Incorporar la plataforma Google SecOps SOAR

En este documento se proporciona una guía detallada paso a paso para incorporar y configurar la plataforma SOAR de Google Security Operations. El proceso se estructura para establecer el acceso de los usuarios, proteger la ingesta de datos, normalizar los datos, crear automatizaciones y prepararse para las operaciones en directo.

Antes de empezar

Te recomendamos que primero hagas el curso del plan de aprendizaje de SIEM y SOAR de Google.

Configurar el acceso y los roles de usuario

Para empezar, debes definir un rol y grupos de permisos. Si eres un proveedor de servicios de seguridad gestionados, también debes configurar un entorno y asociarlo a los nuevos usuarios. Si gestionas un entorno multicliente, también debes definir entornos. Si es necesario, también puedes aprovisionar usuarios para que inicien sesión con un proveedor de SAML. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Gestionar roles y cargas de trabajo
• Gestionar grupos de permisos
• Añadir un nuevo entorno (principalmente para MSSPs)
• Añadir un usuario nuevo a la plataforma
• Autenticar usuarios mediante SSO (solo SOAR)

Configurar puntos de inserción de datos mediante conectores o webhooks

Configura conectores o webhooks para ingerir alertas y analizarlas. También puedes hacerlo descargando un caso práctico completo. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Ingerir datos mediante conectores SOAR
• Configurar un webhook
• Ejecutar casos prácticos
• Desarrollar tu primer conector de correo electrónico (para usuarios avanzados)

Asignar y modelar los datos entrantes (ontología)

Controla cómo se asignan y modelan los productos, eventos y entidades entrantes. De esta forma, se captura y se visualiza la información correcta. Puede definir esta configuración de ontología o elegir la configuración predeterminada de asignación y modelado. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Descripción general de la ontología
• Asignar relaciones de eventos de seguridad con familias visuales
• Crear entidades (asignación y modelado)

Crear y probar automatizaciones (guías)

Crea respuestas automatizadas mediante guías, que son conjuntos secuenciales de pasos manuales y automatizados que responden a las amenazas. Para obtener más información sobre los playbooks, consulta los siguientes documentos:

• Consultar la página de guías
• Crear tu primera automatización
• Ejecutar casos prácticos desde Marketplace
• Usar el simulador de guías

Analizar incidencias y alertas

Usa casos simulados y alertas de prueba para verificar las configuraciones. Una vez que estén activas, analiza las incidencias y las alertas para determinar los pasos de triaje o corrección. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Descripción general de los casos
• Tomar medidas en un caso
• Realizar acciones manuales
• Ver la pestaña de resumen de alertas
• Desplazarse por la página Explorador de entidades