Anwendungsfälle ausführen

In Google Security Operations ist ein Anwendungsfall eine vorkonfigurierte Bereitstellungseinheit, die die Implementierung von Arbeitsabläufen beschleunigen soll. Jedes Paket dient als funktionales Konzept und stellt die erforderlichen Assets zum Modellieren, Erfassen und Automatisieren von Sicherheitsvorgängen bereit.

Google Security Operations bietet ein Repository mit Anwendungsfällen, die Sie in Ihrer Umgebung bereitstellen können. Diese Anwendungsfälle können aus dem Content Hub heruntergeladen werden.

Komponenten des Anwendungsfalls

Jeder Anwendungsfall umfasst die folgenden Komponenten, die Sie zum Ausführen eines vollständigen Workflows benötigen:

• Ein Testlauf, der den Workflow zur Validierung auslösen soll.
• Zuordnungs- und Modellierungsschemas zur Unterstützung der Datennormalisierung.
• Die zugrunde liegenden Integrationspakete, die für den Workflow erforderlich sind.
• Vordefinierte Connectors für externe Protokollquellen oder APIs.
• Playbooks, in denen die automatisierte Logik und die Reaktionsmaßnahmen definiert sind.

Alle Anwendungsfallpakete finden Sie im Google SecOps Content Hub. In jeder Anleitung wird genau aufgeführt, was enthalten ist. In der Regel gibt es auch ein Video, in dem gezeigt wird, wie Sie die Anleitung mit Mock- oder Live-Daten ausführen.

Sobald alles eingerichtet ist, können Sie die Testläufe auf der Seite Cases ausführen.

Beispiel: Zero-to-Hero-Anwendungsfall ausführen

In diesem Beispiel wird gezeigt, wie Sie den grundlegenden Phishing-Anwendungsfall (Zero to Hero) aus dem Google SecOps Content Hub ausführen.

1. Rufen Sie den Google SecOps Content Hub auf.
2. Wählen Sie den Tab Anwendungsfall aus, filtern Sie nach dem Anwendungsfall Zero to Hero und klicken Sie auf Anwendungsfall ausführen.
3. Klicken Sie auf Anwendungsfall ausführen. Hinweis: Wir empfehlen, sich vor dem Fortfahren mit dem Assistenten den eingebetteten fünfminütigen technischen Walkthrough anzusehen.
4. Prüfen Sie auf der Übersichtsseite, welche Integrationen, Playbooks und Testläufe gebündelt werden sollen. Beachten Sie die beiden bereitgestellten E-Mail-Beispiele (schädlich und nicht schädlich), die über den E-Mail-Connector aufgenommen werden können. Klicken Sie auf Weiter, wenn Sie fertig sind.
5. Prüfen Sie auf der Seite Use-Case-Elemente installieren die Asset-Liste (Integrationen, Playbooks und Simulationsfälle) und klicken Sie auf Installieren.
6. Klicken Sie nach Abschluss der Installation auf Weiter.

   
   

   
   
7. Achten Sie darauf, dass Sie alle relevanten Felder und Parameter korrekt definieren, um die Integrationen zu konfigurieren. Wenn Sie die Konfiguration abgeschlossen und getestet haben, klicken Sie auf Weiter.
8. Wählen Sie die Benachrichtigung für die Simulation aus und klicken Sie auf Weiter, um den Fall automatisch zu simulieren. Wenn Sie die Benachrichtigung nicht für die Simulation auswählen, rufen Sie über den Link Fälle auf, klicken Sie auf Hinzufügen Hinzufügen und wählen Sie Fälle simulieren aus.
9. Wenn Sie die Benachrichtigung Herzlichen Glückwunsch sehen, prüfen Sie die nächsten Schritte, klicken Sie auf Fertigstellen und rufen Sie die Seite Fälle auf. Fahren Sie dann mit dem letzten Schritt dieser Anleitung fort.

   
   

   
   
10. Wählen Sie den Anwendungsfall Zero to Hero aus und klicken Sie auf Erstellen.
11. Wählen Sie die Standardumgebung aus und klicken Sie auf Simulieren.
12. Klicken Sie auf Aktualisieren. In Google SecOps wird ein neuer Fall erstellt, dem im Rahmen der Benachrichtigung ein Playbook angehängt ist.