Exécuter des cas d'utilisation

Compatible avec :

Dans Google Security Operations, un cas d'utilisation est une unité de déploiement préconfigurée conçue pour accélérer l'implémentation des workflows. Chaque package sert de plan fonctionnel et fournit les éléments nécessaires pour modéliser, ingérer et automatiser les opérations de sécurité.

Google Security Operations fournit un dépôt de cas d'utilisation que vous pouvez déployer dans votre environnement. Ces cas d'utilisation sont disponibles au téléchargement dans le Hub de contenu.

Composants du cas d'utilisation

Chaque cas d'utilisation comprend les composants suivants dont vous avez besoin pour exécuter un workflow complet :

  • Un cas de test conçu pour déclencher le workflow de validation.
  • Mappez et modélisez les schémas pour prendre en charge la normalisation des données.
  • Packages d'intégration sous-jacents requis pour le workflow.
  • Connecteurs prédéfinis pour les sources de journaux ou les API externes.
  • Des playbooks qui définissent la logique et les actions de réponse automatisées.

Vous trouverez tous les packages de cas d'utilisation dans le Google SecOps Content Hub. Chacun d'eux indique exactement ce qu'il inclut et est généralement accompagné d'une vidéo montrant comment le faire fonctionner avec des données fictives ou réelles.

Une fois que tout est configuré, vous pouvez exécuter les cas de test depuis la page Cas.

Exemple : Exécuter le cas d'utilisation "De zéro à héros"

Cet exemple montre comment exécuter le cas d'utilisation de base sur le hameçonnage (de zéro à héros) à partir du Google SecOps Content Hub.

  1. Accédez au Google SecOps Content Hub.
  2. Sélectionnez l'onglet Cas d'utilisation, filtrez sur le cas d'utilisation De zéro à héros, puis cliquez sur Exécuter le cas d'utilisation.
  3. Cliquez sur Exécuter le cas d'utilisation. Remarque : Nous vous recommandons de regarder la présentation technique de cinq minutes intégrée avant de continuer avec l'assistant.
  4. Sur la page Présentation, vérifiez les intégrations, les playbooks et les scénarios de test spécifiques à regrouper. Notez les deux exemples d'e-mails fournis (malveillants et non malveillants) qui peuvent être ingérés à l'aide du connecteur d'e-mails. Cliquez sur Suivant lorsque vous êtes prêt.
  5. Sur la page Installer les éléments du cas d'utilisation, vérifiez la liste des composants (intégrations, playbooks et cas de simulation), puis cliquez sur Installer.
  6. Une fois l'installation terminée, cliquez sur Suivant.

    runusecases1
    Installer un cas d'utilisation

  7. Assurez-vous de définir correctement tous les champs et paramètres pertinents pour configurer les intégrations. Une fois la configuration terminée et testée, cliquez sur Suivant.
  8. Sélectionnez l'alerte à simuler, puis cliquez sur Suivant pour simuler automatiquement le cas. Si vous ne sélectionnez pas l'alerte à simuler, accédez à Cas dans le lien, cliquez sur Ajouter Ajouter, puis sélectionnez Simuler des cas.
  9. Lorsque la notification Félicitations s'affiche, passez en revue les étapes suivantes, cliquez sur Terminer, puis accédez à la page Demandes. Passez ensuite à la dernière étape de cette procédure.

    runusecases2
    Confirmation du déploiement

  10. Sélectionnez le cas d'utilisation Zero to Hero, puis cliquez sur Create (Créer).
  11. Sélectionnez l'environnement par défaut, puis cliquez sur Simuler.
  12. Cliquez sur Actualiser. Une demande est créée dans Google SecOps, avec un playbook joint à l'alerte.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.