Crea il tuo primo caso d'uso

Supportato in:
Questo documento definisce un *caso d'uso* e delinea i requisiti per pubblicarne uno nel Google Security Operations Marketplace. Fornisce una guida completa per creare un nuovo caso d'uso, dalla definizione della minaccia alla sicurezza e alla creazione del playbook fino alla pubblicazione finale.

Comprendere i casi d'uso

Un caso d'uso è un pacchetto di elementi che insieme forniscono una soluzione, ad esempio:

  • Automatizzare le minacce di phishing
  • Riduzione dei falsi positivi
  • Orchestrazione delle indagini sugli incidenti

Pubblichi un caso d'uso su Google SecOps Marketplace e tutti gli utenti possono utilizzarlo.

Un pacchetto di casi d'uso è composto da:

  • Scenari di test
  • Connettori
  • Playbook
  • Integrazioni
  • Regole di mappatura e modellazione

Requisiti di pubblicazione

Per assicurarti che il tuo caso d'uso sia pronto per Google SecOps Marketplace, deve soddisfare i seguenti requisiti:

  • Gli avvisi di simulazione si basano su avvisi reali di un prodotto reale.
  • Tutte le entità vengono estratte quando viene eseguito l'avviso di simulazione in un ambiente pulito.
  • Tutte le entità vengono estratte quando viene eseguito l'avviso reale con il connettore.
  • Il playbook viene eseguito dall'inizio alla fine senza errori.
  • L'output finale è un'esportazione di file ZIP che può essere importata senza errori in Google SecOps Marketplace.
  • Una volta eseguito il deployment, puoi configurare le integrazioni per eseguire il playbook end-to-end con avvisi di simulazione.

Creare un caso d'uso

Questa sezione descrive i passaggi per creare il tuo primo caso d'uso.

Definisci il caso d'uso

Per definire il caso d'uso:

  1. Descrivi la minaccia alla sicurezza in questione.
  2. Specifica il tipo di avviso e il prodotto di rilevamento che lo genera (ad esempio, CrowdStrike - Falcon Overwatch` via `Malicious Activity)
  3. Sviluppa un processo di risposta agli incidenti, orchestrazione o automazione per gestire questo avviso.

Preparare gli avvisi per i casi d'uso

  1. Crea un avviso o un evento personalizzato in base a uno scenario reale. Includi un avviso di simulazione per testare il playbook e il caso d'uso in modo coerente. Questa simulazione sarà inclusa anche nel pacchetto del caso d'uso.
  2. In Casi, fai clic su Aggiungi Aggiungi > Simula casi.
  3. Fai clic su Aggiungi.
  4. Compila i campi dell'avviso di simulazione in base agli avvisi che hai preparato per il caso d'uso:
    5. Campo Descrizione Esempio
    Nome origine/SIEM Origine dell'avviso (ad esempio, SIEM di Google Security Operations, strumento di rilevamento). Se gli avvisi sono generati dal prodotto e recuperati da Google SecOps, aggiungi il nome del prodotto. Arcsight
    Nome regola Nome della regola SIEM di Google SecOps o dell'avviso del prodotto di rilevamento. Se non è coinvolto alcun SIEM, utilizza il nome dell'avviso del prodotto di rilevamento. Data Exfiltration
    Prodotto avviso Lo strumento di rilevamento che ha generato l'avviso. DLP product
    Nome avviso Nome dell'avviso generato dal prodotto. Data Exfiltration
    Nome evento Evento di base che attiva l'avviso. Data Exfiltration
    Altri campi per l'avviso Campi SIEM aggiuntivi o nome dell'avviso se non è presente alcun SIEM. Severity, Impact, Sensitive Assets Se non è coinvolto alcun SIEM, alert_name:.
    Altri campi per l'evento Dati di sicurezza non elaborati per la risposta agli incidenti. src_ip, dest_port, email_headers
  5. Crea un avviso di simulazione in Google SecOps in base all'avviso o all'evento di esempio.

Estrarre le entità

  1. Seleziona il modello di visualizzazione per l'avviso (le entità che Google SecOps deve estrarre e le relazioni tra loro) e mappa i campi dei dati non elaborati al modello selezionato.
  2. Nell'evento, fai clic su Impostazioni Configurazione. Per maggiori dettagli, consulta Inizia a utilizzare Google Security Operations SOAR, Crea entità (mappatura e modellazione) e Mappa e modella gli avvisi.
  3. Verifica che tutte le entità siano create nella scheda Richiesta in Elementi salienti delle entità. Per farlo, fai clic su Elementi salienti delle entità > Visualizza altro per ogni entità.

Crea un playbook

Per creare un playbook:

  1. Definisci visivamente il flusso di risposta agli incidenti (grafico o diagramma) per l'avviso.
  2. Progetta il playbook in Google SecOps. Per farlo, scarica e configura le integrazioni da utilizzare nel playbook. Per maggiori dettagli, vedi Google SecOps Utilizzare Google SecOps Marketplace e Configurare le integrazioni.

Configurare le azioni nel playbook

Imposta parametri, condizioni e rami dell'azione nel seguente modo:

  1. Tipo di azione: seleziona se questa azione deve essere eseguita automaticamente o manualmente (richiede l'approvazione umana).
  2. Scegli istanza: seleziona Dinamico.
  3. Se il passaggio non va a buon fine: scegli se il playbook deve interrompersi se l'azione non va a buon fine o se deve passare all'azione successiva.
  4. Entità: seleziona i tipi di entità interessati da questa azione (tra quelli estratti nell'avviso di simulazione).
  5. Altri parametri: inserisci i parametri specifici dell'azione in base alla documentazione sull'integrazione.

Configurare le condizioni nel playbook

Per configurare le condizioni nel playbook:

  1. Determina il numero di filiali necessarie. Se necessario, fai clic su Aggiungi filiale per creare altre filiali.
  2. Per ogni ramo, definisci le condizioni che lo attivano. Utilizza i segnaposto (parentesi quadre) per fare riferimento alle condizioni dei dati degli eventi, ai risultati delle azioni precedenti e altro ancora.
    3. Utilizza gli strumenti che puoi testare nel tuo flusso.
  3. Test con dati in tempo reale: configura un connettore in grado di estrarre avvisi simili a quello di simulazione che hai creato. Per maggiori dettagli, vedi Configurare il connettore.
  4. Testa il connettore con un esempio, ad esempio un connettore email che utilizza un avviso via email di phishing. Per maggiori dettagli, vedi Testare un connettore.
  5. Verifica che:
    • La stessa mappatura viene applicata all'avviso reale in modo che Google SecOps possa estrarre le entità pertinenti.
    • Il playbook viene eseguito end-to-end sull'avviso ed esegue la logica definita. Esegui il test sia con avvisi dannosi che non dannosi.

Scrivere una guida

Il caso d'uso che stai creando verrà utilizzato da altri utenti di Google SecOps. Allega contenuti come guida per aiutare altri utenti a implementare il caso d'uso. Puoi allegare questa guida in Pubblica caso d'uso:

  • Spiega il caso d'uso e il suo valore SOC.
  • Fornire consigli per il miglioramento.
  • Includi le istruzioni per l'esecuzione del caso d'uso con dati reali e di simulazione.
  • Aggiungi istruzioni di configurazione per connettori e integrazioni.
  • Includi eventuali informazioni sulle licenze pertinenti.
  • Includi una procedura su come sviluppare il tuo primo connettore.

Pubblicare il caso d'uso

Per pubblicare il tuo caso d'uso:

  1. Vai a Google SecOps Marketplace e fai clic sulla scheda Casi d'uso.
  2. Fai clic su format_list_bulleted Elenco e seleziona Crea nuovo caso d'uso.
  3. Inserisci i dettagli e aggiungi tutti gli elementi che hai sviluppato (scenari di test, playbook e connettori).
  4. Allega la guida nel campo Descrizione o inserisci un link a una guida completa.
  5. (Facoltativo) Fai clic su Esporta per esportare il caso d'uso (ora o in un secondo momento) e fai clic su Salva.
  6. (Facoltativo) Dopo aver fatto clic su Salva, puoi esportare il pacchetto come file ZIP o importarlo per il test.
  7. Invia per l'approvazione per la pubblicazione.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.