Crea tu primer caso de uso

Compatible con:
En este documento, se define un *caso de uso* y se describen los requisitos para publicar uno en Google Security Operations Marketplace. Proporciona una guía integral para crear un caso de uso nuevo, desde la definición de la amenaza de seguridad y la creación del manual hasta la publicación final.

Comprende los casos de uso

Un caso de uso es un paquete de elementos que, en conjunto, proporcionan una solución, como los siguientes:

  • Automatización de amenazas de phishing
  • Cómo reducir los falsos positivos
  • Organización de investigaciones de incidentes

Publicas un caso de uso en Google SecOps Marketplace, y está disponible para que todos los usuarios lo usen.

Un paquete de casos de uso consta de lo siguiente:

  • Casos de prueba
  • Conectores
  • Guías
  • Integraciones
  • Reglas de asignación y modelado

Requisitos de publicación

Para asegurarte de que tu caso de uso esté listo para Google SecOps Marketplace, debe cumplir con los siguientes requisitos:

  • Las alertas de simulación se basan en alertas reales de un producto real.
  • Todas las entidades se extraen cuando se ejecuta la alerta de simulación en un entorno limpio.
  • Todas las entidades se extraen cuando se ejecuta la alerta real con el conector.
  • La guía se ejecuta de principio a fin sin errores.
  • El resultado final es una exportación de archivo ZIP que se puede importar sin errores a Google SecOps Marketplace.
  • Cuando se implementa, puedes configurar las integraciones para que la guía se ejecute de extremo a extremo con alertas de simulación.

Crea un caso de uso

En esta sección, se describen los pasos para crear tu primer caso de uso.

Define el caso de uso

Para definir el caso de uso, sigue estos pasos:

  1. Describe la amenaza de seguridad que se aborda.
  2. Especifica el tipo de alerta y el producto de detección que la genera (por ejemplo, CrowdStrike - Falcon Overwatch` via `Malicious Activity).
  3. Desarrolla un proceso de respuesta ante incidentes, organización o automatización para controlar esta alerta.

Prepara alertas de casos de uso

  1. Crea una alerta o un evento personalizados basados en una situación del mundo real. Incluye una alerta de simulación para probar tu manual de tácticas y caso de uso de forma coherente. Esta simulación también se incluirá como parte del paquete de casos de uso.
  2. En Cases, haz clic en add Add > Simulate Cases.
  3. Haga clic en Agregar.
  4. Completa los campos de la alerta de simulación según las alertas que preparaste para el caso de uso:
    5. Campo Descripción Ejemplo
    Nombre de la fuente o del SIEM Fuente de la alerta (por ejemplo, SIEM de Google Security Operations, herramienta de detección) Si el producto genera alertas y Google SecOps las extrae, agrega el nombre del producto. Arcsight
    Nombre de la regla Nombre de la regla de la SIEM de Google SecOps o de la alerta del producto de detección. Si no se utiliza ningún SIEM, usa el nombre de la alerta del producto de detección. Data Exfiltration
    Producto de la alerta Es la herramienta de detección que generó la alerta. DLP product
    Nombre de la alerta Es el nombre de la alerta que genera el producto. Data Exfiltration
    Nombre del evento Es el evento base que activa la alerta. Data Exfiltration
    Campos de alerta adicionales Campos adicionales del SIEM o nombre de la alerta (si no hay SIEM) Severity, Impact, Sensitive Assets Si no se incluye ningún SIEM, alert_name:.
    Campos de evento adicionales Datos de seguridad sin procesar para la respuesta ante incidentes src_ip, dest_port, email_headers
  5. Crea una alerta de simulación en Google SecOps basada en tu alerta o evento de muestra.

Extrae entidades

  1. Selecciona el modelo de visualización para la alerta (las entidades que Google SecOps debe extraer y las relaciones entre ellas) y asocia los campos de datos sin procesar al modelo seleccionado.
  2. En el evento, haz clic en Configuración Configuración. Para obtener más detalles, consulta Cómo comenzar a utilizar Google Security Operations SOAR, Crear entidades (asignación y modelado) y Asignar y modelar alertas.
  3. Verifica que todas las entidades se hayan creado en la pestaña Case de Entities Highlights. Para ello, haz clic en Resaltados de entidades > Ver más en cada entidad.

Crea una guía

Para crear un manual, haz lo siguiente:

  1. Define visualmente el flujo de respuesta ante incidentes (gráfico o diagrama) para la alerta.
  2. Diseña el playbook en Google SecOps. Para ello, descarga y configura las integraciones que se usarán en el manual. Para obtener más información, consulta Google SecOps: Usa Google SecOps Marketplace y Configura integraciones.

Configura acciones en la guía

Establece los parámetros de acción, las condiciones y las ramas de la siguiente manera:

  1. Tipo de acción: Selecciona si esta acción debe ejecutarse de forma automática o manual (requiere aprobación humana).
  2. Elegir instancia: Selecciona Dinámica.
  3. If Step Fails: Elige si el playbook se detiene si falla la acción o si se salta a la siguiente.
  4. Entidades: Selecciona los tipos de entidades que afecta esta acción (de las que se extrajeron en la alerta de simulación).
  5. Otros parámetros: Ingresa los parámetros específicos de la acción según la documentación de la integración.

Configura condiciones en la guía

Para configurar condiciones en el playbook, sigue estos pasos:

  1. Determina la cantidad de ramas necesarias. Si es necesario, haz clic en Agregar rama para crear ramas adicionales.
  2. Para cada rama, define las condiciones que la activan. Usa marcadores de posición (corchetes) para hacer referencia a condiciones de los datos de eventos, resultados de acciones anteriores y mucho más.
    3. Usa herramientas que puedas probar en tu flujo.
  3. Prueba con datos reales: Configura un conector que pueda extraer alertas similares a la alerta de simulación que creaste. Para obtener más información, consulta Cómo configurar el conector.
  4. Prueba el conector con un ejemplo, como un conector de correo electrónico que use una alerta de correo electrónico de phishing. Para obtener más información, consulta Cómo probar un conector.
  5. Verifica lo siguiente:
    • La misma asignación se aplica a la alerta real para que Google SecOps pueda extraer las entidades pertinentes.
    • La guía se ejecuta de principio a fin en la alerta y realiza la lógica definida. (Prueba con alertas maliciosas y no maliciosas).

Escribe una guía

Otros usuarios de SecOps de Google usarán el caso de uso que crees. Adjunta contenido como guía para ayudar a otros usuarios a implementar el caso de uso. Puedes adjuntar esta guía en el caso de uso de publicación:

  • Explica el caso de uso y su valor para el SOC.
  • Proporcionar recomendaciones para mejorar
  • Incluye instrucciones para ejecutar el caso de uso con datos simulados y reales.
  • Se agregaron instrucciones de configuración para conectores e integraciones.
  • Incluye toda la información de licencias pertinente.
  • Incluye un procedimiento para desarrollar tu primer conector.

Publica el caso de uso

Para publicar tu caso de uso, sigue estos pasos:

  1. Ve a Google SecOps Marketplace y haz clic en la pestaña Casos de uso.
  2. Haz clic en format_list_bulleted Lista y selecciona Crear caso de uso nuevo.
  3. Ingresa los detalles y agrega todos los elementos que desarrollaste (casos de prueba, manuales y conectores).
  4. Adjunta tu guía en el campo Descripción o incluye un vínculo a una guía completa.
  5. Opcional: Haz clic en Exportar para exportar el caso de uso (ahora o más adelante) y, luego, en Guardar.
  6. Opcional: Después de hacer clic en Guardar, puedes exportar el paquete como un archivo ZIP o importarlo para realizar pruebas.
  7. Envía el anuncio para su aprobación y publicación.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.