На сколько мне известно, термин Use Cases пришел в область SIEM из разработки ПО и сейчас переродился в SOC-ах. Gartner даёт следующее определение этому понятию:
«Specific condition or event (usually related to a specific threat) to be detected or reported by the security tool».
Ведущими вендорами предлагаются целые наборы или библиотеки таких кейсов (Use Case Library). Примеры от McAfee и RSA приведены ниже.
На мой взгляд, за красивым названием прячется формализованное описание определённых сценариев, если позволите, то понятная нам всем модель угроз безопасности информации, а точнее каждая отдельная актуальная угроза безопасности информации.
Вот всё и вернулось на круги своя.
Здесь стоит отметить, что разработка Use Cases – это не просто разовая активность по мозговому штурму, а полноценный процесс (опять же сходится с моделированием угроз безопасности информации, которое должно быть периодическим, а в идеале непрерывным), который возможно определяет самый важный показатель работы SOC-а – его результативность.
Процитирую Anton Chuvakin:
«Use cases are in the core of security monitoring activities. A structured process to identify, prioritize, implement and maintain use cases allows organizations to align monitoring efforts to security strategy, choose the best solutions and maximize the value obtained from security monitoring tools».
В завершении отмечу, что термин Use Cases так же нашёл своё отражение в тематике Governance, Risk and Compliance (GRC), например, RSA его для своего решения RSA Archer GRC.
Удачи при выборе Use Cases!
