Crea tu primer caso práctico
Conocer los casos prácticos
Un caso práctico es un paquete de elementos que, en conjunto, ofrecen una solución. Por ejemplo:
- Automatizar las amenazas de phishing
- Reducir los falsos positivos
- Orquestar investigaciones de incidentes
Publicas un caso práctico en Google SecOps Marketplace y está disponible para que todos los usuarios lo utilicen.
Un paquete de casos prácticos consta de lo siguiente:
- Casos de prueba
- Conectores
- Guías
- Integraciones
- Reglas de asignación y modelado
Requisitos de publicación
Para que tu caso práctico esté listo para Google SecOps Marketplace, debe cumplir los siguientes requisitos:
- Las alertas de simulación se basan en alertas reales de un producto real.
- Todas las entidades se extraen al ejecutar la alerta de simulación en un entorno limpio.
- Todas las entidades se extraen al ejecutar la alerta real con el conector.
- La guía se ejecuta de principio a fin sin errores.
- El resultado final es un archivo ZIP que se puede importar sin errores a Google SecOps Marketplace.
- Una vez implementadas, puedes configurar las integraciones para que el manual de procedimientos se ejecute de principio a fin con alertas de simulación.
Crear un caso práctico
En esta sección se describen los pasos para crear tu primer caso práctico.
Definir el caso práctico
Para definir el caso práctico, sigue estos pasos:
- Describe la amenaza de seguridad que se está abordando.
- Especifica el tipo de alerta y el producto de detección que la genera (por ejemplo,
CrowdStrike - Falcon Overwatch` via `Malicious Activity
). - Desarrolla un proceso de respuesta, orquestación o automatización ante incidentes para gestionar esta alerta.
Preparar alertas de casos prácticos
- Crea una alerta o un evento personalizados basados en una situación real. Incluye una alerta de simulación para probar tu guía y tu caso práctico de forma coherente. Esta simulación también se incluirá en el paquete de casos prácticos.
- En Casos, haz clic en Añadir Añadir > Simular casos.
- Haz clic en Añadir.
- Rellena los campos de la alerta de simulación en función de las alertas que hayas preparado para el caso práctico:
- Crea una alerta de simulación en Google SecOps basada en tu alerta o evento de muestra.
Campo | Descripción | Ejemplo |
---|---|---|
Nombre de la fuente o del SIEM | Fuente de la alerta (por ejemplo, SIEM de Google Security Operations o herramienta de detección). Si las alertas las genera el producto y las extrae Google SecOps, añade el nombre del producto. | Arcsight |
Nombre de la regla | Nombre de la regla de SIEM de Google SecOps o de la alerta del producto de detección. Si no se utiliza ningún SIEM, use el nombre de la alerta del producto de detección. | Data Exfiltration |
Producto de alerta | Herramienta de detección que ha generado la alerta. | DLP product |
Nombre de alerta | Nombre de la alerta tal como lo genera el producto. | Data Exfiltration |
Nombre del evento | Evento base que activa la alerta. | Data Exfiltration |
Campos adicionales de alerta | Campos de SIEM adicionales o nombre de alerta si no hay ningún SIEM. | Severity, Impact, Sensitive Assets Si no se utiliza ningún SIEM, alert_name: . |
Campos adicionales de evento | Datos de seguridad sin procesar para responder a incidentes. | src_ip, dest_port, email_headers |
Extraer entidades
- Selecciona el modelo de visualización de la alerta (las entidades que Google SecOps debe extraer y las relaciones entre ellas) y asigna los campos de datos sin procesar al modelo seleccionado.
- En el evento, haz clic en Configuración Configuración. Para obtener más información, consulta los artículos Empezar a usar Google Security Operations SOAR, Crear entidades (asignación y modelado) y Asignar y modelar alertas.
- Verifica que todas las entidades se hayan creado en la pestaña Caso de Aspectos destacados de las entidades. Para ello, haz clic en Entidades destacadas > Ver más en cada entidad.
Crear una guía
Para crear un manual de estrategias, sigue estos pasos:
- Define visualmente el flujo de respuesta a incidentes de la alerta (gráfico o diagrama).
- Diseña el manual de procedimientos en Google SecOps. Para ello, descarga y configura las integraciones que quieras usar en la guía. Para obtener más información, consulta los artículos Usar Google SecOps Marketplace y Configurar integraciones.
Configurar acciones en la guía
Define los parámetros de acción, las condiciones y las ramificaciones de la siguiente manera:
- Tipo de acción: seleccione si esta acción debe ejecutarse de forma automática o manual (requiere la aprobación de un usuario).
- Elegir instancia: selecciona Dinámico.
- Si el paso falla: elige si la guía se detiene si la acción falla o si pasa a la siguiente acción.
- Entidades: seleccione los tipos de entidades a los que afecta esta acción (de los que se han extraído en su alerta de simulación).
- Otros parámetros: introduzca los parámetros específicos de la acción según la documentación de la integración.
Configurar condiciones en la guía
Para configurar las condiciones de un libro de jugadas, sigue estos pasos:
- Determina el número de sucursales que necesitas. Si es necesario, haz clic en Añadir sucursal para crear más sucursales.
- En cada rama, define las condiciones que la activan. Usa marcadores de posición (corchetes) para hacer referencia a las condiciones de los datos de eventos, los resultados de acciones anteriores y más.
- Prueba con datos reales: configura un conector que pueda extraer alertas similares a la alerta de simulación que has creado. Para obtener más información, consulta Configurar el conector.
- Prueba el conector con un ejemplo, como un conector de correo electrónico que use una alerta de correo de phishing. Para obtener más información, consulta Probar un conector.
- Verifica que:
- La misma asignación se aplica a la alerta real para que Google SecOps pueda extraer las entidades pertinentes.
- La guía se ejecuta de principio a fin en la alerta y lleva a cabo la lógica definida. Prueba con alertas maliciosas y no maliciosas.
Escribir una guía
El caso práctico que vas a crear lo usarán otros usuarios de Google SecOps. Adjunta contenido como guía para ayudar a otros usuarios a implementar el caso práctico. Puede adjuntar esta guía en Publicar caso práctico:
- Explica el caso práctico y su valor de SOC.
- Proporcionar recomendaciones de mejora.
- Incluye instrucciones para ejecutar el caso práctico con datos simulados y reales.
- Añade instrucciones de configuración para conectores e integraciones.
- Incluya la información de licencia pertinente.
- Incluye un procedimiento sobre cómo desarrollar tu primer conector.
Publicar el caso práctico
Para publicar tu caso práctico, sigue estos pasos:
- Ve a Google SecOps Marketplace y haz clic en la pestaña Casos prácticos.
- Haz clic en format_list_bulleted Lista y selecciona Crear caso práctico.
- Introduce los detalles y añade todos los elementos que hayas desarrollado (casos de prueba, manuales de procedimientos y conectores).
- Adjunta tu guía en el campo Descripción o incluye un enlace a una guía completa.
- Opcional: Haz clic en Exportar para exportar el caso práctico (ahora o más adelante) y, a continuación, en Guardar.
- Opcional: Después de hacer clic en Guardar, puedes exportar el paquete como un archivo ZIP o Importarlo para probarlo.
- Envíala para que se apruebe y se publique.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.