Développer votre premier cas d'utilisation

Compatible avec :
Ce document définit un *cas d'utilisation* et décrit les exigences à respecter pour en publier un dans le Content Hub. Il fournit un guide complet pour créer un cas d'utilisation, depuis la définition de la menace de sécurité et la création du playbook jusqu'à la publication finale.

Comprendre les cas d'utilisation

Un cas d'utilisation est un ensemble d'éléments qui, ensemble, fournissent une solution, par exemple :

  • Automatisation des menaces de phishing
  • Réduction des faux positifs
  • Orchestration des investigations d'incidents

Vous publiez un cas d'utilisation dans le Content Hub, et il est disponible pour tous les utilisateurs.

Un package de cas d'utilisation comprend les éléments suivants :

  • Scénarios de test
  • Connecteurs
  • Playbooks
  • Intégrations
  • Règles de mappage et de modélisation

Exigences de publication

Pour vous assurer que votre cas d'utilisation est prêt pour le Content Hub, il doit répondre aux exigences suivantes :

  • Les alertes de simulation sont basées sur des alertes réelles provenant d'un produit réel.
  • Toutes les entités sont extraites lors de l'exécution de l'alerte de simulation dans un environnement propre.
  • Toutes les entités sont extraites lors de l'exécution de l'alerte réelle avec le connecteur.
  • Le playbook s'exécute de bout en bout sans erreur.
  • La sortie finale est une exportation de fichier ZIP qui peut être importée sans erreur dans le Content Hub.
  • Une fois déployées, vous pouvez configurer les intégrations pour que le playbook s'exécute de bout en bout avec des alertes de simulation.

Créer un cas d'utilisation

Cette section décrit les étapes à suivre pour créer votre premier cas d'utilisation.

Définir le cas d'utilisation

Pour définir le cas d'utilisation, procédez comme suit :

  1. Décrivez la menace de sécurité traitée.
  2. Spécifiez le type d'alerte et le produit de détection qui la génère (par exemple, CrowdStrike - Falcon Overwatch` via `Malicious Activity).
  3. Développez un processus de réponse aux incidents, d'orchestration ou d'automatisation pour gérer cette alerte.

Préparer les alertes de cas d'utilisation

  1. Créez une alerte personnalisée ou un événement basé sur un scénario réel. Incluez une alerte de simulation pour tester votre playbook et votre cas d'utilisation de manière cohérente. Cette simulation sera également incluse dans le package de cas d'utilisation.
  2. Dans Cases (Demandes), cliquez sur add Add > Simulate Cases (Ajouter > Simuler des demandes).
  3. Cliquez sur Add (Ajouter).
  4. Remplissez les champs de l'alerte de simulation en fonction des alertes que vous avez préparées pour le cas d'utilisation :
  5. Champ Description Exemple
    Source/Nom SIEM Source de l'alerte (par exemple, Google Security Operations SIEM, outil de détection). Si les alertes sont générées par le produit et extraites par Google SecOps, ajoutez le nom du produit. Arcsight
    Nom de la règle Nom de l'alerte de la règle Google SecOps SIEM ou du produit de détection. Si aucun SIEM n'est impliqué, utilisez le nom de l'alerte du produit de détection. Data Exfiltration
    Produit d'alerte Outil de détection qui a généré l'alerte. DLP product
    Nom de l'alerte Nom de l'alerte tel qu'il est généré par le produit. Data Exfiltration
    Nom de l'événement Événement de base déclenchant l'alerte. Data Exfiltration
    Champs d'alerte supplémentaires Champs SIEM supplémentaires ou nom de l'alerte si aucun SIEM n'est présent. Severity, Impact, Sensitive Assets Si aucun SIEM n'est impliqué, alert_name:.
    Champs d'événement supplémentaires Données de sécurité brutes pour la réponse aux incidents. src_ip, dest_port, email_headers
  6. Créez une alerte de simulation dans Google SecOps, en fonction de votre alerte ou événement exemple.

Extraire les entités

  1. Sélectionnez le modèle de visualisation de l'alerte (les entités que Google SecOps doit extraire et les relations entre elles), puis mappez les champs de données brutes au modèle sélectionné.
  2. Dans l'événement, cliquez sur settings Configuration. Pour en savoir plus, consultez Premiers pas avec Google Security Operations SOAR, Créer des entités (mappage et modélisation), et Mapper et modéliser des alertes.
  3. Vérifiez que toutes les entités sont créées sous l'onglet Case (Demande) dans Entities Highlights (Entités mises en évidence). Pour ce faire, cliquez sur Entities Highlights > View More (Entités mises en évidence > Afficher plus) pour chaque entité.

Créer un playbook

Pour créer un playbook, procédez comme suit :

  1. Définissez visuellement le flux de réponse aux incidents (graphique ou diagramme) pour l'alerte.
  2. Concevez le playbook dans Google SecOps. Pour ce faire, téléchargez et configurez les intégrations à utiliser dans le playbook. Pour en savoir plus, consultez Configurer des intégrations.

Configurer des actions dans le playbook

Définissez les paramètres, les conditions et les branches de l'action comme suit :

  1. Action Type (Type d'action) : sélectionnez si cette action doit s'exécuter automatiquement ou manuellement (nécessite une approbation humaine).
  2. Choose Instance (Choisir une instance) : sélectionnez Dynamic (Dynamique).
  3. If Step Fails (En cas d'échec de l'étape) : choisissez si le playbook s'arrête en cas d'échec de l'action ou s'il passe à l'action suivante.
  4. Entities (Entités) : sélectionnez les types d'entités affectés par cette action (parmi ceux extraits dans votre alerte de simulation).
  5. Other parameters (Autres paramètres) : saisissez les paramètres spécifiques à l'action en fonction de la documentation de l'intégration.

Configurer des conditions dans le playbook

Pour configurer des conditions dans le playbook, procédez comme suit :

  1. Déterminez le nombre de branches nécessaires. Si nécessaire, cliquez sur Add Branch (Ajouter une branche) pour créer des branches supplémentaires.
  2. Pour chaque branche, définissez les conditions qui la déclenchent. Utilisez des espaces réservés (crochets) pour faire référence aux conditions à partir des données d'événement, des résultats d'actions précédentes, etc.
  3. Utilisez des outils que vous pouvez tester dans votre flux.
  4. Testez avec des données en direct : configurez un connecteur capable d'extraire des alertes semblables à l'alerte de simulation que vous avez créée. Pour en savoir plus, consultez Configurer le connecteur.
  5. Testez le connecteur avec un exemple, tel qu'un connecteur de messagerie utilisant une alerte d'e-mail de phishing. Pour en savoir plus, consultez Tester un connecteur.
  6. Vérifiez les points suivants :
    • Le même mappage s'applique à l'alerte réelle afin que Google SecOps puisse extraire les entités pertinentes.
    • Le playbook s'exécute de bout en bout sur l'alerte et effectue la logique définie. (Testez avec des alertes malveillantes et non malveillantes.)

Rédiger un guide

Le cas d'utilisation que vous créez sera utilisé par d'autres utilisateurs de Google SecOps. Joignez du contenu sous forme de guide pour aider les autres utilisateurs à implémenter le cas d'utilisation. Vous pouvez joindre ce guide dans Publish Use Case (Publier un cas d'utilisation) :

  • Expliquez le cas d'utilisation et sa valeur SOC.
  • Fournissez des recommandations d'amélioration.
  • Incluez des instructions pour exécuter le cas d'utilisation avec des données de simulation et des données réelles.
  • Ajoutez des instructions de configuration pour les connecteurs et les intégrations.
  • Incluez toutes les informations de licence pertinentes.
  • Incluez une procédure sur la façon de développer votre premier connecteur.

Publier le cas d'utilisation

Pour publier votre cas d'utilisation, procédez comme suit :

  1. Accédez à Content Hub , puis cliquez sur l'onglet Use Cases (Cas d'utilisation).
  2. Cliquez sur format_list_bulleted List (Liste), puis sélectionnez Create New Use Case (Créer un cas d'utilisation).
  3. Saisissez les informations et ajoutez tous les éléments que vous avez développés (scénarios de test, playbooks et connecteurs).
  4. Joignez votre guide dans le champ Description ou créez un lien vers un guide complet.
  5. (Facultatif) Cliquez sur Export (Exporter) pour exporter le cas d'utilisation (maintenant ou plus tard), puis cliquez sur Save (Enregistrer).
  6. (Facultatif) Après avoir cliqué sur Save (Enregistrer), vous pouvez exporter le package sous forme de fichier ZIP ou l'importer pour le tester.
  7. Envoyez-le pour approbation afin de le publier.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels de Google SecOps.