Desenvolver seu primeiro caso de uso

Compatível com:
Este documento define um *caso de uso* e descreve os requisitos para publicar um no Content Hub. Ele oferece um guia abrangente para criar um novo caso de uso, desde a definição da ameaça de segurança e a criação do playbook até a publicação final.

Entender os casos de uso

Um caso de uso é um pacote de itens que, juntos, oferecem uma solução, como:

  • Automatizar ameaças de phishing
  • Reduzir falsos positivos
  • Orquestrar investigações de incidentes

Você publica um caso de uso no Content Hub, e ele fica disponível para todos os usuários.

Um pacote de caso de uso consiste em:

  • Casos de teste
  • Conectores
  • Playbooks
  • Integrações
  • Regras de mapeamento e modelagem

Requisitos de publicação

Para garantir que o caso de uso esteja pronto para o Content Hub, ele precisa atender aos seguintes requisitos:

  • Os alertas de simulação são baseados em alertas reais de um produto real.
  • Todas as entidades são extraídas ao executar o alerta de simulação em um ambiente limpo.
  • Todas as entidades são extraídas ao executar o alerta real com o conector.
  • O playbook é executado de ponta a ponta sem erros.
  • A saída final é uma exportação de arquivo ZIP que pode ser importada sem erros para o Content Hub.
  • Quando implantado, é possível configurar as integrações para que o playbook seja executado de ponta a ponta com alertas de simulação.

Criar um caso de uso

Esta seção descreve as etapas para criar seu primeiro caso de uso.

Definir o caso de uso

Para definir o caso de uso, siga estas etapas:

  1. Descreva a ameaça de segurança que está sendo abordada.
  2. Especifique o tipo de alerta e o produto de detecção que o gera (por exemplo, CrowdStrike - Falcon Overwatch` via `Malicious Activity)
  3. Desenvolva um processo de resposta a incidentes, orquestração ou automação para lidar com esse alerta.

Preparar alertas de caso de uso

  1. Crie um alerta ou evento personalizado com base em um cenário real. Inclua um alerta de simulação para testar seu playbook e caso de uso de forma consistente. Essa simulação também será incluída como parte do pacote de caso de uso.
  2. Em Casos, clique em add Adicionar > Simular casos.
  3. Clique em Adicionar.
  4. Preencha os campos do alerta de simulação com base nos alertas preparados para o caso de uso:
  5. Campo Descrição Exemplo
    Origem\Nome do SIEM Origem do alerta (por exemplo, Google Security Operations SIEM, ferramenta de detecção). Se os alertas forem gerados pelo produto e extraídos pelo Google SecOps, adicione o nome do produto. Arcsight
    Nome da regra Nome da regra do Google SecOps SIEM ou do alerta do produto de detecção. Se nenhum SIEM estiver envolvido, use o nome do alerta do produto de detecção. Data Exfiltration
    Produto de alerta Ferramenta de detecção que gerou o alerta. DLP product
    Nome do alerta Nome do alerta gerado pelo produto. Data Exfiltration
    Nome do evento Evento base que aciona o alerta. Data Exfiltration
    Outros campos de alerta Campos extras do SIEM ou nome do alerta se nenhum SIEM estiver presente. Severity, Impact, Sensitive Assets Se nenhum SIEM estiver envolvido, alert_name:.
    Outros campos de evento Dados de segurança brutos para resposta a incidentes. src_ip, dest_port, email_headers
  6. Crie um alerta de simulação no Google SecOps com base no alerta ou evento de amostra.

Extrair entidades

  1. Selecione o modelo de visualização do alerta (as entidades que o Google SecOps precisa extrair e as relações entre elas) e mapeie os campos de dados brutos para o modelo selecionado.
  2. No evento, clique em settings Configuração. Para mais detalhes, consulte Introdução ao Google Security Operations SOAR, Criar entidades (mapeamento e modelagem), e Mapear e modelar alertas.
  3. Verifique se todas as entidades foram criadas na guia Caso em Destaques de entidades. Para fazer isso, clique em Destaques de entidades > Ver mais para cada entidade.

Criar um playbook

Para criar um playbook, faça o seguinte:

  1. Defina o fluxo de resposta a incidentes visualmente (gráfico ou diagrama) para o alerta.
  2. Crie o playbook no Google SecOps. Para fazer isso, faça o download e configure as integrações a serem usadas no playbook. Para mais detalhes, consulte Configurar integrações.

Configurar ações no playbook

Defina os parâmetros, condições e ramificações da ação da seguinte maneira:

  1. Tipo de ação: selecione se essa ação precisa ser executada de forma automática ou manual (requer aprovação humana).
  2. Escolher instância: selecione Dinâmico.
  3. Se a etapa falhar: escolha se o playbook será interrompido se a ação falhar ou se ele vai pular para a próxima ação.
  4. Entidades: selecione os tipos de entidade que essa ação afeta (das extraídas no alerta de simulação).
  5. Outros parâmetros: insira os parâmetros específicos da ação com base na documentação de integração.

Configurar condições no playbook

Para configurar condições no playbook, siga estas etapas:

  1. Determine o número de ramificações necessárias. Se necessário, clique em Adicionar ramificação para criar outras ramificações.
  2. Para cada ramificação, defina as condições que a acionam. Use marcadores de posição (colchetes) para referenciar condições de dados de eventos, resultados de ações anteriores e muito mais.
  3. Use ferramentas que podem ser testadas no fluxo.
  4. Teste com dados ativos: configure um conector que possa extrair alertas semelhantes ao alerta de simulação criado. Para mais detalhes, consulte Configurar o conector.
  5. Teste o conector com um exemplo, como um conector de e-mail usando um alerta por e-mail de phishing. Para mais detalhes, consulte Testar um conector.
  6. Verifique se o seguinte foi realizado:
    • O mesmo mapeamento se aplica ao alerta real para que o Google SecOps possa extrair as entidades relevantes.
    • O playbook é executado de ponta a ponta no alerta e realiza a lógica definida. (Teste com alertas maliciosos e não maliciosos).

Escrever um guia

O caso de uso que você está criando será usado por outros usuários do Google SecOps. Anexe conteúdo como um guia para ajudar outros usuários a implementar o caso de uso. Você pode anexar esse guia em Publicar caso de uso:

  • Explique o caso de uso e o valor do SOC.
  • Forneça recomendações de melhoria.
  • Inclua instruções para executar o caso de uso com simulação e dados reais.
  • Adicione instruções de configuração para conectores e integrações.
  • Inclua informações de licenciamento relevantes.
  • Inclua um procedimento sobre como desenvolver seu primeiro conector.

Publicar o caso de uso

Para publicar o caso de uso, siga estas etapas:

  1. Acesse o Content Hub e clique na guia Casos de uso.
  2. Clique em format_list_bulleted Lista e selecione Criar novo caso de uso.
  3. Insira os detalhes e adicione todos os itens desenvolvidos (casos de teste, playbooks e conectores).
  4. Anexe seu guia no campo Descrição ou crie um link para um guia completo.
  5. Opcional: clique em Exportar para exportar o caso de uso (agora ou mais tarde) e clique em Salvar.
  6. Opcional: depois de clicar em Salvar, você pode exportar o pacote como um arquivo ZIP ou Importar para teste.
  7. Envie para aprovação para publicar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.