Empezar a usar Google Security Operations SOAR

Para empezar a trabajar en la plataforma SOAR de Google SecOps, primero debes comprender los conceptos básicos, que constituyen la base de nuestra documentación.

Conectores

Los conectores son los puntos de ingesta de datos de las alertas  en Google SecOps SOAR. Su objetivo principal es traducir los datos de seguridad sin procesar de herramientas de terceros en datos de SOAR de SecOps de Google normalizados. El conector obtiene alertas (o datos equivalentes) de herramientas de terceros, que se reenvían a la capa de procesamiento de datos.

Casos, alertas y eventos

• Caso: contenedor de nivel superior compuesto por una o varias alertas procedentes de diversas fuentes mediante conectores.
• Alerta: notificación de seguridad que contiene uno o varios eventos de seguridad.
• Entidades: después de la ingestión, la plataforma analiza estos eventos, y sus indicadores (IOCs, destinos y artefactos) se extraen y se traducen en objetos dinámicos llamados entidades.

Entidades y ontología

Las entidades son objetos dinámicos que representan puntos de interés extraídos (indicadores de vulneración, cuentas de usuario, direcciones IP) de una alerta.

Las entidades son clave porque permiten lo siguiente:

• Registro automático del historial.
• Agrupación de alertas relacionadas sin intervención manual.
• Búsqueda de actividad maliciosa basada en relaciones.

Creación de entidades (asignación y modelado)

Para ilustrar visualmente las entidades y su conexión en la plataforma, se lleva a cabo un proceso de configuración de la ontología que implica la asignación y la modelización. Durante este proceso, se selecciona la representación visual de las alertas y las entidades que se deben extraer de ella.

Google SecOps SOAR proporciona reglas de ontología básicas para los productos SIEM más populares de forma predeterminada. Para obtener más información, consulta el artículo Descripción general de la ontología.

Crear entidades en Google SecOps SOAR

El proceso de asignación y modelado define cómo se crean y se conectan visualmente las entidades en un caso (ontología). Este proceso se produce una vez cuando se ingiere por primera vez un nuevo tipo de alerta:

• Define la representación visual de las alertas y las entidades que se deben extraer.
• Define las propiedades de las entidades, como si una entidad es interna o externa (según la configuración) o maliciosa (según los resultados del cuaderno de estrategias).

Google SecOps SOAR proporciona reglas de ontología básicas listas para usar para los productos SIEM más populares.

Para obtener información sobre la asignación y la modelización, consulta el artículo Crear entidades (asignación y modelización).

Con la asignación y la modelización, puedes definir las propiedades de una entidad, como si es interna o externa, o si se considera maliciosa. El estado interno o externo de una entidad se determina en la configuración de la plataforma. El estado malicioso lo determina el producto que se ejecuta en la guía. El objetivo de la asignación y el modelado es especificar detalles clave, como la fuente, la marca de tiempo y el tipo de los datos.

La asignación y la modelización se realizan una vez cuando se ingieren los datos por primera vez. Después, el sistema aplica las reglas pertinentes a cada caso nuevo que se recibe. seleccionarla. 

Guías

Una guía es un proceso de automatización que se puede activar mediante una condición predefinida. Por ejemplo, puedes activar una guía para cada alerta que contenga el nombre del producto "Mail". Cuando se active, la guía se adjuntará a cada alerta que se ingiera en Google SecOps SOAR desde este producto.

También ejecuta una serie de acciones basadas en un árbol de condiciones definido (flujos):

• Las acciones se configuran para que se ejecuten de forma manual o automática en el ámbito de las entidades de la alerta.
• Las acciones se ejecutan en un orden definido hasta que se llega a una resolución final de la alerta que las ha activado.

Por ejemplo, puedes configurar la acción VirusTotal - Analizar URL para que se ejecute automáticamente solo en un tipo de entidad específico, como las entidades de URL.

Entornos

Los entornos son contenedores lógicos que se usan para separar los datos.

• Los administradores pueden definir diferentes entornos y asignar usuarios de la plataforma a uno o varios de ellos.
• Los usuarios solo pueden ver los casos y la información relacionada de los entornos a los que se les haya asignado.
• Algunos roles de usuario tienen acceso a todos los entornos, lo que les otorga acceso completo a todos los datos actuales y futuros de la plataforma.