alertas sobre vulnerabilidades recién descubiertas que afectan los sistemas de tu organización, priorizar los esfuerzos de aplicación de parches, iniciar análisis de vulnerabilidades y mantener informados a los equipos pertinentes.

Antes de comenzar

Antes de configurar la integración del Centro de alertas de Google, asegúrate de tener lo siguiente listo:

  1. Habilita la API necesaria.
  2. Crea una cuenta de servicio y credenciales.
  3. Asigna el rol Alert Center Viewer a la cuenta de servicio.
  4. Delega autoridad en todo el dominio a tu cuenta de servicio.

Habilita la API del Centro de alertas de Google Workspace

Para habilitar la API del Centro de alertas de Google Workspace, debes hacerlo en tu proyecto en la consola deGoogle Cloud .

  1. Ve a APIs y servicios > Biblioteca.

  2. Busca y selecciona la API del Centro de alertas de Google Workspace.

  3. Haz clic en Habilitar.

Crea una cuenta de servicio

Para permitir que la integración acceda de forma segura a tus datos del Centro de alertas de Google, debes crear una cuenta de servicio en la consola deGoogle Cloud para que sirva como su identidad.

Para obtener orientación sobre cómo crear una cuenta de servicio, consulta Crea cuentas de servicio.

Crea una clave JSON de cuenta de servicio

Para crear una clave JSON, completa los siguientes pasos:

  1. Selecciona la cuenta de servicio que creaste y ve a Claves.

  2. Haz clic en Agregar clave > Crear clave nueva.

  3. Selecciona JSON como el tipo de clave y haz clic en Crear. La clave privada se descargará automáticamente en tu computadora y aparecerá un diálogo de confirmación que te recordará que la almacenes de forma segura.

  4. Busca client_id en el archivo JSON y cópialo para usarlo más adelante cuando delegues la autoridad en todo el dominio a tu cuenta de servicio.

Asigna el rol de visualizador del Centro de alertas a tu cuenta de servicio

  1. En la consola de Google Cloud , ve a IAM y administración > IAM.

  2. Ubica tu cuenta de servicio en la lista y haz clic en Editar junto a su nombre.

  3. En el menú Rol, agrega el rol Alert Center Viewer.

  4. Guarda los cambios.

Delega autoridad en todo el dominio a tu cuenta de servicio

Para permitir que la cuenta de servicio acceda a los datos de tus usuarios, debes otorgarle autoridad en todo el dominio en la Consola del administrador de Google.

  1. En la Consola del administrador de Google de tu dominio, ve a Menú principal > Seguridad > Control de acceso y datos > Controles de API.

  2. En el panel Delegación de todo el dominio, selecciona Administrar la delegación de todo el dominio.

  3. Haz clic en Agregar nueva.

  4. En el campo ID de cliente, ingresa el ID de cliente que se encuentra en la clave JSON que creaste (client_id).

  5. En el campo OAuth Scopes, ingresa el siguiente permiso:

    https://www.googleapis.com/auth/apps.alerts

  6. Haz clic en Autorizar.

Configura la integración del Centro de alertas en Google SecOps

La integración requiere los siguientes parámetros:

Parámetro Descripción
Service Account JSON Secret Obligatorio

Es el contenido JSON completo del archivo de la cuenta de servicio que usaste para autenticarte en el Centro de alertas.
Impersonation Email Address Obligatorio

Es la dirección de correo electrónico para suplantar a un usuario con acceso al Centro de alertas. Para configurar este parámetro, ingresa la dirección de correo electrónico del administrador. Los datos del Centro de alertas solo están disponibles para los administradores.
Verify SSL Optional

Si se selecciona esta opción, la integración verifica que el certificado SSL para conectarse al Centro de alertas sea válido.

Esta opción se selecciona de forma predeterminada.

Si deseas obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde tu estación de trabajo y Cómo realizar una acción manual.

Borrar alerta

Usa la acción Borrar alerta para borrar una alerta en el Centro de alertas.

Después de borrar una alerta, puedes recuperarla durante los 30 días siguientes. No puedes recuperar una alerta que borraste hace más de 30 días.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Borrar alerta requiere los siguientes parámetros:

Parámetro Descripción
Alert ID Obligatorio

Es el ID de la alerta que se borrará.

Resultados de la acción

La acción Borrar alerta proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Delete Alert puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully deleted alert with ID RECORD_ID in the alert center.

Alert with ID RECORD_ID doesn't exist in the alert center.

 La acción se completó correctamente.
Error executing action "Delete Alert". Reason: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Delete Alert:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Ping

Usa la acción Ping para probar la conectividad al centro de alertas.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Ping proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje
Successfully connected to the alert center server with the provided connection parameters! La acción se completó correctamente.
Failed to connect to the alert center server! Error is ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Conectores

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Ingiere tus datos (conectores).

Centro de alertas de Google: conector de alertas

Usa el conector de Alertas de Google Alert Center para recuperar información sobre las alertas del centro de alertas.

El filtro de lista dinámico funciona con el parámetro type.

El conector de Alertas de Google Alert Center requiere los siguientes parámetros:

Parámetro Descripción
Product Field Name Obligatorio

Es el nombre del campo en el que se almacena el nombre del producto.

El valor predeterminado es source.
Event Field Name Obligatorio

Es el nombre del campo que se usa para determinar el nombre del evento (subtipo).

El valor predeterminado es type.
Environment Field Name Optional

Nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo del entorno, se establece el entorno predeterminado.

El valor predeterminado es "".
Environment Regex Pattern Optional

Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Environment Field Name. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares.

Usa el valor predeterminado .* para recuperar el valor Environment Field Name sin procesar requerido.

Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
PythonProcessTimeout Obligatorio

Es el límite de tiempo de espera en segundos para el proceso de Python que ejecuta el script actual.

El valor predeterminado es 180.
Service Account JSON Secret Obligatorio

Es el contenido JSON completo del archivo de la cuenta de servicio que usaste para autenticarte en el Centro de alertas.
Impersonation Email Address Obligatorio

Es la dirección de correo electrónico para suplantar a un usuario con acceso al Centro de alertas. Para configurar este parámetro, ingresa la dirección de correo electrónico del administrador. Los datos del Centro de alertas solo están disponibles para los administradores.
Verify SSL Optional

Si se selecciona esta opción, la integración verifica que el certificado SSL para conectarse al Centro de alertas sea válido.

Esta opción se selecciona de forma predeterminada.
Max Hours Backwards Optional

Cantidad de horas antes de la primera iteración del conector para recuperar respuestas. Este parámetro se aplica a la iteración inicial del conector después de que lo habilitas por primera vez o al valor de resguardo para una marca de tiempo del conector vencida.

El valor predeterminado es 1 hora.
Max Alerts To Fetch Optional

Es la cantidad máxima de alertas que se recuperarán en cada iteración del conector.

La cantidad máxima es 100.
Lowest Severity To Fetch Optional

Es la gravedad más baja de las alertas que se recuperarán.
Use whitelist as a blacklist Optional

Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo.

No está seleccionada de forma predeterminada.
Proxy Server Address Optional

Es la dirección del servidor proxy que se usará.
Proxy Username Optional

Nombre de usuario del proxy con el que se realizará la autenticación.
Proxy Password Optional

Contraseña del proxy para la autenticación.

Reglas del conector

El conector admite proxies.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.