첫 번째 사용 사례 만들기

다음에서 지원:
이 문서에서는 *사용 사례* 를 정의하고 Google Security Operations Marketplace에 사용 사례를 게시하기 위한 요구사항을 간략하게 설명합니다. 보안 위협 정의, 플레이북 작성부터 최종 게시까지 새 사용 사례를 만드는 방법에 관한 포괄적인 가이드를 제공합니다.

사용 사례 이해

사용 사례는 함께 솔루션을 제공하는 항목 패키지입니다. 예를 들면 다음과 같습니다.

  • 피싱 위협 자동화
  • 오탐 감소
  • 침해 사고 조사 조정

사용 사례를 Google SecOps Marketplace에 게시하면 모든 사용자가 사용할 수 있습니다.

사용 사례 패키지는 다음으로 구성됩니다.

  • 테스트 사례
  • 커넥터
  • 플레이북
  • 통합
  • 매핑 및 모델링 규칙

게시 요구사항

사용 사례가 Google SecOps Marketplace에 적합하려면 다음 요구사항을 충족해야 합니다.

  • 시뮬레이션 알림은 실제 제품의 실제 알림을 기반으로 합니다.
  • 정리된 환경에서 시뮬레이션 알림을 실행하면 모든 항목이 추출됩니다.
  • 커넥터로 실제 알림을 실행하면 모든 항목이 추출됩니다.
  • 플레이북이 오류 없이 엔드 투 엔드로 실행됩니다.
  • 최종 출력은 오류 없이 Google SecOps Marketplace로 가져올 수 있는 ZIP 파일 내보내기입니다.
  • 배포되면 시뮬레이션 알림을 사용하여 플레이북이 엔드 투 엔드로 실행되도록 통합을 구성할 수 있습니다.

사용 사례 만들기

이 섹션에서는 첫 번째 사용 사례를 만드는 단계를 설명합니다.

사용 사례 정의

사용 사례를 정의하려면 다음 단계를 따르세요.

  1. 해결하려는 보안 위협을 설명합니다.
  2. 알림 유형과 알림을 생성하는 감지 제품을 지정합니다 (예: CrowdStrike - Falcon Overwatch` via `Malicious Activity).
  3. 이 알림을 처리하기 위한 이슈 대응, 조정 또는 자동화 프로세스를 개발합니다.

사용 사례 알림 준비

  1. 실제 시나리오를 기반으로 맞춤 알림 또는 이벤트를 만듭니다. 플레이북과 사용 사례를 일관되게 테스트하기 위해 시뮬레이션 알림을 포함합니다. 이 시뮬레이션은 사용 사례 패키지의 일부로도 포함됩니다.
  2. 케이스에서 추가 추가 > 케이스 시뮬레이션을 클릭합니다.
  3. 추가를 클릭합니다.
  4. 사용 사례에 맞게 준비한 알림을 바탕으로 시뮬레이션 알림 필드를 채웁니다.
    5. 필드 설명
    소스\SIEM 이름 알림의 소스입니다 (예: Google Security Operations SIEM, 감지 도구). 제품에서 알림이 생성되고 Google SecOps에서 가져오는 경우 제품 이름을 추가합니다. Arcsight
    규칙 이름 Google SecOps SIEM 규칙 또는 감지 제품 알림 이름입니다. SIEM과 관련이 없는 경우 감지 제품의 알림 이름을 사용합니다. Data Exfiltration
    알림 제품 알림을 생성한 감지 도구입니다. DLP product
    알림 이름 제품에서 생성된 알림 이름입니다. Data Exfiltration
    이벤트 이름 알림을 트리거하는 기본 이벤트입니다. Data Exfiltration
    추가 알림 필드 SIEM이 없는 경우 추가 SIEM 필드 또는 알림 이름 Severity, Impact, Sensitive Assets SIEM이 관련되지 않은 경우 alert_name:
    추가 이벤트 필드 사고 대응을 위한 원시 보안 데이터입니다. src_ip, dest_port, email_headers
  5. 샘플 알림 또는 이벤트를 기반으로 Google SecOps에서 시뮬레이션 알림을 만듭니다.

항목 추출

  1. 알림의 시각화 모델 (Google SecOps에서 추출해야 하는 항목 및 항목 간의 관계)을 선택하고 원시 데이터 필드를 선택한 모델에 매핑합니다.
  2. 이벤트에서 설정 구성을 클릭합니다. 자세한 내용은 Google Security Operations SOAR 시작하기, 엔티티 만들기 (매핑 및 모델링), 알림 매핑 및 모델링을 참고하세요.
  3. 모든 항목이 항목 정보케이스 탭 아래에 생성되는지 확인합니다. 이렇게 하려면 각 항목에 대해 항목 하이라이트 > 더보기를 클릭합니다.

플레이북 작성

플레이북을 빌드하려면 다음 단계를 따르세요.

  1. 알림에 대한 시각적 (차트 또는 다이어그램) 이슈 대응 흐름을 정의합니다.
  2. Google SecOps에서 플레이북을 설계합니다. 이렇게 하려면 플레이북에서 사용할 통합을 다운로드하고 구성하세요. 자세한 내용은 Google SecOps Google SecOps Marketplace 사용통합 구성을 참고하세요.

플레이북에서 작업 구성

다음과 같이 작업 매개변수, 조건, 분기를 설정합니다.

  1. 작업 유형: 이 작업을 자동 또는 수동으로 실행할지를 선택합니다 (사람의 승인 필요).
  2. 인스턴스 선택: 동적을 선택합니다.
  3. 단계가 실패하는 경우: 작업이 실패하면 플레이북을 중지할지 아니면 다음 작업으로 건너뛸지 선택합니다.
  4. 항목: 이 작업이 영향을 주는 항목 유형(시뮬레이션 알림에서 추출한 항목 유형)을 선택합니다.
  5. 기타 매개변수: 통합 문서에 따라 작업별 매개변수를 입력합니다.

플레이북에서 조건 구성

플레이북에서 조건을 구성하려면 다음 단계를 따르세요.

  1. 필요한 지점 수를 결정합니다. 필요한 경우 브랜치 추가를 클릭하여 브랜치를 추가합니다.
  2. 각 브랜치를 트리거하는 조건을 정의합니다. 자리표시자 (대괄호)를 사용하여 이벤트 데이터, 이전 작업 결과 등의 조건을 참조합니다.
    3. 흐름에서 테스트할 수 있는 도구를 사용합니다.
  3. 실제 데이터로 테스트: 생성한 시뮬레이션 알림과 유사한 알림을 가져올 수 있는 커넥터를 설정합니다. 자세한 내용은 커넥터 구성을 참고하세요.
  4. 피싱 이메일 알림을 사용하는 이메일 커넥터와 같은 예시를 사용하여 커넥터를 테스트합니다. 자세한 내용은 커넥터 테스트를 참고하세요.
  5. 다음 사항을 확인하세요.
    • Google SecOps가 관련 항목을 추출할 수 있도록 실제 알림에도 동일한 매핑이 적용됩니다.
    • 플레이북이 경고에 대해 포괄적으로 실행되고 정의된 논리를 수행합니다. (악성 알림과 비악성 알림을 모두 사용하여 테스트하세요.)

가이드 작성

만드는 사용 사례는 다른 Google SecOps 사용자가 사용하게 됩니다. 다른 사용자가 사용 사례를 구현할 수 있도록 가이드로 콘텐츠를 첨부합니다. 이 가이드는 사용 사례 게시에 첨부할 수 있습니다.

  • 사용 사례와 SOC 가치를 설명합니다.
  • 개선을 위한 추천을 제공합니다.
  • 시뮬레이션 및 실제 데이터로 사용 사례를 실행하는 방법을 포함합니다.
  • 커넥터 및 통합 설정 안내를 추가합니다.
  • 관련 라이선스 정보를 포함합니다.
  • 첫 번째 커넥터를 개발하는 방법에 관한 절차를 포함합니다.

사용 사례 게시

사용 사례를 게시하려면 다음 단계를 따르세요.

  1. Google SecOps Marketplace로 이동하여 사용 사례 탭을 클릭합니다.
  2. format_list_bulleted 목록을 클릭하고 새 사용 사례 만들기를 선택합니다.
  3. 세부정보를 입력하고 개발한 모든 항목 (테스트 사례, 플레이북, 커넥터)을 추가합니다.
  4. 설명 필드에 가이드를 첨부하거나 전체 가이드로 연결되는 링크를 추가합니다.
  5. 선택사항: 내보내기를 클릭하여 사용 사례를 내보내고 (지금 또는 나중에) 저장을 클릭합니다.
  6. 선택사항: 저장을 클릭한 후 패키지를 ZIP 파일로 내보내거나 테스트를 위해 가져올 수 있습니다.
  7. 게시를 위해 승인을 받으세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.