Développer votre premier cas d'utilisation
Comprendre les cas d'utilisation
Un cas d'utilisation est un ensemble d'éléments qui, ensemble, fournissent une solution, par exemple :
- Automatisation des menaces de phishing
- Réduction des faux positifs
- Orchestration des investigations d'incidents
Vous publiez un cas d'utilisation dans le Content Hub, et il est disponible pour tous les utilisateurs.
Un package de cas d'utilisation comprend les éléments suivants :
- Scénarios de test
- Connecteurs
- Playbooks
- Intégrations
- Règles de mappage et de modélisation
Exigences de publication
Pour vous assurer que votre cas d'utilisation est prêt pour le Content Hub, il doit répondre aux exigences suivantes :
- Les alertes de simulation sont basées sur des alertes réelles provenant d'un produit réel.
- Toutes les entités sont extraites lors de l'exécution de l'alerte de simulation dans un environnement propre.
- Toutes les entités sont extraites lors de l'exécution de l'alerte réelle avec le connecteur.
- Le playbook s'exécute de bout en bout sans erreur.
- La sortie finale est une exportation de fichier ZIP qui peut être importée sans erreur dans le Content Hub.
- Une fois déployées, vous pouvez configurer les intégrations pour que le playbook s'exécute de bout en bout avec des alertes de simulation.
Créer un cas d'utilisation
Cette section décrit les étapes à suivre pour créer votre premier cas d'utilisation.
Définir le cas d'utilisation
Pour définir le cas d'utilisation, procédez comme suit :
- Décrivez la menace de sécurité traitée.
- Spécifiez le type d'alerte et le produit de détection qui la génère (par exemple,
CrowdStrike - Falcon Overwatch` via `Malicious Activity). - Développez un processus de réponse aux incidents, d'orchestration ou d'automatisation pour gérer cette alerte.
Préparer les alertes de cas d'utilisation
- Créez une alerte personnalisée ou un événement basé sur un scénario réel. Incluez une alerte de simulation pour tester votre playbook et votre cas d'utilisation de manière cohérente. Cette simulation sera également incluse dans le package de cas d'utilisation.
- Dans Cases (Demandes), cliquez sur add Add > Simulate Cases (Ajouter > Simuler des demandes).
- Cliquez sur Add (Ajouter).
- Remplissez les champs de l'alerte de simulation en fonction des alertes que vous avez préparées pour le cas d'utilisation :
- Créez une alerte de simulation dans Google SecOps, en fonction de votre alerte ou événement exemple.
| Champ | Description | Exemple |
|---|---|---|
| Source/Nom SIEM | Source de l'alerte (par exemple, Google Security Operations SIEM, outil de détection). Si les alertes sont générées par le produit et extraites par Google SecOps, ajoutez le nom du produit. | Arcsight |
| Nom de la règle | Nom de l'alerte de la règle Google SecOps SIEM ou du produit de détection. Si aucun SIEM n'est impliqué, utilisez le nom de l'alerte du produit de détection. | Data Exfiltration |
| Produit d'alerte | Outil de détection qui a généré l'alerte. | DLP product |
| Nom de l'alerte | Nom de l'alerte tel qu'il est généré par le produit. | Data Exfiltration |
| Nom de l'événement | Événement de base déclenchant l'alerte. | Data Exfiltration |
| Champs d'alerte supplémentaires | Champs SIEM supplémentaires ou nom de l'alerte si aucun SIEM n'est présent. | Severity, Impact, Sensitive Assets Si aucun SIEM n'est impliqué, alert_name:. |
| Champs d'événement supplémentaires | Données de sécurité brutes pour la réponse aux incidents. | src_ip, dest_port, email_headers |
Extraire les entités
- Sélectionnez le modèle de visualisation de l'alerte (les entités que Google SecOps doit extraire et les relations entre elles), puis mappez les champs de données brutes au modèle sélectionné.
- Dans l'événement, cliquez sur settings Configuration. Pour en savoir plus, consultez Premiers pas avec Google Security Operations SOAR, Créer des entités (mappage et modélisation), et Mapper et modéliser des alertes.
- Vérifiez que toutes les entités sont créées sous l'onglet Case (Demande) dans Entities Highlights (Entités mises en évidence). Pour ce faire, cliquez sur Entities Highlights > View More (Entités mises en évidence > Afficher plus) pour chaque entité.
Créer un playbook
Pour créer un playbook, procédez comme suit :
- Définissez visuellement le flux de réponse aux incidents (graphique ou diagramme) pour l'alerte.
- Concevez le playbook dans Google SecOps. Pour ce faire, téléchargez et configurez les intégrations à utiliser dans le playbook. Pour en savoir plus, consultez Configurer des intégrations.
Configurer des actions dans le playbook
Définissez les paramètres, les conditions et les branches de l'action comme suit :
- Action Type (Type d'action) : sélectionnez si cette action doit s'exécuter automatiquement ou manuellement (nécessite une approbation humaine).
- Choose Instance (Choisir une instance) : sélectionnez Dynamic (Dynamique).
- If Step Fails (En cas d'échec de l'étape) : choisissez si le playbook s'arrête en cas d'échec de l'action ou s'il passe à l'action suivante.
- Entities (Entités) : sélectionnez les types d'entités affectés par cette action (parmi ceux extraits dans votre alerte de simulation).
- Other parameters (Autres paramètres) : saisissez les paramètres spécifiques à l'action en fonction de la documentation de l'intégration.
Configurer des conditions dans le playbook
Pour configurer des conditions dans le playbook, procédez comme suit :
- Déterminez le nombre de branches nécessaires. Si nécessaire, cliquez sur Add Branch (Ajouter une branche) pour créer des branches supplémentaires.
- Pour chaque branche, définissez les conditions qui la déclenchent. Utilisez des espaces réservés (crochets) pour faire référence aux conditions à partir des données d'événement, des résultats d'actions précédentes, etc.
- Testez avec des données en direct : configurez un connecteur capable d'extraire des alertes semblables à l'alerte de simulation que vous avez créée. Pour en savoir plus, consultez Configurer le connecteur.
- Testez le connecteur avec un exemple, tel qu'un connecteur de messagerie utilisant une alerte d'e-mail de phishing. Pour en savoir plus, consultez Tester un connecteur.
- Vérifiez les points suivants :
- Le même mappage s'applique à l'alerte réelle afin que Google SecOps puisse extraire les entités pertinentes.
- Le playbook s'exécute de bout en bout sur l'alerte et effectue la logique définie. (Testez avec des alertes malveillantes et non malveillantes.)
Rédiger un guide
Le cas d'utilisation que vous créez sera utilisé par d'autres utilisateurs de Google SecOps. Joignez du contenu sous forme de guide pour aider les autres utilisateurs à implémenter le cas d'utilisation. Vous pouvez joindre ce guide dans Publish Use Case (Publier un cas d'utilisation) :
- Expliquez le cas d'utilisation et sa valeur SOC.
- Fournissez des recommandations d'amélioration.
- Incluez des instructions pour exécuter le cas d'utilisation avec des données de simulation et des données réelles.
- Ajoutez des instructions de configuration pour les connecteurs et les intégrations.
- Incluez toutes les informations de licence pertinentes.
- Incluez une procédure sur la façon de développer votre premier connecteur.
Publier le cas d'utilisation
Pour publier votre cas d'utilisation, procédez comme suit :
- Accédez à Content Hub , puis cliquez sur l'onglet Use Cases (Cas d'utilisation).
- Cliquez sur format_list_bulleted List (Liste), puis sélectionnez Create New Use Case (Créer un cas d'utilisation).
- Saisissez les informations et ajoutez tous les éléments que vous avez développés (scénarios de test, playbooks et connecteurs).
- Joignez votre guide dans le champ Description ou créez un lien vers un guide complet.
- (Facultatif) Cliquez sur Export (Exporter) pour exporter le cas d'utilisation (maintenant ou plus tard), puis cliquez sur Save (Enregistrer).
- (Facultatif) Après avoir cliqué sur Save (Enregistrer), vous pouvez exporter le package sous forme de fichier ZIP ou l'importer pour le tester.
- Envoyez-le pour approbation afin de le publier.
Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels de Google SecOps.