最初のユースケースを作成する

このドキュメントでは、ユースケースを定義し、Google Security Operations Marketplace にユースケースを公開するための要件の概要を説明します。セキュリティの脅威の定義からハンドブックの作成、最終的な公開まで、新しいユースケースの作成に関する包括的なガイドを提供します。

ユースケースを把握する

ユースケースとは、次のようなソリューションをまとめて提供するアイテムのパッケージのことです。

• フィッシングの脅威を自動化する
• 誤検出を減らす
• インシデント調査のオーケストレーション

ユースケースを Google SecOps Marketplace に公開すると、すべてのユーザーが使用できるようになります。

ユースケース パッケージは、次の要素で構成されます。

• テストケース
• コネクタ
• ハンドブック
• 統合
• マッピングとモデリングのルール

公開の要件

ユースケースを Google SecOps Marketplace で使用できるようにするには、次の要件を満たしている必要があります。

• シミュレーション アラートは、実際のプロダクトの実際のアラートに基づいています。
• クリーンな環境でシミュレーション アラートを実行すると、すべてのエンティティが抽出されます。
• コネクタで実際のアラートを実行すると、すべてのエンティティが抽出されます。
• ハンドブックの実行がエラーなくエンドツーエンドで完了します。
• 最終的な出力は、Google SecOps Marketplace にエラーなくインポートできる ZIP ファイルのエクスポートです。
• デプロイしたら、インテグレーションを構成して、シミュレーション アラートでプレイブックをエンドツーエンドで実行できます。

ユースケースを作成する

このセクションでは、最初のユースケースを作成する手順について説明します。

ユースケースを定義する

ユースケースを定義する手順は次のとおりです。

1. 対処するセキュリティ上の脅威を説明します。
2. アラートのタイプと、アラートを生成する検出プロダクト（CrowdStrike - Falcon Overwatch` via `Malicious Activity など）を指定します。
3. このアラートを処理するためのインシデント対応、オーケストレーション、または自動化プロセスを開発します。

ユースケース アラートを準備する

1. 実際のシナリオに基づいてカスタム アラートまたはイベントを作成します。ハンドブックとユースケースを常にテストするためのシミュレーション アラートを含めます。このシミュレーションは、ユースケース パッケージの一部としても含まれます。
2. [ケース] で、 追加 [追加] > [ケースをシミュレート] をクリックします。
3. [add追加] をクリックします。
4. ユースケース用に準備したアラートに基づいて、シミュレーション アラートのフィールドに値を入力します。

フィールド	説明	例
送信元\SIEM 名	アラートのソース（Google Security Operations SIEM、検出ツールなど）。アラートがプロダクトによって生成され、Google SecOps によって取得される場合は、プロダクト名を追加します。	Arcsight
ルール名	Google SecOps SIEM ルールまたは検出プロダクトのアラート名。SIEM が関係していない場合は、検出プロダクトのアラートの名前を使用します。	Data Exfiltration
アラート プロダクト	アラートを生成した検出ツール。	DLP product
アラート名	プロダクトによって生成されたアラート名。	Data Exfiltration
イベント名	アラートをトリガーしたベースイベント。	Data Exfiltration
追加のアラート フィールド	SIEM が存在しない場合は、SIEM フィールドまたはアラート名を追加します。	Severity, Impact, Sensitive Assets SIEM が関係していない場合は、alert_name:。
追加のイベント フィールド	インシデント対応用の未加工のセキュリティ データ。	src_ip, dest_port, email_headers

5. サンプルのアラートまたはイベントに基づいて、Google SecOps でシミュレーション アラートを作成します。

エンティティの抽出

1. アラートの可視化モデル（Google SecOps が抽出する必要があるエンティティとその間の関係）を選択し、元データ フィールドを選択したモデルにマッピングします。
2. イベントで、[設定] [構成] をクリックします。詳細については、Google Security Operations SOAR を使ってみる、エンティティを作成する（マッピングとモデリング）、アラートをマッピングしてモデル化するをご覧ください。
3. すべてのエンティティが [エンティティ ハイライト] の [ケース] タブに作成されていることを確認します。これを行うには、各エンティティの [エンティティのハイライト> 詳細を表示] をクリックします。

ハンドブックを作成する

ハンドブックを作成する手順は次のとおりです。

1. アラートのインシデント対応フローを視覚的に（グラフまたは図）定義します。
2. Google SecOps でハンドブックを設計します。これを行うには、プレイブックで使用するインテグレーションをダウンロードして構成します。詳細については、Google SecOps で Google SecOps Marketplace を使用すると統合を構成するをご覧ください。

ハンドブックでアクションを構成する

アクションのパラメータ、条件、分岐を次のように設定します。

1. アクション タイプ: このアクションを自動的に実行するか手動で実行するかを選択します（人間による承認が必要）。
2. インスタンスを選択: [動的] を選択します。
3. ステップが失敗した場合: アクションが失敗した場合にハンドブックを停止するか、次のアクションにスキップするかを選択します。
4. エンティティ: このアクションで影響を受けるエンティティ タイプ（シミュレーション アラートで抽出したエンティティから）を選択します。
5. その他のパラメータ: 統合のドキュメントに基づいてアクション固有のパラメータを入力します。

ハンドブックで条件を構成する

プレイブックで条件を構成する手順は次のとおりです。

1. 必要なブランチの数を決定します。必要に応じて、[分岐を追加] をクリックして、追加の分岐を作成します。
2. ブランチごとに、ブランチをトリガーする条件を定義します。イベントデータや前のアクションの結果などから条件を参照するには、プレースホルダ（角かっこ）を使用します。
フローでテストできるツールを使用します。
3. ライブデータでテストする: 作成したシミュレーション アラートと同様のアラートを pull できるコネクタを設定します。詳細については、コネクタを構成するをご覧ください。
4. フィッシング メール アラートを使用するメールコネクタなどの例を使用して、コネクタをテストします。詳細については、コネクタをテストするをご覧ください。
5. 次のことを確認してください。
• 実際のアラートに同じマッピングが適用されるため、Google SecOps は関連するエンティティを抽出できます。
• ハンドブックはアラートでエンドツーエンドで実行され、定義されたロジックを実行します。（悪意のあるアラートと悪意のないアラートの両方を試してください）。

ガイドを作成する

作成するユースケースは、他の Google SecOps ユーザーによって使用されます。他のユーザーがユースケースを実装するのに役立つガイドとしてコンテンツを添付します。このガイドは、ユースケースの公開に添付できます。

• ユースケースとその SOC の価値を説明します。
• 改善のための推奨事項を提示します。
• シミュレーション データと実データを使用してユースケースを実行する手順を含めます。
• コネクタとインテグレーションの設定手順を追加しました。
• 関連するライセンス情報を含めます。
• 最初のコネクタを開発する手順を記載します。

ユースケースを公開する

ユースケースを公開する手順は次のとおりです。

1. Google SecOps Marketplace に移動し、[ユースケース] タブをクリックします。
2. [ format_list_booleaned ] [リスト] をクリックし、[新しいユースケースを作成] を選択します。
3. 詳細を入力し、開発したすべてのアイテム（テストケース、プレイブック、コネクタ）を追加します。
4. [説明] フィールドにガイドを添付するか、完全なガイドへのリンクを記載します。
5. 省略可: [エクスポート] をクリックしてユースケースをエクスポートし（今すぐまたは後で）、[保存] をクリックします。
6. 省略可: [保存] をクリックした後、パッケージを ZIP ファイルとしてエクスポートするか、テスト用にインポートできます。
7. 公開するために承認をリクエストします。