创建您的第一个使用情形

支持的平台:
本文档定义了 *使用情形*,并概述了在 Google Security Operations Marketplace 中发布使用情形的要求。它提供了一份全面的指南,指导您创建新的应用场景,从定义安全威胁和构建 playbook 到最终发布。

了解使用场景

用例是指共同提供解决方案的一组商品,例如:

  • 自动防范钓鱼式攻击威胁
  • 减少误报
  • 编排突发事件调查

您将用例发布到 Google SecOps Marketplace,所有用户都可以使用该用例。

用例软件包包含以下内容:

  • 测试用例
  • 连接器
  • 策略方案
  • 集成
  • 映射和建模规则

发布要求

为确保您的使用情形符合 Google SecOps Marketplace 的要求,您必须满足以下条件:

  • 模拟提醒基于真实产品中的真实提醒。
  • 在干净的环境中运行模拟提醒时,系统会提取所有实体。
  • 使用连接器运行真实提醒时,系统会提取所有实体。
  • playbook 端到端运行,没有出现错误。
  • 最终输出是一个 ZIP 文件导出,可以无错误地导入到 Google SecOps Marketplace 中。
  • 部署后,您可以配置集成,使剧本能够通过模拟提醒端到端运行。

创建应用场景

本部分概述了创建首个应用场景的步骤。

定义用例

如需定义使用情形,请按以下步骤操作:

  1. 描述所要解决的安全威胁。
  2. 指定提醒类型和生成该提醒的检测产品(例如 CrowdStrike - Falcon Overwatch` via `Malicious Activity
  3. 制定突发事件响应、编排或自动化流程来处理此提醒。

准备用例提醒

  1. 根据实际情况创建自定义提醒或事件。包含模拟提醒,可用于持续测试 playbook 和用例。此模拟也将作为用例软件包的一部分包含在内。
  2. 支持请求中,依次点击 添加> 模拟支持请求
  3. 点击 Add
  4. 根据您为应用场景准备的提醒,填写模拟提醒的各个字段:
    5. 字段 说明 示例
    来源\SIEM 名称 提醒的来源(例如 Google Security Operations SIEM、检测工具)。如果提醒是由产品生成并由 Google SecOps 拉取的,请添加产品名称。 Arcsight
    规则名称 Google SecOps SIEM 规则或检测产品提醒名称。如果不涉及 SIEM,请使用检测产品中的提醒名称。 Data Exfiltration
    提醒产品 生成提醒的检测工具。 DLP product
    提醒名称 由产品生成的提醒名称。 Data Exfiltration
    活动名称 触发提醒的基础事件。 Data Exfiltration
    更多提醒字段 如果不存在 SIEM,则为额外的 SIEM 字段或提醒名称。 Severity, Impact, Sensitive Assets 如果不涉及任何 SIEM,则为 alert_name:
    其他事件字段 用于突发事件响应的原始安全数据。 src_ip, dest_port, email_headers
  5. 在 Google SecOps 中,根据您的示例提醒或事件创建模拟提醒。

提取实体

  1. 选择提醒的可视化模型(Google SecOps 应提取的实体及其之间的关系),并将原始数据字段映射到所选模型。
  2. 在活动上,依次点击设置 配置。如需了解详情,请参阅开始使用 Google Security Operations SOAR创建实体(映射和建模)以及映射和建模提醒
  3. 验证所有实体是否均已在实体突出显示中的案例标签页下创建。为此,请依次点击每个实体的实体突出显示图标 > 查看更多

构建 playbook

如需构建剧本,请执行以下操作:

  1. 直观地定义提醒的突发事件响应流程(图表或示意图)。
  2. 在 Google SecOps 中设计 playbook。为此,请下载并配置要在剧本中使用的集成。有关详情,请参阅 Google SecOps 使用 Google SecOps Marketplace配置集成

在 playbook 中配置操作

设置操作参数、条件和分支,如下所示:

  1. 操作类型:选择此操作应自动运行还是手动运行(需要人工批准)。
  2. 选择实例:选择动态
  3. 如果步骤失败:选择在操作失败时,playbook 是停止还是跳到下一个操作。
  4. 实体:选择此操作会影响的实体类型(从模拟提醒中提取的实体类型中选择)。
  5. 其他参数:根据集成文档输入特定于操作的参数。

在 playbook 中配置条件

如需在剧本中配置条件,请按以下步骤操作:

  1. 确定所需的分支数量。如有需要,请点击添加分支以创建其他分支。
  2. 为每个分支定义触发条件。使用占位符(方括号)引用事件数据、之前操作的结果等中的条件。
    3. 使用可在流程中测试的工具。
  3. 使用实时数据进行测试:设置一个连接器,该连接器可以提取与您创建的模拟提醒类似的提醒。如需了解详情,请参阅配置连接器
  4. 通过示例测试连接器,例如使用钓鱼式攻击电子邮件提醒的电子邮件连接器。如需了解详情,请参阅测试连接器
  5. 请确认以下事项:
    • 相同的映射也适用于真实提醒,以便 Google SecOps 提取相关实体。
    • Playbook 会针对相应提醒端到端地运行,并执行已定义的逻辑。(同时测试恶意提醒和非恶意提醒)。

撰写指南

您创建的用例将供其他 Google SecOps 用户使用。附加内容作为指南,帮助其他用户实现相应使用情形。您可以在发布使用场景中附上本指南:

  • 说明用例及其 SOC 价值。
  • 提供改进建议。
  • 包含有关如何使用模拟数据和真实数据运行相应使用情形的说明。
  • 添加了连接器和集成的设置说明。
  • 提供所有相关的许可信息。
  • 包含有关如何开发第一个连接器的步骤。

发布使用情形

如需发布您的使用情形,请按以下步骤操作:

  1. 前往 Google SecOps Marketplace,然后点击使用情形标签页。
  2. 依次点击 format_list_bulleted ListCreate New Use Case
  3. 输入详细信息,并添加您开发的所有项目(测试用例、剧本和连接器)。
  4. 说明字段中附上指南,或链接到完整指南。
  5. 可选:点击导出可立即或稍后导出用例,然后点击保存
  6. 可选:点击保存后,您可以将软件包导出为 ZIP 文件,也可以导入以进行测试。
  7. 提交以供审批发布。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。