첫 번째 사용 사례
개요
사용 사례란?
사용 사례는 함께 솔루션을 제공하는 항목 패키지입니다(예: 피싱 위협 자동화, 거짓양성 감소, 이슈 조사 조정 등).
사용 사례가 Chronicle Marketplace에 게시되면 모든 Chronicle 사용자가 사용할 수 있습니다.
사용 사례 패키지는 테스트 사례, 커넥터, 플레이북은 물론 매핑 및 모델링의 통합과 규칙으로 구성됩니다.
사용 사례 만들기
사용 사례를 만들려면 사용 사례에서 해결하는 문제/위협을 정의하는 것부터 시작합니다. 이어서 사용 사례 알림을 준비하고, 항목을 추출하고, 플레이북을 작성하고, 마지막으로 사용 사례를 업로드하여 승인을 요청해야 합니다. 다음 섹션에서 이러한 각 단계를 자세히 설명합니다. 사용 사례를 만드는 데 문제가 있으면 지원 Slack 채널을 통해 Google에 문의하세요.
단계별 안내
1. 사용 사례 정의
사용 사례를 사용하여 해결하려는 보안 위협에 대한 설명을 작성합니다. 처리할 알림의 종류와 이러한 알림을 생성하는 감지 제품은 무엇인지 정의합니다.
예: CrowdStrike - 악성 활동을 통한 Falcon Overwatch
다음으로 해야 할 일은 이 알림을 처리하기 위한 이슈 대응, 조정 또는 자동화 프로세스를 작성하는 것입니다.
2. 사용 사례 알림 준비
실제 데이터 사례에 따라 커스텀 알림/이벤트를 만들 수 있습니다.
감지 도구에서 샘플 보안 알림/이벤트를 생성하여 사용 사례를 시뮬레이션합니다.
케이스로 이동하여 더하기 기호 아래에서 '케이스 시뮬레이션'을 클릭합니다.
그런 다음 열린 창에서 를 클릭합니다.
시뮬레이션 알림을 만드는 이유
시뮬레이션 알림을 만들면 언제든지 이를 사용하여 플레이북 및 사용 사례를 테스트할 수 있습니다. 또한 이 시뮬레이션은 사용 사례 패키지의 일부입니다.
알림을 시뮬레이션하는 방법
사용 사례에 맞게 준비한 알림을 바탕으로 시뮬레이션 알림 필드를 채웁니다.
그런 다음, 샘플 알림/이벤트를 기반으로 Chronicle에서 시뮬레이션 알림을 만들어야 합니다.
- '소스\SIEM 이름':
SIEM 또는 다른 감지 도구 등의 알림 소스를 표시합니다.
예시: 이 필드에는 SIEM 제품인 'Arcsight' 값이 있습니다.
알림이 제품 자체에서 생성되고 Chronicle이 여기에서 가져오는 경우 여기에 제품 이름을 추가합니다. - '규칙 이름':
알림을 생성한 SIEM 규칙을 표시합니다.
예시: 이 필드에는 SIEM 규칙인 '데이터 무단 반출' 값이 있습니다.
SIEM과 관련없는 경우 감지 제품으로 생성된 알림 이름을 추가합니다. - '알림 제품':
알림을 생성한 감지 도구를 표시합니다.
예시: 알림 제품은 DLP(데이터 손실 방지) 제품입니다. - '알림 이름':
제품에서 생성된 알림의 이름을 표시합니다.
예시: 알림 이름은 '데이터 무단 반출'입니다. 모든 종류의 데이터를 무단으로 이동하는 것을 의미합니다. - '이벤트 이름':
알림을 트리거한 기반 이벤트의 이름을 표시합니다.
예시: 이벤트 이름은 '데이터 무단 반출'로, 해당 이벤트의 이름이기도 합니다. - '추가 알림 필드':
일반적으로 SIEM에 의해 알림이 생성되었음을 나타내며, 더 용이한 이슈 대응을 위해 추가 콘텐츠를 표시합니다.
예시 1: 심각도, 영향, 민감한 애셋 등의 SIEM 필드
예시 2: SIEM과 관련없는 경우 알림 이름(alert_name:)의 필드 하나만 추가하세요. - '추가 이벤트 필드':
이슈 대응에 사용되는 모든 원시 보안 데이터를 표시합니다. 사용 사례에 사용하는 샘플 알림의 모든 데이터를 여기에 추가합니다.
샘플 알림에서 발견된 필드의 정확한 스키마를 사용합니다.
가장 일반적인 용도 - 여기에 알림(예: src_ip, dest_port, email_headers 등)의 보안 데이터를 입력합니다.
3. 항목 추출(데이터 매핑 및 모델링)
알림의 시각화 모델(Chronicle에서 추출해야 하는 항목 및 항목 간의 관계)을 선택하고 원시 데이터 필드를 선택한 모델에 매핑합니다.
이벤트의 구성 아이콘을 클릭하여 여기로 이동할 수 있습니다(아래 스크린샷 참조). 자세한 방법은 Chronicle 시작하기, 항목 만들기, 매핑 및 모델링을 참조하세요.
그 다음으로 해야 할 일은 모든 항목이 그에 따라 생성되었는지 확인하는 것입니다.
케이스 탭 항목 정보에서 항목을 확인할 수 있습니다. 각 항목에서 더보기를 클릭하여 매핑이 올바르게 구성되었는지 확인합니다.
4. 플레이북 작성
먼저 알림에 대한 이슈 대응 흐름을 차트나 그림으로 정의해야 합니다. 그런 다음, Chronicle 플레이북으로 정의한 흐름을 설계합니다. 이렇게 하려면 플레이북에 사용하려는 통합을 다운로드하고 구성해야 합니다. Chronicle Marketplace, 통합 구성을 참조하세요.
플레이북 만들기 및 실행 방법을 참조하세요.
-
플레이북에서 작업 구성
'작업 유형' - 이 작업을 자동 또는 수동으로 실행할지를 선택합니다(사람의 승인 대기).
'인스턴스 선택' - 동적을 선택합니다.
'단계가 실패하는 경우' - 작업이 실패하면 플레이북을 중지할지 아니면 다음 작업으로 건너뛸지 선택합니다.
'항목' - 이 작업이 영향을 주는 항목 유형(시뮬레이션 알림에서 추출한 항목 유형)을 선택합니다.
기타 매개변수 - 통합 문서에 따라 작업별 매개변수를 입력합니다.
-
플레이북에서 조건 구성
브랜치 수를 결정합니다. - '브랜치 추가' 버튼을 사용하여 브랜치를 추가합니다.
각 브랜치에 이 브랜치를 트리거할 조건을 정의합니다.
자리표시자(대괄호)를 사용하여 이벤트 데이터, 이전 작업 결과 등에 대한 조건을 참조
중요 사항 - 흐름에서 실제로 테스트할 수 있는 도구를 사용하세요.
실시간 데이터 테스트 - 시뮬레이션을 위해 만든 알림 예시와 유사한 알림을 가져올 수 있는 커넥터를 설정합니다. 커넥터 구성
커넥터를 테스트하려면 다음 단계를 따르세요.
1. 먼저 커넥터의 구성을 저장합니다.
2. '커넥터 한 번 실행'을 클릭하여 소스에서 알림을 가져옵니다.
3. '샘플 알림'에는 Chronicle에 수집할 수 있는 알림이 표시됩니다.
4. '출력'에 실행 성공 또는 실패를 나타내는 스크립트 로그가 표시됩니다.
피싱 이메일 알림이 있는 이메일 커넥터의 예시를 포함하여 커넥터 테스트에 대한 자세한 내용은 여기를 참조하세요.
Chronicle이 관련 항목을 추출할 수 있도록 동일한 매핑이 실제 알림에 적용되는지 확인합니다. 또한 플레이북이 경고에 대해 포괄적으로 실행되고 정의된 논리를 수행하는지 확인합니다.
(악성 알림과 비악성 알림을 모두 사용하여 시도하세요.)
5. 가이드 작성
만드는 사용 사례는 다른 Chronicle 사용자가 사용하게 됩니다. 사용자 환경을 개선하려면 다음과 같이 각 사용 사례에 추가 콘텐츠를 첨부하는 것이 좋습니다.
- 사용 사례와 SOC에 대한 가치를 설명합니다.
- 사용 사례를 추가로 개선하기 위한 권장사항을 제공합니다.
- 시뮬레이션 데이터로 사용 사례를 실행하는 방법을 짧게 설명합니다.
- 사용자가 생성한 실제 데이터에서 사용 사례를 실행하는 방법을 안내합니다.
- 사용 중인 도구에 대한 무료 라이선스를 받는 방법을 설명합니다(있는 경우).
- 커넥터 설정 방법을 포함합니다.
이 가이드는 나중에 '사용 사례 게시'에 첨부할 수 있습니다.
6. 사용 사례 게시
이제 사용 사례를 조합할 차례입니다. Chronicle Marketplace로 이동하여 사용 사례 탭을 클릭합니다. format_list_bulleted를 클릭하고 새 사용 사례 만들기를 선택합니다.
열린 창에서 세부정보를 입력하고 개발한 항목(테스트 사례, 플레이북, 커넥터)을 추가합니다.
설명 카테고리에서 이전에 작성한 가이드를 추가할 수 있습니다. 너무 긴 경우 간단한 설명을 작성하고 전체 가이드에 대한 링크를 첨부할 수 있습니다.
이제 저장을 클릭하기 전에 사용 사례를 내보낼 수 있습니다. 그런 다음 저장을 클릭하면 됩니다. 하지만 나중에 내보낼 수도 있습니다.
따라서 '저장'을 클릭하면 패키지를 ZIP 파일로 내보내고 테스트를 위해 가져올 수 있습니다. 마지막으로 모든 단계가 잘 진행되면 승인을 받기 위해 사용 사례를 게시하여 제출합니다.
첫 번째 사용 사례를 등록해 주셔서 감사합니다.