Primeros pasos con Google Security Operations SOAR

Para comenzar a trabajar en la plataforma SOAR de Google SecOps, primero debes comprender los conceptos básicos, que forman la base de nuestra documentación.

Conectores

Los conectores son los puntos de transferencia de datos para las alertas en Google SecOps SOAR. Su objetivo principal es traducir los datos de seguridad sin procesar de herramientas de terceros a datos normalizados de SOAR de SecOps de Google. El conector obtiene alertas (o datos equivalentes) de herramientas de terceros, que luego se reenvían a la capa de procesamiento de datos.

Casos, alertas y eventos

• Caso: Es el contenedor de nivel superior, compuesto por una o más alertas transferidas de varias fuentes a través de los conectores.
• Alerta: Es una notificación de seguridad que contiene uno o más eventos de seguridad.
• Entidades: Después de la transferencia, la plataforma analiza estos eventos, y sus indicadores (IOC, destinos, artefactos) se extraen y se traducen en objetos dinámicos llamados entidades.

Entidades y ontología

Las entidades son objetos dinámicos que representan puntos de interés extraídos (indicadores de compromiso [IoC], cuentas de usuario, direcciones IP) de una alerta.

Las entidades son clave porque permiten lo siguiente:

• Seguimiento automático del historial
• Agrupación de alertas relacionadas sin intervención manual
• Búsqueda de actividad maliciosa basada en relaciones

Creación de entidades (asignación y modelado)

Para ilustrar visualmente las entidades y su conexión en la plataforma, se lleva a cabo un proceso de configuración de la ontología que incluye la asignación y el modelado. Durante este proceso, seleccionas la representación visual de las alertas y las entidades que se deben extraer de ella.

El SOAR de Google SecOps proporciona reglas básicas de ontología para los productos SIEM más populares de forma predeterminada. Para obtener más detalles, consulta Descripción general de la ontología.

Crea entidades en Google SecOps SOAR

El proceso de asignación y modelado define cómo se crean y conectan visualmente las entidades dentro de un caso (ontología). Este proceso ocurre una vez cuando se incorpora un nuevo tipo de alerta por primera vez:

• Define la representación visual de las alertas y qué entidades se deben extraer.
• Establece propiedades de la entidad, como si una entidad es interna o externa (según la configuración) o maliciosa (según los resultados del manual).

El SOAR de Google SecOps proporciona reglas de ontología básicas listas para usar para los productos de SIEM más populares.

Para obtener detalles sobre la asignación y el modelado, consulta Crea entidades (asignación y modelado).

Con el mapeo y el modelado, puedes definir las propiedades de una entidad, como si es interna o externa, o si se considera maliciosa. El estado interno o externo de una entidad se determina según la configuración de la plataforma. El producto que se ejecuta dentro de la guía decide su estado malicioso. El objetivo del mapeo y el modelado es especificar detalles clave, como la fuente, la marca de tiempo y el tipo de los datos.

La asignación y el modelado se realizan una sola vez cuando se transfieren los datos por primera vez. Después de eso, el sistema aplica las reglas pertinentes a cada caso nuevo entrante. la implementará. 

Guías

Una guía es un proceso de automatización que se puede activar con una condición predefinida. Por ejemplo, puedes activar una guía para cada alerta que contenga el nombre del producto "Mail": Cuando se activa, la guía se adjunta a cada alerta que se transfiere a Google SecOps SOAR desde este producto.

También ejecuta una serie de acciones basadas en un árbol definido de condiciones (flujos):

• Las acciones se configuran para ejecutarse de forma manual o automática en el alcance de las entidades de la alerta.
• Las acciones se ejecutan en un orden definido hasta que se alcanza una resolución final para la alerta que se activa.

Por ejemplo, puedes configurar la acción VirusTotal - Scan URL para que se ejecute automáticamente solo en un tipo de entidad específico, como las entidades de URL.

Entornos

Los entornos son contenedores lógicos que se utilizan para lograr la segregación de datos.

• Los administradores pueden definir diferentes entornos y asignar usuarios de la plataforma a uno o más de ellos.
• Los usuarios solo pueden ver los casos y la información relacionada de los entornos a los que están asignados.
• Algunos roles de usuario tienen acceso a todos los entornos, lo que les otorga acceso completo a todos los datos actuales y futuros dentro de la plataforma.