Crie o seu primeiro exemplo de utilização

Compatível com:
Este documento define um *exemplo de utilização* e descreve os requisitos para publicar um no Google Security Operations Marketplace. Fornece um guia abrangente para criar um novo exemplo de utilização, desde a definição da ameaça de segurança e a criação do manual de procedimentos até à publicação final.

Compreenda os exemplos de utilização

Um exemplo de utilização é um pacote de artigos que, em conjunto, oferecem uma solução, como:

  • Automatizar ameaças de phishing
  • Reduzir falsos positivos
  • Orquestrar investigações de incidentes

Publica um exemplo de utilização no Google SecOps Marketplace e está disponível para todos os utilizadores.

Um pacote de exemplos de utilização é composto por:

  • Casos de teste
  • Conetores
  • Guias interativos
  • Integrações
  • Regras de mapeamento e modelagem

Requisitos de publicação

Para se certificar de que o seu exemplo de utilização está pronto para o Google SecOps Marketplace, tem de cumprir os seguintes requisitos:

  • Os alertas de simulação baseiam-se em alertas reais de um produto real.
  • Todas as entidades são extraídas quando executa o alerta de simulação num ambiente limpo.
  • Todas as entidades são extraídas quando executa o alerta real com o conector.
  • O livro de jogadas é executado de princípio ao fim sem erros.
  • O resultado final é uma exportação de ficheiro ZIP que pode ser importada sem erros para o Google SecOps Marketplace.
  • Quando implementadas, pode configurar as integrações para que o guião de planeamento seja executado de forma integral com alertas de simulação.

Crie um exemplo de utilização

Esta secção descreve os passos para criar o seu primeiro exemplo de utilização.

Defina o exemplo de utilização

Para definir o exemplo de utilização, siga estes passos:

  1. Descreva a ameaça de segurança que está a ser abordada.
  2. Especifique o tipo de alerta e o produto de deteção que o gera (por exemplo, CrowdStrike - Falcon Overwatch` via `Malicious Activity)
  3. Desenvolva um processo de resposta a incidentes, orquestração ou automatização para processar este alerta.

Prepare alertas de exemplos de utilização

  1. Crie um alerta ou um evento personalizado com base num cenário do mundo real. Inclua um alerta de simulação para testar o seu plano de ação e exemplo de utilização de forma consistente. Esta simulação também será incluída como parte do pacote de exemplos de utilização.
  2. Em Registos, clique em adicionar Adicionar > Simular registos.
  3. Clique em Adicionar.
  4. Preencha os campos do alerta de simulação com base nos alertas que preparou para o exemplo de utilização:
    5. Campo Descrição Exemplo
    Nome da origem/SIEM Origem do alerta (por exemplo, SIEM do Google Security Operations, ferramenta de deteção). Se os alertas forem gerados pelo produto e extraídos pelo Google SecOps, adicione o nome do produto. Arcsight
    Nome da regra Nome da regra do SIEM do Google SecOps ou do alerta do produto de deteção. Se não estiver envolvido nenhum SIEM, use o nome do alerta do produto de deteção. Data Exfiltration
    Produto de alerta Ferramenta de deteção que gerou o alerta. DLP product
    Nome do alerta Nome do alerta gerado pelo produto. Data Exfiltration
    Nome do evento Evento base que aciona o alerta. Data Exfiltration
    Campos de alerta adicionais Campos SIEM adicionais ou nome do alerta se não existir nenhum SIEM. Severity, Impact, Sensitive Assets Se não estiver envolvido nenhum SIEM, alert_name:.
    Campos de eventos adicionais Dados de segurança não processados para resposta a incidentes. src_ip, dest_port, email_headers
  5. Crie um alerta de simulação no Google SecOps com base no seu alerta ou evento de exemplo.

Extraia entidades

  1. Selecione o modelo de visualização para o alerta (as entidades que o Google SecOps deve extrair e as relações entre elas) e mapeie os campos de dados não processados para o modelo selecionado.
  2. No evento, clique em definições Configuração. Para mais detalhes, consulte os artigos Comece a usar o SOAR das Operações de segurança da Google, Crie entidades (mapeamento e modelagem) e Mapeie e modele alertas.
  3. Verifique se todas as entidades são criadas no separador Registo em Destaques de entidades. Para o fazer, clique em Destaques de entidades > Ver mais para cada entidade.

Crie um guia interativo

Para criar um manual de soluções, faça o seguinte:

  1. Defina o fluxo de resposta a incidentes visualmente (tabela ou diagrama) para o alerta.
  2. Conceba o manual de procedimentos no Google SecOps. Para tal, transfira e configure as integrações a usar no plano de ação. Para mais detalhes, consulte os artigos Use o Google SecOps Marketplace e Configure integrações.

Configure ações no manual

Defina parâmetros de ações, condições e ramificações da seguinte forma:

  1. Tipo de ação: selecione se esta ação deve ser executada automaticamente ou manualmente (requer aprovação humana).
  2. Escolher instância: selecione Dinâmico.
  3. Se o passo falhar: escolha se o manual de soluções para se o passo falhar ou se passa para o passo seguinte.
  4. Entidades: selecione os tipos de entidades que esta ação afeta (das que foram extraídas no seu alerta de simulação).
  5. Outros parâmetros: introduza os parâmetros específicos da ação com base na documentação de integração.

Configure condições no manual de procedimentos

Para configurar condições no manual de soluções, siga estes passos:

  1. Determine o número de ramificações necessárias. Se necessário, clique em Adicionar ramificação para criar ramificações adicionais.
  2. Para cada ramificação, defina as condições que a acionam. Use marcadores de posição (parênteses retos) para fazer referência a condições de dados de eventos, resultados de ações anteriores e muito mais.
    3. Use ferramentas que pode testar no seu fluxo.
  3. Teste com dados em direto: configure um conector que possa extrair alertas semelhantes ao alerta de simulação que criou. Para ver detalhes, consulte a secção Configure o conetor.
  4. Teste o conetor com um exemplo, como um conetor de email que use um alerta de email de phishing. Para ver detalhes, consulte o artigo Teste um conetor.
  5. Verifique se:
    • O mesmo mapeamento aplica-se ao alerta real para que o Google SecOps possa extrair as entidades relevantes.
    • O manual de procedimentos é executado de forma integral no alerta e aplica a lógica definida. (Teste com alertas maliciosos e não maliciosos).

Escrever um guia

O exemplo de utilização que está a criar vai ser usado por outros utilizadores do Google SecOps. Anexe conteúdo como um guia para ajudar outros utilizadores a implementar o exemplo de utilização. Pode anexar este guia no Exemplo de utilização de publicação:

  • Explique o exemplo de utilização e o respetivo valor do SOC.
  • Fornecer recomendações de melhoria.
  • Inclua instruções para executar o exemplo de utilização com simulação e dados reais.
  • Adicione instruções de configuração para conetores e integrações.
  • Inclua todas as informações de licenciamento relevantes.
  • Inclua um procedimento sobre como desenvolver o seu primeiro conetor.

Publique o exemplo de utilização

Para publicar o seu exemplo de utilização, siga estes passos:

  1. Aceda ao Google SecOps Marketplace e clique no separador Exemplos de utilização.
  2. Clique em format_list_bulleted Lista e selecione Criar novo exemplo de utilização.
  3. Introduza os detalhes e adicione todos os itens que desenvolveu (cenários de teste, manuais de procedimentos e conetores).
  4. Anexe o seu guia no campo Descrição ou adicione um link para um guia completo.
  5. Opcional: clique em Exportar para exportar o exemplo de utilização (agora ou mais tarde) e clique em Guardar.
  6. Opcional: depois de clicar em Guardar, pode exportar o pacote como um ficheiro ZIP ou Importá-lo para testes.
  7. Envie para aprovação para publicação.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.