Compatibilidad con varias instancias

Compatible con:

Puedes configurar varias instancias de la misma integración en el mismo entorno. Esta función te brinda mayor flexibilidad y control cuando creas y ejecutas guías. Por ejemplo, puedes crear un manual para un cliente con dos sitios, cada uno con directorios activos independientes, y, luego, seleccionar la instancia de integración adecuada para cada paso del manual.

Esta función se configura en Response > Integrations Setup y es compatible con el Choose Instance cada campo en el paso del playbook y la opción de entorno de selección múltiple.

Ver opciones de integración

En la página Integraciones, se muestran dos opciones predefinidas:

  • Instancias compartidas
  • Entorno predeterminado

Instancias compartidas actúa como una biblioteca de integraciones configuradas que puedes usar en todos los entornos.

La sección Instancias compartidas incluye integraciones predefinidas de Google SecOps que están disponibles de forma predeterminada.

Cualquier entorno que crees en Configuración > Organizaciones > Entornos aparecerá en la lista de entornos.

Puedes filtrar la visualización de los entornos u ocultar los que estén vacíos. Por lo general, los clientes empresariales usan el entorno predeterminado.

Agrega y configura una instancia de integración

  1. Agrega un entorno. En la página Configuración de integraciones, primero selecciona o agrega el entorno en el que deseas configurar la integración.
  2. Crea una instancia nueva. Haz clic en Agregar Crear una instancia nueva.
  3. Selecciona la integración de la lista y, luego, ingresa los parámetros obligatorios para esa instancia específica. Nota: Debes configurar una instancia antes de usarla en un playbook.
    • Para configurar una segunda instancia de la misma integración en el mismo entorno, repite el proceso.
    • Para editar o volver a configurar una instancia más adelante, haz clic en settings Configurar instancia junto a la integración.

Seleccionar un entorno

La función de selección múltiple de entornos está disponible cuando creas un nuevo manual. Ve a la página Playbooks para verlo. Realiza una de las siguientes acciones:
  • Selecciona Todos los entornos para ejecutar el playbook en todos los entornos definidos en el sistema.
  • Selecciona uno o más entornos en los que se ejecutará la guía.

La selección de varios o todos los entornos restringe el tipo de instancia que se puede configurar para los pasos del playbook. A continuación, se ofrece una explicación más detallada.

Usa la instancia en una guía

Cuando agregas un paso en una guía que usa una integración, las opciones del campo Configurar instancia dependen de lo siguiente:

  • Qué instancias creaste
  • Los entornos que seleccionaste para la guía

Un solo entorno

Si seleccionas un solo entorno, el campo Configurar instancia te permite elegir una de las siguientes opciones:

  • Es una instancia que configuraste para esa acción específica en el entorno seleccionado.
  • Una integración de instancia compartida, si está disponible

Varios entornos o todos los entornos

Si seleccionas varios entornos o Todos los entornos, la primera opción en Configurar instancia es Modo dinámico.

Modo dinámico

El modo dinámico significa que, cuando el playbook se adjunta a un caso, Google SecOps intenta acceder a la instancia de integración configurada para el entorno asociado al caso.

Instancia de resguardo

El campo Instancia de resguardo es opcional. Si se selecciona el modo dinámico y no se configura ninguna instancia para un entorno específico, puedes elegir una instancia de resguardo de las instancias compartidas. Esta opción está disponible para las guías que se ejecutan en todos los entornos.

Si no existe ninguna instancia adecuada y no se configuró ningún resguardo, sucede lo siguiente:

  • La acción falla, a menos que se configure para omitirse si falla.
  • Usar skip if failed es especialmente útil para los proveedores de servicios de seguridad administrados (MSSP) que deseen omitir pasos cuando los clientes no tengan una licencia para una herramienta específica.

No se usa una instancia de resguardo si se configura más de una instancia para el entorno del caso. En esa situación, la guía se pausará y le pedirá al analista que elija manualmente la instancia adecuada.

Caso de uso 1: Dos instancias en un entorno predeterminado

En esta situación, una red empresarial se divide en dos sitios: uno en EE.UU. y otro en el Reino Unido. Cada sitio requiere una configuración de Active Directory distinta. Para admitir esta configuración, configura dos instancias de integración de Active Directory en el mismo entorno. Esto permite que la guía seleccione la instancia adecuada de forma dinámica en el tiempo de ejecución.

Cómo instalar una integración

  1. Ve a Google SecOps Marketplace > Integraciones.
  2. Busca la integración requerida. Para este ejemplo, usa Active Directory.
  3. Haz clic en Instalar para agregar la integración.

Configura una instancia

  1. Ve a Response > Integrations Setup.
  2. En la lista Entornos, selecciona el entorno en el que deseas crear una instancia. Para este ejemplo, usa Default Environment.
  3. Haz clic en add Crear una instancia nueva.
  4. En el diálogo Agregar instancia, selecciona la integración requerida de la lista y haz clic en Guardar. En este ejemplo, selecciona Active Directory.
  5. Ve a la integración requerida y haz clic en settings Configurar instancia.
  6. Ingresa la información de configuración pertinente. En este ejemplo, configura la instancia para los usuarios del sitio de EE.UU.
  7. Cuando termine, haz clic en Guardar (Save).
  8. Opcional: Haz clic en Probar para verificar que la configuración funcione.
  9. Agrega otra instancia de Active Directory. En este ejemplo, configúralo para los usuarios del sitio del Reino Unido. Haz clic en Guardar cuando termines la configuración.
  10. Si es necesario, puedes realizar cambios más adelante. Una vez configuradas, las instancias estarán disponibles para usarse en las guías.

Usa la instancia en las guías

  1. Ve a Guías y haz clic en agregar Agregar una nueva guía o bloque para crear una guía nueva.
  2. Selecciona la carpeta correspondiente. Para este ejemplo, elige Entorno predeterminado.
  3. En Actions, en ActiveDirectory, elige Enrich entities.
  4. Arrastra la acción a un paso y haz doble clic en ella para abrir el panel de configuración.
  5. En el campo Elegir instancia, selecciona la instancia adecuada (el sitio de EE.UU. o el del Reino Unido) según el objetivo del manual. 

Caso de uso nº 2: Modo dinámico en varios entornos

En esta situación, como MSSP, brindas asistencia a varios clientes, cada uno definido en un entorno independiente. En el tiempo de ejecución, la guía debe determinar de forma dinámica qué entorno usar según el origen del caso.

Define entornos

  1. Ve a Configuración > Organización > Entornos.
  2. Haz clic en add Agregar entorno y define el entorno requerido con los parámetros correspondientes.
  3. Crea varios entornos nuevos, uno para cada cliente.

Cómo instalar una integración

  1. Ve a Google SecOps Marketplace > Integraciones.
  2. Busca la integración requerida. Para este ejemplo, selecciona e instala VirusTotal.

Configura las instancias

  1. Ve a Response > Integrations Setup, selecciona cada cliente y haz clic en Configure.
  2. Configura la instancia de integración de VirusTotal según tus requisitos.

Configura una guía

Cuando agregues la acción VirusTotal Ping, selecciona Modo dinámico. Esto garantiza que Google SecOps determine el entorno en el tiempo de ejecución según el origen del caso y aplique la instancia de integración adecuada.

  1. Ve a la página Playbooks.
  2. Crea una guía nueva y asegúrate de seleccionar los entornos que creaste y configuraste anteriormente.
  3. Cuando agregues la acción VirusTotal Ping, selecciona Modo dinámico. Esto garantiza que Google SecOps verifique de qué entorno proviene el caso en el tiempo de ejecución y le aplique esa instancia específica.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.