最初のユースケースを開発する

以下でサポートされています。
このドキュメントでは、*ユースケース* を定義し、ユースケースを Content Hub に公開するための要件の概要を示します。セキュリティの脅威の定義からハンドブックの作成、最終的な公開まで、新しいユースケースを作成するための包括的なガイドを提供します。

ユースケースを理解する

ユースケースとは、次のようなソリューションをまとめて提供するアイテムのパッケージのことです。

  • フィッシングの脅威を自動化する
  • 誤検出を減らす
  • インシデント調査のオーケストレーション

ユースケースを Content Hub に公開すると、すべてのユーザーが使用できるようになります。

ユースケース パッケージは、次の要素で構成されます。

  • テストケース
  • コネクタ
  • ハンドブック
  • 統合
  • マッピングとモデリングのルール

公開の要件

ユースケースをコンテンツ ハブで利用できるようにするには、次の要件を満たしている必要があります。

  • シミュレーション アラートは、実際のプロダクトの実際のアラートに基づいています。
  • クリーンな環境でシミュレーション アラートを実行すると、すべてのエンティティが抽出されます。
  • コネクタで実際のアラートを実行すると、すべてのエンティティが抽出されます。
  • ハンドブックはエラーなしでエンドツーエンドで実行されます。
  • 最終出力は、Content Hub にエラーなくインポートできる ZIP ファイルのエクスポートです。
  • デプロイしたら、インテグレーションを構成して、シミュレーション アラートでプレイブックをエンドツーエンドで実行できます。

ユースケースを作成する

このセクションでは、最初のユースケースを作成する手順について説明します。

ユースケースを定義する

ユースケースを定義する手順は次のとおりです。

  1. 対処するセキュリティ上の脅威について説明します。
  2. アラートの種類と、アラートを生成する検出プロダクト(CrowdStrike - Falcon Overwatch` via `Malicious Activity など)を指定します。
  3. このアラートを処理するためのインシデント対応、オーケストレーション、または自動化プロセスを開発します。

ユースケース アラートを準備する

  1. 実際のシナリオに基づいてカスタム アラートまたはイベントを作成します。ハンドブックとユースケースを継続的にテストするためのシミュレーション アラートを含めます。このシミュレーションは、ユースケース パッケージの一部としても含まれます。
  2. [ケース] で、 追加 [追加] > [ケースをシミュレート] をクリックします。
  3. [追加] をクリックします。
  4. ユースケース用に準備したアラートに基づいて、シミュレーション アラートのフィールドに値を入力します。
  5. フィールド 説明
    送信元\SIEM 名 アラートのソース(Google Security Operations SIEM、検出ツールなど)。アラートがプロダクトによって生成され、Google SecOps によって取得される場合は、プロダクト名を追加します。 Arcsight
    ルール名 Google SecOps SIEM ルールまたは検出プロダクトのアラート名。SIEM が関係していない場合は、検出プロダクトのアラートの名前を使用します。 Data Exfiltration
    アラート プロダクト アラートを生成した検出ツール。 DLP product
    アラート名 プロダクトによって生成されたアラート名。 Data Exfiltration
    イベント名 アラートをトリガーするベースイベント。 Data Exfiltration
    追加のアラート フィールド SIEM が存在しない場合は、SIEM フィールドまたはアラート名を追加します。 Severity, Impact, Sensitive Assets SIEM が関係していない場合は、alert_name:
    追加のイベント フィールド インシデント対応用の未加工のセキュリティ データ。 src_ip, dest_port, email_headers
  6. サンプルのアラートまたはイベントに基づいて、Google SecOps でシミュレーション アラートを作成します。

エンティティの抽出

  1. アラートの可視化モデル(Google SecOps が抽出する必要があるエンティティとその間の関係)を選択し、元データ フィールドを選択したモデルにマッピングします。
  2. イベントで、[設定] [構成] をクリックします。詳細については、Google Security Operations SOAR を使ってみるエンティティを作成する(マッピングとモデリング)アラートをマッピングしてモデル化するをご覧ください。
  3. すべてのエンティティが [エンティティ ハイライト] の [ケース] タブに作成されていることを確認します。これを行うには、各エンティティの [エンティティのハイライト> 詳細を表示] をクリックします。

ハンドブックを作成する

ハンドブックを作成する手順は次のとおりです。

  1. アラートのインシデント対応フローを視覚的に(グラフまたは図)定義します。
  2. Google SecOps でハンドブックを設計します。これを行うには、ハンドブックで使用するインテグレーションをダウンロードして構成します。詳細については、統合を構成するをご覧ください。

ハンドブックでアクションを構成する

次のように、アクションのパラメータ、条件、分岐を設定します。

  1. アクション タイプ: このアクションを自動的に実行するか手動で実行するかを選択します(人間による承認が必要)。
  2. インスタンスを選択: [動的] を選択します。
  3. ステップが失敗した場合: アクションが失敗した場合にハンドブックを停止するか、次のアクションにスキップするかを選択します。
  4. エンティティ: このアクションで影響を受けるエンティティ タイプ(シミュレーション アラートで抽出したエンティティから)を選択します。
  5. その他のパラメータ: 統合のドキュメントに基づいてアクション固有のパラメータを入力します。

ハンドブックで条件を構成する

プレイブックで条件を構成する手順は次のとおりです。

  1. 必要なブランチの数を決定します。必要に応じて、[分岐を追加] をクリックして、追加の分岐を作成します。
  2. ブランチごとに、ブランチをトリガーする条件を定義します。イベントデータや前のアクションの結果などから条件を参照するには、プレースホルダ(角かっこ)を使用します。
  3. フローでテストできるツールを使用します。
  4. ライブデータでテストする: 作成したシミュレーション アラートと同様のアラートを pull できるコネクタを設定します。詳細については、コネクタを構成するをご覧ください。
  5. フィッシング メール アラートを使用するメールコネクタなどの例を使用して、コネクタをテストします。詳細については、コネクタをテストするをご覧ください。
  6. 次のことを検証する。
    • 実際のアラートに同じマッピングが適用されるため、Google SecOps は関連するエンティティを抽出できます。
    • ハンドブックはアラートに対してエンドツーエンドで実行され、定義されたロジックが実行されます。(悪意のあるアラートと悪意のないアラートの両方をテストします)。

ガイドを作成する

作成するユースケースは、他の Google SecOps ユーザーによって使用されます。他のユーザーがユースケースを実装するのに役立つガイドとしてコンテンツを添付します。このガイドは、ユースケースの公開に添付できます。

  • ユースケースとその SOC の価値を説明します。
  • 改善のための推奨事項を提供します。
  • シミュレーション データと実際のデータを使用してユースケースを実行する手順を含めます。
  • コネクタと統合の設定手順を追加しました。
  • 関連するライセンス情報があれば記載してください。
  • 最初のコネクタを開発する手順を記載します。

ユースケースを公開する

ユースケースを公開する手順は次のとおりです。

  1. コンテンツ ハブに移動し、[ユースケース] タブをクリックします。
  2. [ format_list_bulleted ] [リスト] をクリックし、[新しいユースケースを作成] を選択します。
  3. 詳細を入力し、開発したすべてのアイテム(テストケース、プレイブック、コネクタ)を追加します。
  4. [説明] フィールドにガイドを添付するか、完全なガイドへのリンクを記載します。
  5. 省略可: [エクスポート] をクリックしてユースケースをエクスポートし(今すぐまたは後で)、[保存] をクリックします。
  6. 省略可: [保存] をクリックした後、パッケージを ZIP ファイルとしてエクスポートするか、テスト用にインポートできます。
  7. 公開用に承認をリクエストします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。