建立第一個應用實例

支援的國家/地區:
本文定義了「應用情境」,並概述將應用情境發布至 Google Security Operations Marketplace 的相關規定。這份指南提供完整說明,從定義安全威脅、建構劇本,到最後發布,協助您建立新的應用情境。

瞭解用途

用途是指一組項目,可共同提供解決方案,例如:

  • 自動化網路釣魚威脅
  • 減少誤報
  • 自動化調度管理事件調查

您將用途發布至 Google SecOps Marketplace,所有使用者都能使用。

應用實例套件包含:

  • 測試案例
  • 連接器
  • 應對手冊
  • 整合
  • 對應和建模規則

發布規定

如要確保您的用途符合 Google SecOps Marketplace 的規定,請務必符合下列條件:

  • 模擬警報是以實際產品的真實警報為依據。
  • 在乾淨的環境中執行模擬快訊時,系統會擷取所有實體。
  • 使用連接器執行實際快訊時,系統會擷取所有實體。
  • 應對手冊從頭到尾執行完畢,沒有發生錯誤。
  • 最終輸出內容為 ZIP 檔案,可匯入 Google SecOps Marketplace,不會發生錯誤。
  • 部署後,您可以設定整合功能,讓劇本搭配模擬警報從頭到尾執行。

建立使用案例

本節將說明建立第一個應用實例的步驟。

定義用途

如要定義用途,請按照下列步驟操作:

  1. 說明要解決的安全威脅。
  2. 指定快訊類型和產生快訊的偵測產品 (例如 CrowdStrike - Falcon Overwatch` via `Malicious Activity)
  3. 制定事件應變、調度管理或自動化程序,以處理這項快訊。

準備用途快訊

  1. 根據實際情況建立自訂快訊或事件。加入模擬快訊,持續測試應對手冊和使用案例。這項模擬也會納入應用實例套件。
  2. 在「案件」中,依序點選「新增」 >「模擬案件」
  3. 按一下「新增」
  4. 根據您為用途準備的快訊,填寫模擬快訊的欄位:
    5. 欄位 說明 範例
    來源\SIEM 名稱 快訊來源 (例如 Google Security Operations SIEM、偵測工具)。如果警報是由產品產生,並由 Google SecOps 擷取,請新增產品名稱。 Arcsight
    規則名稱 Google SecOps SIEM 規則或偵測產品快訊名稱。如果沒有 SIEM,請使用偵測產品的快訊名稱。 Data Exfiltration
    警告產品 產生快訊的偵測工具。 DLP product
    快訊名稱 產品產生的快訊名稱。 Data Exfiltration
    活動名稱 觸發快訊的基礎事件。 Data Exfiltration
    其他警告欄位 如果沒有 SIEM,則為額外的 SIEM 欄位或快訊名稱。 Severity, Impact, Sensitive Assets如果沒有使用 SIEM,alert_name:
    其他事件欄位 事件應變用的原始安全資料。 src_ip, dest_port, email_headers
  5. 根據範例快訊或事件,在 Google SecOps 中建立模擬快訊。

擷取實體

  1. 選取快訊的視覺化模型 (Google SecOps 應擷取的實體及其關係),然後將原始資料欄位對應至所選模型。
  2. 在活動中,依序點選「設定」「設定」。詳情請參閱「開始使用 Google Security Operations SOAR」、「建立實體 (對應和建模)」和「對應及模擬快訊」。
  3. 確認所有實體都已在「實體摘要」的「案件」分頁中建立。如要查看,請依序點選每個實體的「實體重點」> 查看更多

建立應對手冊

如要建立劇本,請按照下列步驟操作:

  1. 以視覺化方式 (圖表或示意圖) 定義提醒的事件應變流程。
  2. 在 Google SecOps 中設計劇本。如要這麼做,請下載並設定要在應對手冊中使用的整合項目。詳情請參閱「Google SecOps:使用 Google SecOps Marketplace」和「設定整合功能」。

設定應對手冊中的動作

設定動作參數、條件和分支,如下所示:

  1. 動作類型:選取這項動作應自動執行或手動執行 (需要人工核准)。
  2. 選擇執行個體:選取「動態」
  3. 如果步驟失敗:選擇應對手冊在動作失敗時停止,還是略過並執行下一個動作。
  4. 實體:選取這項動作會影響的實體類型 (從模擬警示中擷取的類型)。
  5. 其他參數:根據整合文件輸入動作專屬參數。

在應對手冊中設定條件

如要在劇本中設定條件,請按照下列步驟操作:

  1. 決定所需的分支機構數量。如有需要,請按一下「新增分支」建立其他分支。
  2. 為每個分支定義觸發條件。使用預留位置 (方括號) 參照事件資料、先前動作結果等條件。
    3. 在流程中測試可用的工具。
  3. 使用即時資料進行測試:設定可擷取與您建立的模擬快訊類似快訊的連結器。詳情請參閱「設定連接器」。
  4. 使用範例測試連接器,例如使用網路釣魚電子郵件快訊的電子郵件連接器。詳情請參閱「測試連接器」。
  5. 請確認:
    • 這項對應也會套用至實際快訊,讓 Google SecOps 能夠擷取相關實體。
    • 應對手冊會針對警報從頭到尾執行,並執行定義的邏輯。(請測試惡意和非惡意警報)。

撰寫指南

您建立的使用案例將供其他 Google SecOps 使用者使用。附上內容做為指南,協助其他使用者實作該用途。您可以在「發布應用實例」中附加這份指南:

  • 說明用途和 SOC 價值。
  • 提供改善建議。
  • 包含使用模擬和實際資料執行用途的說明。
  • 新增連接器和整合項目的設定操作說明。
  • 附上任何相關授權資訊。
  • 請加入開發第一個連結器的程序。

發布用途

如要發布用途,請按照下列步驟操作:

  1. 前往 Google SecOps Marketplace,然後按一下「Use Cases」(用途) 分頁標籤。
  2. 按一下「清單」圖示 format_list_bulleted ,然後選取「建立新用途」
  3. 輸入詳細資料,並新增您開發的所有項目 (測試案例、劇本和連接器)。
  4. 在「說明」欄位中附上指南,或提供完整指南的連結。
  5. 選用:按一下「匯出」即可匯出用途 (立即或稍後),然後按一下「儲存」
  6. 選用:按一下「儲存」後,您可以將套件匯出為 ZIP 檔案,或匯入套件進行測試。
  7. 送審並發布。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。