建立第一個應用實例

支援的國家/地區:
本文將定義「用途」,並概述在內容中心發布用途的相關規定。這份指南提供完整說明,從定義安全威脅、建構劇本,到最終發布,協助您建立新的應用情境。

瞭解用途

用途是指一組可提供解決方案的項目,例如:

  • 自動化網路釣魚威脅
  • 減少誤判
  • 自動化調度管理事件調查

您將用途發布至內容中心,所有使用者都能使用。

應用實例套件包含:

  • 測試案例
  • 連接器
  • 應對手冊
  • 整合
  • 對應和建模規則

發布規定

如要確保用途符合內容中心規定,請確認符合下列條件:

  • 模擬警報是以實際產品的真實警報為依據。
  • 在乾淨的環境中執行模擬快訊時,系統會擷取所有實體。
  • 使用連接器執行實際快訊時,系統會擷取所有實體。
  • 應對手冊從頭到尾執行完畢,沒有發生錯誤。
  • 最終輸出結果是 ZIP 檔案匯出內容,可順利匯入內容中心。
  • 部署後,您可以設定整合功能,讓應對手冊搭配模擬警報執行端對端作業。

建立應用實例

本節將說明建立第一個應用實例的步驟。

定義用途

如要定義用途,請按照下列步驟操作:

  1. 說明要解決的安全威脅。
  2. 指定快訊類型和產生快訊的偵測產品 (例如 CrowdStrike - Falcon Overwatch` via `Malicious Activity)
  3. 制定事件應變、調度管理或自動化程序,處理這項快訊。

準備用途快訊

  1. 根據實際情境建立自訂快訊或事件。加入模擬警報,持續測試應對手冊和使用案例。這項模擬也會納入應用實例套件。
  2. 在「案件」中,依序點選「新增」 >「模擬案件」
  3. 按一下「新增」
  4. 根據您為用途準備的快訊,填寫模擬快訊的欄位:
    5. 欄位 說明 範例
    來源\SIEM 名稱 快訊來源 (例如 Google Security Operations SIEM、偵測工具)。如果警報是由產品產生,並由 Google SecOps 擷取,請新增產品名稱。 Arcsight
    規則名稱 Google SecOps SIEM 規則或偵測產品快訊名稱。如果沒有 SIEM,請使用偵測產品的快訊名稱。 Data Exfiltration
    警告產品 產生快訊的偵測工具。 DLP product
    快訊名稱 產品產生的快訊名稱。 Data Exfiltration
    活動名稱 觸發快訊的基礎事件。 Data Exfiltration
    其他警告欄位 如果沒有 SIEM,則為額外的 SIEM 欄位或快訊名稱。 Severity, Impact, Sensitive Assets如果沒有 SIEM 參與,alert_name:
    其他事件欄位 用於事件應變的原始安全資料。 src_ip, dest_port, email_headers
  5. 根據樣本快訊或事件,在 Google SecOps 中建立模擬快訊。

擷取實體

  1. 選取快訊的視覺化模型 (Google SecOps 應擷取的實體及其關係),然後將原始資料欄位對應至所選模型。
  2. 在活動中,依序點選「設定」「設定」。詳情請參閱「開始使用 Google Security Operations SOAR」、「建立實體 (對應與建模)」和「對應及模擬快訊」。
  3. 確認所有實體都已在「實體摘要」的「案件」分頁中建立。如要查看,請依序點選每個實體的「實體重點」> 查看更多

建立應對手冊

如要建立劇本,請按照下列步驟操作:

  1. 以視覺化方式 (圖表或圖解) 定義提醒的事件應變流程。
  2. 在 Google SecOps 中設計劇本。如要這麼做,請下載並設定要在應對手冊中使用的整合功能。詳情請參閱「設定整合」。

設定應對手冊中的動作

設定動作參數、條件和分支,如下所示:

  1. 動作類型:選取這項動作應自動或手動執行 (需要人工核准)。
  2. 選擇執行個體:選取「動態」
  3. 如果步驟失敗:選擇應對手冊在動作失敗時停止,還是略過並執行下一個動作。
  4. 實體:選取這項動作會影響的實體類型 (從模擬警示中擷取的實體類型)。
  5. 其他參數:根據整合說明文件,輸入動作專屬參數。

在應對手冊中設定條件

如要在劇本中設定條件,請按照下列步驟操作:

  1. 決定所需的分支機構數量。如有需要,請按一下「新增分支」來建立其他分支。
  2. 為每個分支定義觸發條件。使用預留位置 (方括號) 參照事件資料、先前動作結果等條件。
    3. 在流程中測試可用的工具。
  3. 使用即時資料進行測試:設定可擷取與您建立的模擬快訊類似快訊的連結器。詳情請參閱「設定連接器」。
  4. 使用範例測試連接器,例如使用網路釣魚電子郵件快訊的電子郵件連接器。詳情請參閱「測試連接器」。
  5. 請確認:
    • 這項對應也會套用至實際快訊,讓 Google SecOps 能夠擷取相關實體。
    • 應對手冊會針對警報從頭到尾執行,並執行定義的邏輯。(請測試惡意和非惡意快訊)。

撰寫指南

您建立的用途將供其他 Google SecOps 使用者使用。附上內容做為指南,協助其他使用者實作該用途。您可以在「發布應用實例」中附加這份指南:

  • 說明用途和 SOC 價值。
  • 提供改善建議。
  • 包含使用模擬和實際資料執行用途的說明。
  • 新增連接器和整合項目的設定操作說明。
  • 附上任何相關授權資訊。
  • 請加入開發第一個連結器的程序。

發布用途

如要發布用途,請按照下列步驟操作:

  1. 前往內容中心,然後點選「使用案例」分頁。
  2. 按一下「清單」圖示 format_list_bulleted ,然後選取「建立新用途」
  3. 輸入詳細資料,並新增您開發的所有項目 (測試案例、劇本和連接器)。
  4. 在「說明」欄位中附上指南,或提供完整指南的連結。
  5. 選用:按一下「匯出」即可匯出用途 (現在或稍後),然後按一下「儲存」
  6. 選用:按一下「儲存」後,您可以將套件匯出為 ZIP 檔案,或匯入套件進行測試。
  7. 送審並發布。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。