Comprende la plataforma de Google SecOps

Compatible con:

En el artículo Navega por la plataforma, verás que hay áreas divididas en SIEM y SOAR. Esto se debe a que la plataforma de Google Security Operations proporciona herramientas para la administración de información y eventos de seguridad (SIEM) y la organización, automatización y respuesta de seguridad (SOAR). Algunas partes de la plataforma de SecOps de Google son específicas para SIEM o SOAR, por lo que se etiquetan como tales.

En la plataforma de Google SecOps, hay dos pantallas de búsqueda separadas.

La búsqueda de SIEM te dirige a la página Búsqueda de UDM, en la que puedes encontrar e investigar eventos y alertas del modelo de datos unificado (UDM) en tu instancia de Google Security Operations. Puedes buscar eventos de UDM individuales o grupos de eventos de UDM con términos de búsqueda compartidos. La búsqueda también incluye alertas transferidas desde conectores y webhooks de SOAR. Para obtener más información, consulta Búsqueda en SIEM.

La pantalla de búsqueda de SOAR se enfoca en dos áreas principales: casos y entidades. En esta pantalla, puedes buscar casos abiertos o cerrados, o bien buscar entidades que hayan participado en casos. Puedes explorar en detalle las entidades que buscas para ver más información sobre ellas. Puedes realizar acciones masivas, como combinar casos, en los resultados de la búsqueda. Para obtener más información, consulta Búsqueda de SOAR.

Paneles de SIEM y paneles de SOAR

Los paneles de SIEM muestran información sobre los datos de tus eventos del UDM. Esto incluye telemetría de seguridad, métricas de transferencia, detecciones, alertas, IOC y mucho más. Para obtener más información, consulta Paneles de SIEM.

Los paneles de SOAR muestran información sobre casos, guías y datos de los analistas del SOC. Puedes crear paneles nuevos y compartirlos con otros usuarios. Para obtener más información, consulta Paneles de SOAR.

Configuración de SIEM y configuración de SOAR

La mayor parte de la administración y la configuración de SOAR se encuentran en la configuración de SOAR, y la mayor parte de la administración y la configuración de SIEM se encuentran en la configuración de SIEM. Los permisos se configuran por separado para cada lado de la plataforma y no hay dependencia entre ellos. Por ejemplo, puedes limitar los permisos a los Playbooks en la configuración de SOAR para ciertos grupos de usuarios y otorgar permisos completos a todos los módulos en la configuración de SIEM.

Los cambios de permisos que se administran con Identity and Access Management (IAM) se aplican de inmediato. Sin embargo, los cambios realizados en la configuración de SOAR solo se aplican después de que el usuario sale y vuelve a acceder. Estos parámetros de configuración en toda la plataforma incluyen las siguientes páginas para administrar el acceso de los usuarios: * Asignación de grupos de IdP: Asigna todos los grupos de proveedores de identidad (IdP) externos a los grupos de usuarios de la plataforma de SecOps de Google. * Grupos de permisos: Te permite definir una página de destino predeterminada para cada grupo de usuarios. Los cambios en los permisos que se administran con Identity and Access Management (IAM) se aplican de inmediato. Sin embargo, los permisos que se administran desde la configuración de SOAR solo se aplican la próxima vez que el usuario accede a la plataforma.

Para obtener información sobre la configuración del SIEM, consulta Configuración del SIEM.

Para obtener detalles sobre la retención de datos, consulta Retención de datos en tu cuenta de Google SecOps.

Para obtener información sobre la configuración de SOAR, consulta Configuración de SOAR.

Ingiere datos con el SIEM de SecOps y los SIEM de terceros

La plataforma de Google SecOps ofrece la oportunidad no solo de transferir alertas con la plataforma SIEM integrada (que transfiere registros sin procesar con reenvíos y feeds de datos), sino que también acepta alertas de SIEM de terceros (a través de SOAR > Conectores y Webhooks).

Esto te brinda la flexibilidad de aprovechar otros SIEM, así como nuestra propia oferta de SIEM de Google SecOps. Google recomienda usar el SIEM integrado siempre que sea posible para disfrutar de una experiencia más fluida.
Las alertas que se transfieren desde el SIEM integrado y los SIEM de terceros se pueden agrupar en casos y analizar como parte de las funciones de administración de casos. Las alertas transferidas desde SIEM de terceros se envían al lado del SIEM de la plataforma y se pueden ver con la búsqueda de UDM, pero no están sujetas a las reglas integradas del SIEM.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.