Entender la plataforma Google SecOps

En el artículo Desplazarse por la plataforma, verás que hay áreas divididas en SIEM y SOAR. Esto se debe a que la plataforma Google Security Operations proporciona herramientas para la gestión de información y eventos de seguridad (SIEM) y la orquestación, automatización y respuesta de seguridad (SOAR). Algunas partes de la plataforma Google SecOps son específicas de SIEM o SOAR, por lo que se etiquetan como tales.

Búsqueda de SIEM y búsqueda de SOAR

En la plataforma SecOps de Google, hay dos pantallas de búsqueda independientes.

La búsqueda de SIEM te dirige a la página Búsqueda de UDM, donde puedes encontrar e investigar eventos y alertas del modelo de datos unificado (UDM) en tu instancia de Google Security Operations. Puedes buscar eventos de UDM concretos o grupos de eventos de UDM mediante términos de búsqueda compartidos. La búsqueda también incluye alertas ingeridas de conectores SOAR y webhooks. Para obtener más información, consulta Búsqueda de SIEM.

La pantalla de búsqueda de SOAR se centra en dos áreas principales: casos y entidades. En esta pantalla, puede buscar casos abiertos o cerrados, o bien buscar entidades que hayan estado implicadas en casos. Puedes desglosar la información de las entidades que te interesen para ver más detalles sobre ellas. Puedes realizar acciones en bloque, como combinar casos, en los resultados de búsqueda. Para obtener más información, consulta Búsqueda de SOAR.

Paneles de control de SIEM y SOAR

Los paneles de SIEM muestran información sobre los datos de eventos de UDM. Esto incluye la telemetría de seguridad, las métricas de ingestión, las detecciones, las alertas, los indicadores de compromiso y más. Para obtener más información, consulta Paneles de SIEM.

Los paneles de control de SOAR muestran información sobre casos, guías y datos de analistas de SOC. Puedes crear paneles de control y compartirlos con otros usuarios. Para obtener más información, consulta Paneles de control de SOAR.

Configuración de SIEM y SOAR

La mayoría de las tareas de administración y configuración de SOAR se encuentran en los ajustes de SOAR, mientras que la mayoría de las tareas de administración y configuración de SIEM se encuentran en los ajustes de SIEM. Los permisos se definen por separado para cada lado de la plataforma y no hay ninguna dependencia entre ellos. Por ejemplo, puedes limitar los permisos de Playbooks en la configuración de SOAR para determinados grupos de usuarios y, al mismo tiempo, conceder permisos completos a todos los módulos en la configuración de SIEM.

Los cambios en los permisos que se gestionan con Gestión de Identidades y Accesos (IAM) se aplican inmediatamente. Sin embargo, los cambios realizados en la configuración de SOAR solo se aplican después de que el usuario cierre sesión y vuelva a iniciarla. Estos ajustes de toda la plataforma incluyen las siguientes páginas para gestionar el acceso de los usuarios: * Asignación de grupos de IdP: asigna todos los grupos de proveedores de identidades (IdPs) externos a los grupos de usuarios de la plataforma Google SecOps. * Grupos de permisos: te permite definir una página de destino predeterminada para cada grupo de usuarios. Los cambios en los permisos que se gestionan mediante Gestión de Identidades y Accesos (IAM) se aplican inmediatamente. Sin embargo, los permisos gestionados desde los ajustes de SOAR solo se aplican la próxima vez que el usuario inicie sesión en la plataforma.

Para obtener información sobre los ajustes de SIEM, consulta Ajustes de SIEM.

Para obtener más información sobre la conservación de datos, consulta el artículo Conservación de datos en tu cuenta de Google SecOps.

Para obtener información sobre los ajustes de SOAR, consulta Ajustes de SOAR.

Ingerir datos con el SIEM de SecOps y SIEMs de terceros

La plataforma Google SecOps ofrece la oportunidad de ingerir alertas no solo mediante la plataforma SIEM integrada (que ingiere registros sin procesar mediante reenviadores y feeds de datos), sino que también acepta alertas de SIEMs de terceros (a través de SOAR > Conectores y Webhooks).

De esta forma, puedes aprovechar otras SIEM, así como nuestra propia oferta de SIEM de Google SecOps. Google recomienda usar el SIEM integrado siempre que sea posible para disfrutar de una experiencia más fluida.
Las alertas procedentes tanto del SIEM integrado como de SIEMs de terceros se pueden agrupar en casos y consultar como parte de las funciones de gestión de casos. Las alertas ingeridas de SIEMs de terceros se envían al lado SIEM de la plataforma y se pueden ver mediante la búsqueda de UDM, pero no están sujetas a las reglas de SIEM integradas.