Usar Google SecOps Marketplace (solo SOAR)
Google SecOps Marketplace actúa como caja de herramientas del cliente, que contiene una amplia gama de utilidades y opciones entre las que elegir, como las siguientes:
Integraciones: incluye integraciones con aplicaciones de terceros e integraciones personalizadas que hayas creado en el IDE. En todos los casos, debe instalarlos en esta pantalla y, en el caso de los que necesiten una configuración avanzada, debe configurarlos en la pantalla Integraciones mediante el icono de la rueda dentada.
Casos prácticos: se trata de flujos de trabajo de runbooks predefinidos que se integran en los productos de seguridad de la organización para automatizar el proceso de respuesta ante incidentes y optimizar la instalación de Google SecOps. Incluyen casos de uso predefinidos de Google SecOps y casos de uso que han subido los clientes para probar las funciones de Google SecOps o incorporarlos a sus propios casos de uso.
Funciones adicionales: incluyen herramientas creadas por los servicios profesionales de Google Security Operations que mejoran la capacidad de los clientes para automatizar procesos y crear guías más eficientes.
Configurar integraciones
Hay tres tipos de integraciones que puedes ver en Google SecOps Marketplace:
- Comerciales: integraciones con aplicaciones de terceros desarrolladas por Google SecOps, incluidas las nuevas y las actualizadas
- Comunidad: integraciones publicadas por usuarios (que han sido validadas por Google SecOps y que aparecerán con los detalles del usuario junto a ellas)
- Personalizadas: integraciones que has creado y que solo se muestran en tu Google SecOps Marketplace
Filtrar integraciones
Puedes mostrar las integraciones según el tipo (por ejemplo, integraciones personalizadas o publicadas por usuarios) o el estado (por ejemplo, instaladas o con actualizaciones disponibles).
Las integraciones que aún no se hayan instalado tendrán una flecha hacia abajo en la parte inferior derecha del cuadro.
Haz clic en este enlace para instalar la integración correctamente. Para obtener información detallada sobre cómo instalar y configurar una integración, consulta este artículo.
Casos prácticos
Los casos prácticos te permiten reducir el tiempo de obtención de valor y ver cómo abordan los expertos de Google SecOps o los usuarios de la comunidad un ataque específico o cualquier otro reto del centro de operaciones de seguridad.
Cada caso práctico contiene elementos relevantes, como integraciones, guías, etc., para simular un flujo de trabajo completo. Después de implementar uno de estos casos prácticos, puedes simularlo en la pestaña Casos. Además, puedes configurar el conector o editar el Playbook de un caso práctico predefinido y ejecutarlo con datos reales.
En esta pantalla, puedes realizar las siguientes acciones:
Crear nuevo caso práctico: puedes crear tu propio caso práctico con uno o varios playbooks, casos de prueba y conectores. Haz clic en Guardar para guardarlo de forma local solo en Google SecOps Marketplace. También puedes exportarlo.
Publicar caso práctico: haz clic en esta opción para que tu caso práctico se publique para todos los usuarios. Una vez que se haya subido, se enviará a un equipo especializado de Google SecOps, que lo analizará y lo añadirá al repositorio de casos prácticos para que lo usen todos los clientes y miembros de la comunidad. El objetivo de esta opción es animar a todos nuestros clientes a compartir guías y casos prácticos que puedan ayudar a otros en su transición a Google SecOps. Puedes modificar la foto y los detalles del usuario aquí antes de enviarla. Estos identificadores se publicarán para todos los usuarios.
Importar caso práctico: útil para importar datos de otras plataformas, como Staging.
Activadores
Las herramientas de Google SecOps te permiten mejorar tus guías con acciones integradas conocidas como activadores. Los potenciadores no requieren ninguna configuración especial, ya que se incluyen en Google SecOps. En cada mejora, haz clic en Leer más para obtener información sobre sus funciones.
Configurar integraciones
- Después de descargar la integración, haz clic en Configuración para configurar cada integración en un entorno predeterminado.
- Haga clic en Configuración para abrir la ventana de configuración, donde podrá ver todos los campos obligatorios para crear una conexión correcta con el producto.
- Para configurar una integración en otra instancia, sigue estos pasos:
- Ve a Integraciones > Instancias compartidas.
- Selecciona la instancia que quieras asociar a la integración.
-
Una vez configuradas, puedes usar las instancias en las guías. Para obtener más información sobre las instancias de Google SecOps, consulta el artículo Compatibilidad con varias instancias.
Para obtener información detallada sobre todas las integraciones de Google SecOps Marketplace, consulta las integraciones de respuesta.
Anulación de ontología
Cuando instalas o actualizas una integración, aparece un cuadro de diálogo en pantalla que te pregunta si quieres sustituir la ontología actual por la que se proporciona en la nueva integración o conservar la asignación actual.
Si anulas la ontología, se sustituirá por completo la asignación actual. Todas las asignaciones (fuente, producto y tipo de evento) se sobrescriben con las correspondientes de la nueva integración, incluidas las modificaciones personalizadas. Si has hecho cambios significativos en la ontología para adaptarla a tus necesidades específicas, puedes rechazar la anulación y conservar la asignación tal cual.
Si quieres, puedes exportar las reglas de asignación de ontología de esa integración específica como copia de seguridad antes de anularlas. Consulta también Estado de ontología.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.