Mengembangkan kasus penggunaan pertama Anda
Memahami kasus penggunaan
Kasus penggunaan adalah paket item yang bersama-sama memberikan solusi, seperti:
- Mengotomatiskan ancaman phishing
- Mengurangi positif palsu
- Mengorkestrasi penyelidikan insiden
Anda memublikasikan kasus penggunaan ke Hub Konten, dan kasus penggunaan tersebut tersedia untuk digunakan oleh semua pengguna.
Paket kasus penggunaan terdiri dari:
- Kasus uji
- Konektor
- Playbook
- Integrasi
- Aturan pemetaan dan pemodelan
Persyaratan publikasi
Untuk memastikan kasus penggunaan Anda siap untuk Hub Konten, kasus penggunaan tersebut harus memenuhi persyaratan berikut:
- Peringatan simulasi didasarkan pada peringatan sebenarnya dari produk yang sebenarnya.
- Semua entity diekstrak saat menjalankan peringatan simulasi di lingkungan yang bersih.
- Semua entity diekstrak saat menjalankan peringatan sebenarnya dengan konektor.
- Playbook berjalan dari awal hingga akhir tanpa error.
- Output akhir adalah ekspor file ZIP yang dapat diimpor tanpa error ke Hub Konten.
- Saat di-deploy, Anda dapat mengonfigurasi integrasi agar playbook berjalan dari awal hingga akhir dengan peringatan simulasi.
Membuat kasus penggunaan
Bagian ini menguraikan langkah-langkah untuk membuat kasus penggunaan pertama Anda.
Menentukan kasus penggunaan
Untuk menentukan kasus penggunaan, ikuti langkah-langkah berikut:
- Jelaskan ancaman keamanan yang ditangani.
- Tentukan jenis peringatan dan produk deteksi yang menghasilkannya (misalnya,
CrowdStrike - Falcon Overwatch` via `Malicious Activity) - Kembangkan proses respons insiden, orkestrasi, atau otomatisasi untuk menangani peringatan ini.
Menyiapkan peringatan kasus penggunaan
- Buat notifikasi kustom atau peristiwa berdasarkan skenario dunia nyata. Sertakan peringatan simulasi untuk menguji playbook dan kasus penggunaan Anda secara konsisten. Simulasi ini juga akan disertakan sebagai bagian dari paket kasus penggunaan.
- Di Cases, klik add Add > Simulate Cases.
- Klik Add.
- Isi kolom peringatan simulasi berdasarkan peringatan yang Anda siapkan untuk kasus penggunaan:
- Buat peringatan simulasi di Google SecOps, berdasarkan peringatan atau peristiwa sampel Anda.
| Kolom | Deskripsi | Contoh |
|---|---|---|
| Sumber\Nama SIEM | Sumber peringatan (misalnya, Google Security Operations SIEM, alat deteksi). Jika peringatan dihasilkan oleh produk dan diambil oleh Google SecOps, tambahkan nama produk. | Arcsight |
| Nama Aturan | Nama peringatan produk deteksi atau aturan Google SecOps SIEM. Jika tidak ada SIEM yang terlibat, gunakan nama peringatan dari produk deteksi. | Data Exfiltration |
| Produk Peringatan | Alat deteksi yang menghasilkan peringatan. | DLP product |
| Nama Peringatan | Nama peringatan seperti yang dihasilkan oleh produk. | Data Exfiltration |
| Nama Peristiwa | Peristiwa dasar yang memicu peringatan. | Data Exfiltration |
| Kolom Peringatan Tambahan | Kolom SIEM tambahan atau nama peringatan Jika tidak ada SIEM. | Severity, Impact, Sensitive Assets Jika tidak ada SIEM yang terlibat, alert_name:. |
| Kolom Peristiwa Tambahan | Data keamanan mentah untuk respons insiden. | src_ip, dest_port, email_headers |
Mengekstrak entity
- Pilih model visualisasi untuk peringatan (entity yang harus diekstrak Google SecOps dan hubungan di antara keduanya), lalu petakan kolom data mentah ke model yang dipilih.
- Pada peristiwa, klik setelan Configuration. Untuk mengetahui detailnya, lihat Memulai Google Security Operations SOAR, Membuat entity (pemetaan dan pemodelan), serta Memetakan dan memodelkan peringatan.
- Pastikan semua entity dibuat di tab Case di Entities Highlights. Untuk melakukannya, klik Entities Highlights > View More untuk setiap entity.
Membuat playbook
Untuk membuat playbook, lakukan hal berikut:
- Tentukan alur respons insiden secara visual (diagram atau bagan) untuk peringatan.
- Desain playbook di Google SecOps. Untuk melakukannya, download dan konfigurasi integrasi yang akan digunakan dalam playbook. Untuk mengetahui detailnya, lihat Mengonfigurasi integrasi.
Mengonfigurasi tindakan dalam playbook
Tetapkan parameter, kondisi, dan cabang tindakan, sebagai berikut:
- Jenis Tindakan: Pilih apakah tindakan ini harus berjalan secara otomatis atau manual (memerlukan persetujuan manusia).
- Choose Instance: Pilih Dynamic.
- Jika Langkah Gagal: Pilih apakah playbook berhenti jika tindakan gagal atau melewati ke tindakan berikutnya.
- Entitas: Pilih jenis entitas yang terpengaruh oleh tindakan ini (dari yang diekstrak dalam peringatan simulasi Anda).
- Other parameters: Masukkan parameter khusus tindakan berdasarkan dokumentasi integrasi.
Mengonfigurasi kondisi dalam playbook
Untuk mengonfigurasi kondisi dalam playbook, ikuti langkah-langkah berikut:
- Tentukan jumlah cabang yang diperlukan. Jika diperlukan, klik Add Branch untuk membuat cabang tambahan.
- Untuk setiap cabang, tentukan kondisi yang memicunya. Gunakan placeholder (tanda kurung siku) untuk mereferensikan kondisi dari data peristiwa, hasil tindakan sebelumnya, dan lainnya.
- Uji dengan data langsung: Siapkan konektor yang dapat mengambil peringatan yang mirip dengan peringatan simulasi yang Anda buat. Untuk mengetahui detailnya, lihat Mengonfigurasi konektor.
- Uji konektor dengan contoh, seperti konektor email menggunakan peringatan email phishing. Untuk mengetahui detailnya, lihat Menguji konektor.
- Pastikan bahwa:
- Pemetaan yang sama berlaku untuk peringatan sebenarnya sehingga Google SecOps dapat mengekstrak entity yang relevan.
- Playbook berjalan dari awal hingga akhir pada peringatan dan menjalankan logika yang ditentukan. (Uji dengan peringatan berbahaya dan tidak berbahaya).
Menulis panduan
Kasus penggunaan yang Anda buat akan digunakan oleh pengguna Google SecOps lainnya. Lampirkan konten sebagai panduan untuk membantu pengguna lain menerapkan kasus penggunaan. Anda dapat melampirkan panduan ini di Publish Use Case:
- Jelaskan kasus penggunaan dan nilai SOC-nya.
- Berikan rekomendasi untuk peningkatan.
- Sertakan petunjuk untuk menjalankan kasus penggunaan dengan simulasi dan data sebenarnya.
- Tambahkan petunjuk penyiapan untuk konektor dan integrasi.
- Sertakan informasi lisensi yang relevan.
- Sertakan prosedur tentang cara mengembangkan konektor pertama Anda.
Memublikasikan kasus penggunaan
Untuk memublikasikan kasus penggunaan, ikuti langkah-langkah berikut:
- Buka Content Hub , lalu klik tab Use Cases.
- Klik format_list_bulleted List , lalu pilih Create New Use Case.
- Masukkan detailnya dan tambahkan semua item yang Anda kembangkan (kasus uji, playbook, dan konektor).
- Lampirkan panduan Anda di kolom Description atau tautkan ke panduan lengkap.
- Opsional: Klik Export untuk mengekspor kasus penggunaan (sekarang atau nanti), lalu klik Save.
- Opsional: Setelah mengklik Save, Anda dapat mengekspor paket sebagai file ZIP, atau Import untuk pengujian.
- Kirim untuk mendapatkan persetujuan agar dapat dipublikasikan.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.