最初のユースケース

概要

ユースケースとは
ユースケースとは、フィッシング脅威の自動化、誤検出の削減、インシデント調査のオーケストレーションなど、ソリューションをまとめて提供するアイテムのパッケージのことです。
ユースケースが Chronicle Marketplace に公開されると、すべての Chronicle ユーザーがそれを使用できるようになります。
ユースケース パッケージは、テストケース、コネクタ、ハンドブック、統合とマッピングとモデリングのルールで構成されます。

ユースケースの作成

myfirstusecase1

ユースケースの作成は、ユースケースで解決する問題や脅威を定義することから始まります。その後、ユースケースのアラートの準備、エンティティの抽出、ハンドブックの作成を行い、最後に承認のためにユースケースをアップロードします。各ステップについては、次のセクションで詳しく説明します。ユースケースの作成で問題が発生した場合は、サポートの Slack チャンネルからお問い合わせください。

手順ガイド

1. ユースケースを定義する

ユースケースを使用して解決するセキュリティ上の脅威を記述します。処理するアラートの種類と、それを生成する検出プロダクトを定義します。
例: CrowdStrike - 悪意のあるアクティビティによる Falcon のオーバーウォッチ。
次に、このアラートを処理するためのインシデント対応、オーケストレーション、または自動化プロセスを構築する必要があります。

2. ユースケースのアラートを準備する

実際のデータケースに応じてカスタム アラート / イベントを作成できます。
ユースケースをシミュレートするために、検出ツールからサンプルのセキュリティ アラートまたはイベントを生成します。
[Cases] に移動し、プラス記号の下にある [Simulate Cases] をクリックします。

myfirstusecase2

次に、表示されたウィンドウで をクリックします。

シミュレーション アラートを作成する理由
シミュレーション アラートを作成すると、いつでもそれを使用してハンドブックとユースケースをテストできます。また、このシミュレーションはユースケース パッケージの一部になります。

アラートのシミュレーション方法
ユースケース用に準備したアラートに基づいて、シミュレーション アラートのフィールドに値を入力します。

シミュレーション アラート フィールド:
myfirstusecase3

次に、サンプルのアラート / イベントに基づいて、Chronicle でシミュレーション アラートを作成する必要があります。

  • "ソース \ SIEM 名":
    アラートのソース(SIEM または別の検出ツール)が表示されます。
    例: このフィールドの値は、SIEM プロダクトの「Arcsight」になります。
    アラートがプロダクト自体によって生成され、Chronicle がそこからプロダクトを取得する場合は、ここにプロダクト名を追加します。
  • 「Rule Name」:
    アラートを生成した SIEM ルールが表示されます。
    例: このフィールドの値は SIEM ルールである「Data Exfiltration」です。
    SIEM が関係していない場合は、検出プロダクトによって生成されたアラートの名前を追加します。
  • "Alert Product":
    アラートを生成した検出ツールが表示されます。
    例: アラート プロダクトは DLP(データ損失防止)プロダクトです。
  • 「アラート名」:
    プロダクトによって生成されたアラートの名前が表示されます。
    例: アラート名は「Data Exfiltration」です。(あらゆる種類のデータの不正移動を意味します)。
  • 「イベント名」:
    アラートをトリガーしたベースイベントの名前が表示されます。
    例: イベント名は「Data Exfiltration」です。
  • 「その他のアラート フィールド」:
    通常、SIEM によって生成されるアラートが表示されます。インシデント対応を容易にするため、追加コンテンツが表示されます。
    例 1: 重大度、影響、機密アセットなどの SIEM フィールド
    例 2: SIEM が関係しない場合は、アラートの名前(alert_name:)のフィールドを 1 つ追加するだけです。
  • 「その他のイベント フィールド」:
    インシデント対応で使用されるすべての未加工のセキュリティ データが表示されます。ユースケースに使用するサンプル アラートのすべてのデータを追加します。
    サンプル アラートにあるフィールドのスキーマを正確に使用します。
    最も一般的な用途 - アラートのセキュリティ データ(src_ip、dest_port、email_headers など)を入力します。

3. エンティティを抽出する(データをマッピングしてモデル化する)

アラートの可視化モデル(Chronicle が抽出する必要があるエンティティとその間の関係)を選択し、元データ フィールドを選択したモデルにマッピングします。

myfirstusecase4

イベントにアクセスするには、イベントの構成アイコンをクリックします(下のスクリーンショットを参照)。詳しい手順については、Chronicle スタートガイドエンティティの作成マッピングとモデリングをご覧ください。

myfirstusecase5

次に、すべてのエンティティが適切に作成されているかどうかを確認します。

エンティティは、[ケース] タブの [エンティティのハイライト] で確認できます。各エンティティで [さらに表示] をクリックして、マッピングが正しく構成されていることを確認します。

4. ハンドブックを作成する

まず、アラートのインシデント対応フロー(グラフまたは図形描画)を定義します。次に、Chronicle のハンドブックとして定義したフローを設計します。これを行うには、ハンドブックで使用する統合をダウンロードして構成する必要があります。詳細は、Chronicle Marketplace統合の構成をご覧ください。

手順は、ハンドブックを作成して実行するをご覧ください。

  • ハンドブックでのアクションの構成

    「アクション タイプ」- このアクションを自動的に実行するか手動で実行するかを選択します(人間による承認を待つ)。
    「インスタンスを選択」- [動的] を選択します。
    「ステップが失敗した場合」- アクションが失敗した場合にハンドブックを停止するか、次のアクションにスキップするかを選択します。
    「Entities」- この操作で影響を受けるエンティティの種類(シミュレーション アラートで抽出したエンティティから)を選択します。
    その他のパラメータ - 統合のドキュメントに基づいてアクション固有のパラメータを入力します

  • ハンドブックでの条件の構成

    ブランチの数を決定します。[Add Branch] ボタンでブランチを追加します。
    ブランチごとに、このブランチをトリガーする条件を定義します。
    イベントデータや前のアクションの結果などに条件を参照するには、プレースホルダ(角かっこ)を使用します。
    重要な注意事項 - 実際にフローでテストできるツールを使用してください。
    ライブデータのテスト - シミュレーション用に作成したアラートの例と同様のアラートを pull できるコネクタを設定します。コネクタの構成

    コネクタをテストするには:

    1. まず、コネクタの構成を保存します。
    2. [コネクタを 1 回だけ実行] をクリックして、ソースからアラートを pull します。
    3. 「サンプル アラート」には、Chronicle に取り込むことができるアラートが表示されます。
    4. [Output] には、実行の成否を示すスクリプトログが表示されます。
    コネクタのテストの詳細については、こちらで、フィッシング メール アラートを含むメールコネクタの例を紹介します。

    関連するエンティティを Chronicle が抽出できるように、実際のアラートに同じマッピングが適用されていることを確認してください。また、ハンドブックがアラートに対してエンドツーエンドで実行され、定義されたロジックが実行されることを確認してください。
    (悪意のあるアラートと悪意のないアラートの両方を試してください)

5. ガイドを作成する

作成するユースケースは他の Chronicle ユーザーによって使用されます。ユーザー エクスペリエンスを向上させるために、各ユースケースに追加のコンテンツを添付することを強くおすすめします。この場合、次のことを行う必要があります。

  • ユースケースとその価値を SOC に説明します。
  • ユースケースをさらに改善するための推奨事項を提供します。
  • シミュレーション データを使用してユースケースを実行する方法を簡潔に説明します。
  • ユーザーが生成した実際のデータに対してユースケースを実行する方法をお客様に説明します。
  • 使用中のツールの無料ライセンスを取得する方法を説明します(無料ライセンスがある場合)。
  • コネクタの設定方法について記載します。

このガイドは、後で「ユースケースの公開」に添付できます。

6. ユースケースを公開する

ユースケースを組み立てます。Chronicle Marketplace に移動し、[ユースケース] タブをクリックします。[format_list_booleaned] をクリックし、[新しいユースケースを作成] を選択します。

myfirstusecase6

開いたウィンドウで詳細を入力し、開発したアイテム(テストケース、ハンドブック、コネクタ)を追加します。
説明カテゴリには、以前に作成したガイドを追加できます。長すぎる場合は、簡単な説明を記入し、詳細なガイドへのリンクを添付できます。
これで [保存] をクリックする前に、ユースケースをエクスポートできます。接続が完了したら、[保存] をクリックします。後でエクスポートすることもできます。
[保存] をクリックした後、パッケージを ZIP ファイルとしてエクスポートし、テスト用にインポートします。問題がなければ、ユースケースを公開して承認を得るために送信します。


最初のユースケースの説明は以上です。