Créer votre premier cas d'utilisation

Compatible avec :
Ce document définit un *cas d'utilisation* et décrit les exigences à respecter pour en publier un sur Google Security Operations Marketplace. Il fournit un guide complet pour créer un cas d'utilisation, de la définition de la menace de sécurité à la création du playbook et à la publication finale.

Comprendre les cas d'utilisation

Un cas d'utilisation est un ensemble d'éléments qui, ensemble, fournissent une solution, par exemple :

  • Automatiser les menaces de phishing
  • Réduire les faux positifs
  • Orchestrer les investigations sur les incidents

Vous publiez un cas d'utilisation sur Google SecOps Marketplace, et il est disponible pour tous les utilisateurs.

Un package de cas d'utilisation se compose des éléments suivants :

  • Scénarios de test
  • Connecteurs
  • Guides
  • Intégrations
  • Règles de mappage et de modélisation

Exigences de publication

Pour que votre cas d'utilisation soit prêt pour Google SecOps Marketplace, il doit répondre aux exigences suivantes :

  • Les alertes de simulation sont basées sur des alertes réelles d'un produit réel.
  • Toutes les entités sont extraites lorsque l'alerte de simulation est exécutée dans un environnement propre.
  • Toutes les entités sont extraites lorsque l'alerte réelle est exécutée avec le connecteur.
  • Le playbook s'exécute de bout en bout sans erreur.
  • Le résultat final est un fichier ZIP exporté qui peut être importé sans erreur dans la Google SecOps Marketplace.
  • Une fois déployées, vous pouvez configurer les intégrations pour que le playbook s'exécute de bout en bout avec des alertes de simulation.

Créer un cas d'utilisation

Cette section décrit les étapes à suivre pour créer votre premier cas d'utilisation.

Définir le cas d'utilisation

Pour définir le cas d'utilisation, procédez comme suit :

  1. Décrivez la menace de sécurité à laquelle vous faites face.
  2. Spécifiez le type d'alerte et le produit de détection qui la génère (par exemple, CrowdStrike - Falcon Overwatch` via `Malicious Activity).
  3. Développez un processus de réponse aux incidents, d'orchestration ou d'automatisation pour gérer cette alerte.

Préparer les alertes de cas d'utilisation

  1. Créez une alerte ou un événement personnalisés en fonction d'un scénario réel. Incluez une alerte de simulation pour tester votre playbook et votre cas d'utilisation de manière cohérente. Cette simulation sera également incluse dans le package de cas d'utilisation.
  2. Dans Cas, cliquez sur add Ajouter > Simuler des cas.
  3. Cliquez sur Ajouter.
  4. Renseignez les champs de l'alerte de simulation en fonction des alertes que vous avez préparées pour le cas d'utilisation :
    5. Champ Description Exemple
    Nom de la source/du SIEM Source de l'alerte (par exemple, Google Security Operations SIEM, outil de détection). Si les alertes sont générées par le produit et extraites par Google SecOps, ajoutez le nom du produit. Arcsight
    Nom de la règle Nom de la règle Google SecOps SIEM ou de l'alerte du produit de détection. Si aucun SIEM n'est impliqué, utilisez le nom de l'alerte du produit de détection. Data Exfiltration
    Produit à l'origine de l'alerte Outil de détection ayant généré l'alerte. DLP product
    Nom de l'alerte Nom de l'alerte généré par le produit. Data Exfiltration
    Nom de l'événement Événement de base déclenchant l'alerte. Data Exfiltration
    Champs d'alerte supplémentaires Champs SIEM supplémentaires ou nom de l'alerte si aucun SIEM n'est présent. Severity, Impact, Sensitive Assets alert_name: si aucun SIEM n'est impliqué.
    Champs d'événement supplémentaires Données de sécurité brutes pour la réponse aux incidents. src_ip, dest_port, email_headers
  5. Créez une alerte de simulation dans Google SecOps, en fonction de votre exemple d'alerte ou d'événement.

Extraire les entités

  1. Sélectionnez le modèle de visualisation pour l'alerte (les entités que Google SecOps doit extraire et les relations entre elles), puis mappez les champs de données brutes au modèle sélectionné.
  2. Sur l'événement, cliquez sur Paramètres Configuration. Pour en savoir plus, consultez Premiers pas avec Google Security Operations SOAR, Créer des entités (mappage et modélisation) et Mapper et modéliser les alertes.
  3. Vérifiez que toutes les entités sont créées dans l'onglet Demande de la section Points forts des entités. Pour ce faire, cliquez sur Points forts des entités > Afficher plus pour chaque entité.

Créer un playbook

Pour créer un playbook :

  1. Définissez visuellement le flux de réponse aux incidents (graphique ou diagramme) pour l'alerte.
  2. Concevez le playbook dans Google SecOps. Pour ce faire, téléchargez et configurez les intégrations à utiliser dans le playbook. Pour en savoir plus, consultez Utiliser Google SecOps Marketplace et Configurer des intégrations.

Configurer des actions dans le playbook

Définissez les paramètres d'action, les conditions et les branches comme suit :

  1. Type d'action : indiquez si cette action doit s'exécuter automatiquement ou manuellement (nécessite une approbation humaine).
  2. Choisir une instance : sélectionnez Dynamique.
  3. En cas d'échec de l'étape : indiquez si le playbook doit s'arrêter en cas d'échec de l'action ou passer à l'action suivante.
  4. Entités : sélectionnez les types d'entités concernés par cette action (parmi ceux extraits dans votre alerte de simulation).
  5. Autres paramètres : saisissez les paramètres spécifiques à l'action en vous basant sur la documentation de l'intégration.

Configurer des conditions dans le playbook

Pour configurer des conditions dans le playbook, procédez comme suit :

  1. Déterminez le nombre de branches nécessaires. Si nécessaire, cliquez sur Ajouter une branche pour créer d'autres branches.
  2. Pour chaque branche, définissez les conditions qui la déclenchent. Utilisez des espaces réservés (entre crochets) pour faire référence aux conditions des données d'événement, aux résultats des actions précédentes, etc.
    3. Utilisez des outils que vous pouvez tester dans votre flux.
  3. Testez avec des données réelles : configurez un connecteur capable d'extraire des alertes semblables à l'alerte de simulation que vous avez créée. Pour en savoir plus, consultez Configurer le connecteur.
  4. Testez le connecteur avec un exemple, tel qu'un connecteur de messagerie utilisant une alerte d'e-mail d'hameçonnage. Pour en savoir plus, consultez Tester un connecteur.
  5. Vérifiez les points suivants :
    • Le même mappage s'applique à la véritable alerte afin que Google SecOps puisse extraire les entités concernées.
    • Le playbook s'exécute de bout en bout sur l'alerte et applique la logique définie. (Testez avec des alertes malveillantes et non malveillantes.)

Rédiger un guide

Le cas d'utilisation que vous créez sera utilisé par d'autres utilisateurs Google SecOps. Joignez du contenu en tant que guide pour aider les autres utilisateurs à implémenter le cas d'utilisation. Vous pouvez joindre ce guide dans Publier un cas d'utilisation :

  • Expliquez le cas d'utilisation et sa valeur SOC.
  • Fournissez des recommandations pour l'améliorer.
  • Incluez des instructions pour exécuter le cas d'utilisation avec des données de simulation et réelles.
  • Ajoutez des instructions de configuration pour les connecteurs et les intégrations.
  • Incluez toutes les informations de licence pertinentes.
  • Incluez une procédure expliquant comment développer votre premier connecteur.

Publier le cas d'utilisation

Pour publier votre cas d'utilisation, procédez comme suit :

  1. Accédez à Google SecOps Marketplace, puis cliquez sur l'onglet Cas d'utilisation.
  2. Cliquez sur format_list_bulleted Liste, puis sélectionnez Créer un cas d'utilisation.
  3. Saisissez les informations et ajoutez tous les éléments que vous avez développés (scénarios de test, playbooks et connecteurs).
  4. Joignez votre guide dans le champ Description ou ajoutez un lien vers un guide complet.
  5. Facultatif : Cliquez sur Exporter pour exporter le cas d'utilisation (maintenant ou plus tard), puis cliquez sur Enregistrer.
  6. Facultatif : Après avoir cliqué sur Enregistrer, vous pouvez exporter le package au format ZIP ou l'importer pour le tester.
  7. Envoyez votre contenu pour approbation afin de le publier.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.