Ersten Anwendungsfall erstellen

Unterstützt in:
In diesem Dokument wird ein *Anwendungsfall* definiert und die Anforderungen für die Veröffentlichung eines solchen im Google Security Operations Marketplace werden beschrieben. Er bietet eine umfassende Anleitung zum Erstellen eines neuen Anwendungsfalls, von der Definition der Sicherheitsbedrohung und der Erstellung des Playbooks bis hin zur endgültigen Veröffentlichung.

Anwendungsfälle

Ein Anwendungsfall ist ein Paket von Elementen, die zusammen eine Lösung bieten, z. B.:

  • Automatisieren von Phishing-Bedrohungen
  • Falsch positive Ergebnisse reduzieren
  • Untersuchungen von Vorfällen orchestrieren

Sie veröffentlichen einen Anwendungsfall im Google SecOps Marketplace und er ist für alle Nutzer verfügbar.

Ein Anwendungsfallpaket besteht aus:

  • Testläufe
  • Connectors
  • Playbooks
  • Integrationen
  • Regeln für Zuordnung und Modellierung

Anforderungen für die Veröffentlichung

Damit Ihr Anwendungsfall für den Google SecOps Marketplace geeignet ist, muss er die folgenden Anforderungen erfüllen:

  • Simulationsbenachrichtigungen basieren auf echten Benachrichtigungen eines echten Produkts.
  • Alle Entitäten werden extrahiert, wenn der Simulationsalarm in einer sauberen Umgebung ausgeführt wird.
  • Alle Entitäten werden extrahiert, wenn die tatsächliche Benachrichtigung mit dem Connector ausgeführt wird.
  • Das Playbook wird ohne Fehler ausgeführt.
  • Die endgültige Ausgabe ist ein ZIP-Datei-Export, der fehlerfrei in Google SecOps Marketplace importiert werden kann.
  • Nach der Bereitstellung können Sie die Integrationen so konfigurieren, dass das Playbook mit Simulationsbenachrichtigungen vollständig ausgeführt wird.

Anwendungsfall erstellen

In diesem Abschnitt wird beschrieben, wie Sie Ihren ersten Anwendungsfall erstellen.

Anwendungsfall definieren

So definieren Sie den Anwendungsfall:

  1. Beschreiben Sie die Sicherheitsbedrohung, die behoben wird.
  2. Geben Sie den Benachrichtigungstyp und das Erkennungsprodukt an, das die Benachrichtigung generiert (z. B. CrowdStrike - Falcon Overwatch` via `Malicious Activity).
  3. Entwickeln Sie einen Prozess für die Reaktion auf Vorfälle, die Orchestrierung oder die Automatisierung, um diese Benachrichtigung zu bearbeiten.

Benachrichtigungen für Anwendungsfälle vorbereiten

  1. Erstellen Sie eine benutzerdefinierte Benachrichtigung oder ein benutzerdefiniertes Ereignis basierend auf einem realen Szenario. Fügen Sie einen Simulationsalarm hinzu, um Ihr Playbook und Ihren Anwendungsfall konsistent zu testen. Diese Simulation ist ebenfalls im Anwendungsfallpaket enthalten.
  2. Klicken Sie unter Fälle auf Hinzufügen  > Fälle simulieren.
  3. Klicken Sie auf Hinzufügen.
  4. Füllen Sie die Felder der Simulationsbenachrichtigung anhand der Benachrichtigungen aus, die Sie für den Anwendungsfall vorbereitet haben:
    5. Feld Beschreibung Beispiel
    Quelle\SIEM-Name Quelle der Benachrichtigung, z. B. Google Security Operations SIEM oder Erkennungstool. Wenn Warnungen vom Produkt generiert und von Google SecOps abgerufen werden, fügen Sie den Produktnamen hinzu. Arcsight
    Regelname Name der Google SecOps SIEM-Regel oder des Warnungsprodukts für die Erkennung. Wenn kein SIEM beteiligt ist, verwenden Sie den Namen des Alerts aus dem Erkennungsprodukt. Data Exfiltration
    Benachrichtigung auslösendes Produkt Das Erkennungstool, das die Benachrichtigung generiert hat. DLP product
    Name der Benachrichtigung Der Name der Benachrichtigung, wie er vom Produkt generiert wird. Data Exfiltration
    Ereignisname Das Basisereignis, das die Benachrichtigung auslöst. Data Exfiltration
    Zusätzliche Benachrichtigungsfelder Zusätzliche SIEM-Felder oder der Name der Benachrichtigung, wenn kein SIEM vorhanden ist. Severity, Impact, Sensitive Assets Wenn kein SIEM beteiligt ist, alert_name:.
    Zusätzliche Ereignisfelder Rohdaten zur Sicherheit für die Reaktion auf Vorfälle. src_ip, dest_port, email_headers
  5. Erstellen Sie in Google SecOps eine Simulationsbenachrichtigung basierend auf Ihrer Beispielbenachrichtigung oder Ihrem Beispielereignis.

Entitäten extrahieren

  1. Wählen Sie das Visualisierungsmodell für die Benachrichtigung aus (die Entitäten, die Google SecOps extrahieren soll, und die Beziehungen zwischen ihnen) und ordnen Sie Rohdatenfelder dem ausgewählten Modell zu.
  2. Klicken Sie beim Termin auf die Einstellungen Konfiguration. Weitere Informationen finden Sie unter Erste Schritte mit Google Security Operations SOAR, Entitäten erstellen (Zuordnung und Modellierung) und Benachrichtigungen zuordnen und modellieren.
  3. Prüfen Sie, ob alle Entitäten auf dem Tab Fall unter Entitäten-Highlights erstellt wurden. Klicken Sie dazu für jede Entität auf Entitäten-HighlightsMehr anzeigen.

Playbook erstellen

So erstellen Sie ein Playbook:

  1. Definieren Sie den Incident-Response-Ablauf für die Benachrichtigung visuell (Diagramm oder Schema).
  2. Playbook in Google SecOps entwerfen Laden Sie dazu die Integrationen herunter, die Sie im Playbook verwenden möchten, und konfigurieren Sie sie. Weitere Informationen finden Sie unter Google SecOps Marketplace verwenden und Integrationen konfigurieren.

Aktionen im Playbook konfigurieren

Legen Sie Aktionsparameter, Bedingungen und Zweige so fest:

  1. Aktionstyp: Wählen Sie aus, ob diese Aktion automatisch oder manuell (mit Genehmigung durch einen Menschen) ausgeführt werden soll.
  2. Instanz auswählen: Wählen Sie Dynamisch aus.
  3. Wenn Schritt fehlschlägt: Wählen Sie aus, ob das Playbook beendet werden soll, wenn die Aktion fehlschlägt, oder ob zum nächsten Schritt gesprungen werden soll.
  4. Entitäten: Wählen Sie die Entitätstypen aus, auf die sich diese Aktion auswirkt (aus den in Ihrer Simulationsbenachrichtigung extrahierten).
  5. Andere Parameter: Geben Sie die aktionsspezifischen Parameter gemäß der Integrationsdokumentation ein.

Bedingungen im Playbook konfigurieren

So konfigurieren Sie Bedingungen im Playbook:

  1. Ermitteln Sie die Anzahl der benötigten Branches. Klicken Sie bei Bedarf auf Branch hinzufügen, um weitere Branches zu erstellen.
  2. Legen Sie für jeden Zweig die Bedingungen fest, die ihn auslösen. Verwenden Sie Platzhalter (eckige Klammern), um auf Bedingungen aus Ereignisdaten, Ergebnissen vorheriger Aktionen usw. zu verweisen.
    3. Tools verwenden, die Sie in Ihrem Ablauf testen können.
  3. Mit Live-Daten testen: Richten Sie einen Connector ein, mit dem Benachrichtigungen abgerufen werden können, die der von Ihnen erstellten Simulationsbenachrichtigung ähneln. Weitere Informationen finden Sie unter Connector konfigurieren.
  4. Testen Sie den Connector mit einem Beispiel, z. B. einem E‑Mail-Connector mit einer Phishing-E‑Mail-Benachrichtigung. Weitere Informationen finden Sie unter Connector testen.
  5. Prüfen Sie Folgendes:
    • Dieselbe Zuordnung gilt für die tatsächliche Benachrichtigung, damit Google SecOps die relevanten Entitäten extrahieren kann.
    • Das Playbook wird für die Benachrichtigung vollständig ausgeführt und führt die definierte Logik aus. Testen Sie sowohl mit schädlichen als auch mit nicht schädlichen Benachrichtigungen.

Anleitung schreiben

Der Anwendungsfall, den Sie erstellen, wird von anderen Google SecOps-Nutzern verwendet. Hängen Sie Inhalte als Anleitung an, damit andere Nutzer den Anwendungsfall implementieren können. Sie können diesen Leitfaden im Anwendungsbereich veröffentlichen anhängen:

  • Erkläre den Anwendungsfall und seinen SOC-Wert.
  • Geben Sie Empfehlungen zur Verbesserung.
  • Fügen Sie eine Anleitung zum Ausführen des Anwendungsfalls mit Simulation und echten Daten hinzu.
  • Anleitung zum Einrichten von Connectors und Integrationen hinzufügen
  • Geben Sie alle relevanten Lizenzinformationen an.
  • Fügen Sie eine Anleitung zum Entwickeln Ihres ersten Connectors hinzu.

Anwendungsfall veröffentlichen

So veröffentlichen Sie Ihren Anwendungsfall:

  1. Rufen Sie den Google SecOps Marketplace auf und klicken Sie auf den Tab Anwendungsfälle.
  2. Klicken Sie auf  format_list_bulleted Liste und wählen Sie Neuen Anwendungsfall erstellen aus.
  3. Geben Sie die Details ein und fügen Sie alle von Ihnen entwickelten Elemente hinzu (Testläufe, Playbooks und Connectors).
  4. Hängen Sie Ihr Handbuch an das Feld Beschreibung an oder verlinken Sie auf ein vollständiges Handbuch.
  5. Optional: Klicken Sie auf Exportieren, um den Anwendungsfall jetzt oder später zu exportieren, und klicken Sie auf Speichern.
  6. Optional: Nachdem Sie auf Speichern geklickt haben, können Sie das Paket als ZIP-Datei exportieren oder zum Testen importieren.
  7. Zur Genehmigung einreichen, um sie zu veröffentlichen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten