Criar seu primeiro caso de uso

Compatível com:
Este documento define um *caso de uso* e descreve os requisitos para publicar um no Google Security Operations Marketplace. Ele oferece um guia abrangente para criar um novo caso de uso, desde a definição da ameaça à segurança e a criação do playbook até a publicação final.

Entender os casos de uso

Um caso de uso é um pacote de itens que, juntos, oferecem uma solução, como:

  • Como automatizar a detecção de ameaças de phishing
  • Reduzir falsos positivos
  • Orquestração de investigações de incidentes

Você publica um caso de uso no Google SecOps Marketplace, e ele fica disponível para todos os usuários.

Um pacote de caso de uso consiste em:

  • Casos de teste
  • Conectores
  • Playbooks
  • Integrações
  • Regras de mapeamento e modelagem

Requisitos de publicação

Para garantir que seu caso de uso esteja pronto para o Google SecOps Marketplace, ele precisa atender aos seguintes requisitos:

  • Os alertas de simulação são baseados em alertas reais de um produto real.
  • Todas as entidades são extraídas ao executar o alerta de simulação em um ambiente limpo.
  • Todas as entidades são extraídas ao executar o alerta real com o conector.
  • O playbook é executado de ponta a ponta sem erros.
  • A saída final é uma exportação de arquivo ZIP que pode ser importada sem erros para o Google SecOps Marketplace.
  • Quando implantado, é possível configurar as integrações para que o playbook seja executado de ponta a ponta com alertas de simulação.

Criar um caso de uso

Esta seção descreve as etapas para criar seu primeiro caso de uso.

Definir o caso de uso

Para definir o caso de uso, siga estas etapas:

  1. Descreva a ameaça de segurança que está sendo abordada.
  2. Especifique o tipo de alerta e o produto de detecção que o gera (por exemplo, CrowdStrike - Falcon Overwatch` via `Malicious Activity).
  3. Desenvolva um processo de resposta, orquestração ou automação de incidentes para lidar com esse alerta.

Preparar alertas de caso de uso

  1. Crie um alerta ou evento personalizado com base em um cenário do mundo real. Inclua um alerta de simulação para testar seu playbook e caso de uso de maneira consistente. Essa simulação também será incluída como parte do pacote de caso de uso.
  2. Em Casos, clique em add Adicionar > Simular casos.
  3. Clique em Adicionar.
  4. Preencha os campos do alerta de simulação com base nos alertas que você preparou para o caso de uso:
    5. Campo Descrição Exemplo
    Origem\Nome do SIEM Origem do alerta (por exemplo, SIEM do Google Security Operations, ferramenta de detecção). Se os alertas forem gerados pelo produto e extraídos pelo Google SecOps, adicione o nome do produto. Arcsight
    Nome da regra Nome do alerta de regra ou produto de detecção do SIEM do Google SecOps. Se nenhum SIEM estiver envolvido, use o nome do alerta do produto de detecção. Data Exfiltration
    Produto que gerou o alerta Ferramenta de detecção que gerou o alerta. DLP product
    Nome do alerta Nome do alerta gerado pelo produto. Data Exfiltration
    Nome do evento Evento de base que aciona o alerta. Data Exfiltration
    Outros campos de alerta Campos extras do SIEM ou nome do alerta se nenhum SIEM estiver presente. Severity, Impact, Sensitive Assets Se nenhum SIEM estiver envolvido, alert_name:.
    Outros campos de evento Dados de segurança brutos para resposta a incidentes. src_ip, dest_port, email_headers
  5. Crie um alerta de simulação no Google SecOps com base no seu alerta ou evento de amostra.

Extrair entidades

  1. Selecione o modelo de visualização para o alerta (as entidades que o Google SecOps precisa extrair e as relações entre elas) e mapeie os campos de dados brutos para o modelo selecionado.
  2. No evento, clique em Configurações Configuração. Para mais detalhes, consulte Começar a usar o Google Security Operations SOAR, Criar entidades (mapeamento e modelagem) e Mapear e modelar alertas.
  3. Verifique se todas as entidades foram criadas na guia Caso em Destaques de entidades. Para isso, clique em Destaques de entidades > Ver mais em cada entidade.

Criar um playbook

Para criar um playbook, faça o seguinte:

  1. Defina o fluxo de resposta a incidentes visualmente (gráfico ou diagrama) para o alerta.
  2. Crie o playbook no Google SecOps. Para isso, faça o download e configure as integrações a serem usadas no playbook. Para mais detalhes, consulte Usar o Google SecOps Marketplace e Configurar integrações.

Configurar ações no playbook

Defina parâmetros de ação, condições e ramificações da seguinte maneira:

  1. Tipo de ação: selecione se essa ação deve ser executada de forma automática ou manual (requer aprovação humana).
  2. Escolher instância: selecione Dinâmica.
  3. Se a etapa falhar: escolha se o playbook será interrompido se a ação falhar ou se ele vai pular para a próxima ação.
  4. Entidades: selecione os tipos de entidade afetados por essa ação (entre os extraídos no alerta de simulação).
  5. Outros parâmetros: insira os parâmetros específicos da ação com base na documentação de integração.

Configurar condições no playbook

Para configurar condições no playbook, siga estas etapas:

  1. Determine o número de ramificações necessárias. Se necessário, clique em Adicionar ramificação para criar outras ramificações.
  2. Para cada ramificação, defina as condições que a acionam. Use marcadores de posição (colchetes) para fazer referência a condições de dados de eventos, resultados de ações anteriores e muito mais.
    3. Use ferramentas que podem ser testadas no seu fluxo.
  3. Teste com dados reais: configure um conector que possa extrair alertas semelhantes ao alerta de simulação que você criou. Para mais detalhes, consulte Configurar o conector.
  4. Teste o conector com um exemplo, como um conector de e-mail usando um alerta por e-mail de phishing. Para mais detalhes, consulte Testar um conector.
  5. Verifique se:
    • O mesmo mapeamento se aplica ao alerta real para que o Google SecOps possa extrair as entidades relevantes.
    • O playbook é executado de ponta a ponta no alerta e realiza a lógica definida. (Teste com alertas maliciosos e não maliciosos).

Escrever um guia

O caso de uso que você está criando será usado por outros usuários do Google SecOps. Anexe conteúdo como um guia para ajudar outros usuários a implementar o caso de uso. Você pode anexar este guia em Publicar caso de uso:

  • Explique o caso de uso e o valor dele para o SOC.
  • Faça recomendações de melhoria.
  • Inclua instruções para executar o caso de uso com simulação e dados reais.
  • Adição de instruções de configuração para conectores e integrações.
  • Inclua todas as informações de licenciamento relevantes.
  • Inclua um procedimento sobre como desenvolver seu primeiro conector.

Publicar o caso de uso

Para publicar seu caso de uso, siga estas etapas:

  1. Acesse o Google SecOps Marketplace e clique na guia Casos de uso.
  2. Clique em format_list_bulleted Lista e selecione Criar novo caso de uso.
  3. Insira os detalhes e adicione todos os itens que você desenvolveu (casos de teste, playbooks e conectores).
  4. Anexe seu guia no campo Descrição ou inclua um link para um guia completo.
  5. Opcional: clique em Exportar para exportar o caso de uso (agora ou depois) e clique em Salvar.
  6. Opcional: depois de clicar em Salvar, você pode exportar o pacote como um arquivo ZIP ou Importar para teste.
  7. Envie para aprovação e publicação.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.