Membuat kasus penggunaan pertama Anda

Didukung di:
Dokumen ini mendefinisikan *kasus penggunaan* dan menguraikan persyaratan untuk memublikasikannya ke Google Security Operations Marketplace. Panduan ini memberikan panduan komprehensif untuk membuat kasus penggunaan baru, mulai dari menentukan ancaman keamanan dan membuat playbook hingga publikasi akhir.

Memahami kasus penggunaan

Kasus penggunaan adalah paket item yang bersama-sama memberikan solusi, seperti:

  • Mengotomatiskan ancaman phishing
  • Mengurangi positif palsu
  • Mengorkestrasi investigasi insiden

Anda memublikasikan kasus penggunaan ke Google SecOps Marketplace, dan kasus penggunaan tersebut tersedia untuk digunakan oleh semua pengguna.

Paket kasus penggunaan terdiri dari:

  • Kasus uji
  • Konektor
  • Playbook
  • Integrasi
  • Aturan pemetaan dan pemodelan

Persyaratan publikasi

Untuk memastikan kasus penggunaan Anda siap untuk Google SecOps Marketplace, kasus penggunaan tersebut harus memenuhi persyaratan berikut:

  • Peringatan simulasi didasarkan pada peringatan nyata dari produk yang sebenarnya.
  • Semua entitas diekstrak saat menjalankan pemberitahuan simulasi di lingkungan yang bersih.
  • Semua entitas diekstrak saat menjalankan pemberitahuan sebenarnya dengan konektor.
  • Playbook berjalan dari awal hingga akhir tanpa error.
  • Output akhir adalah ekspor file ZIP yang dapat diimpor tanpa error ke Google SecOps Marketplace.
  • Setelah di-deploy, Anda dapat mengonfigurasi integrasi untuk menjalankan playbook secara menyeluruh dengan pemberitahuan simulasi.

Membuat kasus penggunaan

Bagian ini menguraikan langkah-langkah untuk membuat kasus penggunaan pertama Anda.

Tentukan kasus penggunaan

Untuk menentukan kasus penggunaan, ikuti langkah-langkah berikut:

  1. Jelaskan ancaman keamanan yang sedang ditangani.
  2. Tentukan jenis pemberitahuan dan produk deteksi yang membuatnya (misalnya, CrowdStrike - Falcon Overwatch` via `Malicious Activity)
  3. Kembangkan proses respons, orkestrasi, atau otomatisasi insiden untuk menangani pemberitahuan ini.

Menyiapkan pemberitahuan kasus penggunaan

  1. Buat pemberitahuan atau peristiwa kustom berdasarkan skenario dunia nyata. Sertakan pemberitahuan simulasi untuk menguji playbook dan kasus penggunaan Anda secara konsisten. Simulasi ini juga akan disertakan sebagai bagian dari paket kasus penggunaan.
  2. Di Kasus, klik tambahkan Tambahkan > Simulasikan Kasus.
  3. Klik Add.
  4. Isi kolom pemberitahuan simulasi berdasarkan pemberitahuan yang Anda siapkan untuk kasus penggunaan:
    5. Kolom Deskripsi Contoh
    Sumber\Nama SIEM Sumber notifikasi (misalnya, SIEM Google Security Operations, alat deteksi). Jika pemberitahuan dibuat oleh produk dan ditarik oleh Google SecOps, tambahkan nama produk. Arcsight
    Nama Aturan Nama produk deteksi atau aturan SIEM Google SecOps. Jika tidak ada SIEM yang terlibat, gunakan nama pemberitahuan dari produk deteksi. Data Exfiltration
    Produk terkait Pemberitahuan Alat deteksi yang menghasilkan pemberitahuan. DLP product
    Nama Pemberitahuan Nama pemberitahuan yang dihasilkan oleh produk. Data Exfiltration
    Nama Acara Peristiwa dasar yang memicu pemberitahuan. Data Exfiltration
    Kolom Pemberitahuan Tambahan Kolom SIEM tambahan atau nama pemberitahuan jika tidak ada SIEM. Severity, Impact, Sensitive Assets Jika tidak ada SIEM yang terlibat, alert_name:.
    Kolom Peristiwa Tambahan Data keamanan mentah untuk respons insiden. src_ip, dest_port, email_headers
  5. Buat pemberitahuan simulasi di Google SecOps, berdasarkan pemberitahuan atau peristiwa contoh Anda.

Mengekstrak entity

  1. Pilih model visualisasi untuk pemberitahuan (entitas yang harus diekstrak Google SecOps dan relasi di antara entitas tersebut), lalu petakan kolom data mentah ke model yang dipilih.
  2. Di acara, klik setelan Konfigurasi. Untuk mengetahui detailnya, lihat Memulai Google Security Operations SOAR, Membuat entitas (pemetaan dan pemodelan), dan Memetakan dan memodelkan pemberitahuan.
  3. Pastikan semua entity dibuat di tab Kasus di Sorotan Entity. Untuk melakukannya, klik Sorotan Entitas > Lihat Selengkapnya untuk setiap entitas.

Buat playbook

Untuk membuat playbook, lakukan hal berikut:

  1. Tentukan alur respons insiden secara visual (diagram atau peta) untuk pemberitahuan.
  2. Rancang playbook di Google SecOps. Untuk melakukannya, download dan konfigurasi integrasi yang akan digunakan dalam playbook. Untuk mengetahui detailnya, lihat Google SecOps Menggunakan Google SecOps Marketplace dan Mengonfigurasi integrasi.

Mengonfigurasi tindakan dalam playbook

Tetapkan parameter tindakan, kondisi, dan cabang, sebagai berikut:

  1. Jenis Tindakan: Pilih apakah tindakan ini harus dijalankan secara otomatis atau manual (memerlukan persetujuan manusia).
  2. Pilih Instance: Pilih Dinamis.
  3. Jika Langkah Gagal: Pilih apakah playbook berhenti jika tindakan gagal atau melompat ke tindakan berikutnya.
  4. Entitas: Pilih jenis entitas yang terpengaruh oleh tindakan ini (dari entitas yang diekstrak dalam pemberitahuan simulasi).
  5. Parameter lainnya: Masukkan parameter khusus tindakan berdasarkan dokumentasi integrasi.

Mengonfigurasi kondisi di playbook

Untuk mengonfigurasi kondisi dalam playbook, ikuti langkah-langkah berikut:

  1. Tentukan jumlah cabang yang diperlukan. Jika diperlukan, klik Tambahkan Cabang untuk membuat cabang tambahan.
  2. Untuk setiap cabang, tentukan kondisi yang memicunya. Gunakan placeholder (tanda kurung siku) untuk mereferensikan kondisi dari data peristiwa, hasil tindakan sebelumnya, dan lainnya.
    3. Gunakan alat yang dapat Anda uji dalam alur.
  3. Uji dengan data aktif: Siapkan konektor yang dapat menarik pemberitahuan yang mirip dengan pemberitahuan simulasi yang Anda buat. Untuk mengetahui detailnya, lihat Mengonfigurasi konektor.
  4. Uji konektor dengan contoh, seperti konektor email menggunakan pemberitahuan email phishing. Untuk mengetahui detailnya, lihat Menguji konektor.
  5. Verifikasi bahwa:
  • Pemetaan yang sama berlaku untuk pemberitahuan sebenarnya sehingga Google SecOps dapat mengekstrak entitas yang relevan.
  • Playbook berjalan dari awal hingga akhir pada pemberitahuan dan menjalankan logika yang ditentukan. (Uji dengan peringatan berbahaya dan tidak berbahaya).

Menulis panduan

Kasus penggunaan yang Anda buat akan digunakan oleh pengguna Google SecOps lainnya. Lampirkan konten sebagai panduan untuk membantu pengguna lain menerapkan kasus penggunaan. Anda dapat melampirkan panduan ini di Kasus Penggunaan Publikasikan:

  • Jelaskan kasus penggunaan dan nilai SOC-nya.
  • Memberikan rekomendasi untuk peningkatan.
  • Sertakan petunjuk untuk menjalankan kasus penggunaan dengan simulasi dan data aktual.
  • Menambahkan petunjuk penyiapan untuk konektor dan integrasi.
  • Sertakan informasi pemberian lisensi yang relevan.
  • Sertakan prosedur tentang cara mengembangkan konektor pertama Anda.

Publikasikan kasus penggunaan

Untuk memublikasikan kasus penggunaan, ikuti langkah-langkah berikut:

  1. Buka Google SecOps Marketplace, lalu klik tab Use Cases.
  2. Klik format_list_bulleted List, lalu pilih Create New Use Case.
  3. Masukkan detail dan tambahkan semua item yang Anda kembangkan (kasus pengujian, playbook, dan konektor).
  4. Lampirkan panduan Anda di kolom Deskripsi atau tautkan ke panduan lengkap.
  5. Opsional: Klik Ekspor untuk mengekspor kasus penggunaan (sekarang atau nanti), lalu klik Simpan.
  6. Opsional: Setelah mengklik Simpan, Anda dapat mengekspor paket sebagai file ZIP, atau Mengimpornya untuk pengujian.
  7. Kirim untuk mendapatkan persetujuan agar dapat dipublikasikan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.