Présentation des demandes

Ce document présente les concepts liés aux demandes d'assistance du niveau Entreprise de Security Command Center et explique comment les utiliser.

Les fonctionnalités des demandes, des alertes, des playbooks, des tâches et des connecteurs sont basées sur les opérations de sécurité de Google.

Présentation

Dans Security Command Center, utilisez la fonctionnalité de cas pour obtenir des détails sur les résultats, joindre des playbooks aux alertes, appliquer des réponses automatiques aux menaces et définir les résultats de stratégie à corriger. Les cas vous aident à examiner les résultats, à répondre aux menaces à l'aide de playbooks, et à atténuer les failles et les erreurs de configuration à l'aide de systèmes de tickets.

Dans Security Command Center, un cas est un conteneur de haut niveau pour plusieurs alertes et les informations associées ingérées par le connecteur. L'alerte est déclenchée par un ou plusieurs événements liés à la sécurité et enrichie à l'aide d'un playbook afin de recueillir des informations supplémentaires. À l'aide des informations collectées, le connecteur tente de déterminer si une nouvelle alerte entrante peut être regroupée dans une demande existante ouverte, avec d'autres alertes liées à la même intrusion.

Pour en savoir plus sur les demandes, consultez la section Présentation des demandes dans la documentation Google SecOps.

Flux des résultats

Dans Security Command Center Enterprise, deux flux s'offrent à vous pour afficher les résultats:

1. Les résultats concernant les menaces Security Command Center sont traités dans le module de gestion des informations de sécurité et des événements (SIEM, Security Information and Event Management). Après avoir déclenché les règles SIEM internes, les résultats deviennent des alertes.

   Le connecteur collecte les alertes et les ingère dans le module d'orchestration de la sécurité, d'automatisation et de réponse (SOAR), dans lequel les playbooks traitent et enrichissent les alertes regroupées en cas.

2. Les résultats de la stratégie Security Command Center qui comprennent des failles et des erreurs de configuration sont transmis directement à SOAR. Une fois que le connecteur de résultats de stratégie urgente de SCC Enterprise a ingéré et regroupé les résultats de stratégie sous forme d'alertes dans les demandes, les playbooks traitent et enrichissent les alertes.

Dans Security Command Center Enterprise, le résultat Security Command Center devient une alerte de cas.

Examiner des cas

Lors de l'ingestion, les résultats sont regroupés en demandes pour que les spécialistes de la sécurité sachent quoi trier.

Les résultats multiples avec les mêmes paramètres sont regroupés en un seul cas. Pour en savoir plus, consultez la section Résultats du groupe dans les cas. Si vous utilisez un système de gestion des demandes d'assistance, tel que Jira ou ServiceNow, un ticket est créé en fonction d'une demande, ce qui signifie qu'il existe un ticket pour tous les résultats d'une demande.

Gravité du résultat et priorité de la demande

Par défaut, tous les résultats contenus dans un cas possèdent la même propriété severity. Vous pouvez configurer les paramètres de regroupement pour inclure les résultats ayant différents niveaux de gravité dans un seul cas.

La priorité des demandes est basée sur la gravité maximale du résultat. Pour en savoir plus, consultez l'exemple suivant:

• Cas 1: priorité: CRITICAL

  • Résultats 1: Gravité: HIGH
  • Résultats 2: Gravité: HIGH
  • Résultats 3: Gravité: CRITICAL

• Cas 2: priorité: HIGH

  • Résultats 1: Gravité: HIGH
  • Résultats 2: Gravité: HIGH
  • Résultats 3: Gravité: HIGH

Examiner les demandes

Pour examiner une demande, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Demandes.
2. Sélectionnez une demande à examiner. La vue de la demande s'ouvre. Elle contient un résumé des résultats, ainsi que toutes les informations sur une alerte ou la collection d'alertes regroupées dans une demande sélectionnée.
3. Consultez l'onglet Case Wall (Écran de demande) pour en savoir plus sur l'activité effectuée sur la demande et sur les alertes incluses.

4. Accédez à l'onglet Alerte pour obtenir un aperçu d'un résultat.

   L'onglet Alert contient les informations suivantes:

   • Liste des événements d'alerte.
   • Playbooks associés à l'alerte.
   • Une présentation des résultats.
   • Informations sur l'élément concerné.
   • Facultatif: détails du billet.

Intégration aux systèmes de tickets

Les cas contenant des résultats de failles et d'erreurs de configuration ne sont associés à des demandes d'assistance que lorsque vous intégrez et configurez le système de tickets. Si vous intégrez un système de billetterie, Security Command Center Enterprise crée des demandes d'assistance en fonction des scénarios de stratégie et transmet toutes les informations collectées par les playbooks au système de billetterie à l'aide de la tâche de synchronisation.

Par défaut, les cas contenant des résultats de menaces ne sont associés à aucun ticket associé, même lorsque vous intégrez le système de tickets à votre instance Security Command Center Enterprise. Pour utiliser les demandes d'assistance pour vos cas de menace, personnalisez les playbooks disponibles en ajoutant une action ou en créant de nouveaux.

Personne responsable du dossier ou responsable du ticket

Chaque résultat est associé à un seul propriétaire de ressource à tout moment. Le propriétaire de la ressource est défini à l'aide des tags Google Cloud, des contacts essentiels ou de la valeur du paramètre Propriétaire de remplacement configurée dans SCC Enterprise – Connecteur de résultats de stratégie urgente.

Si vous intégrez un système de tickets, le propriétaire de la ressource est la personne responsable de la demande par défaut. Pour en savoir plus sur l'attribution automatique et manuelle de tickets, consultez la section Attribuer des tickets en fonction de scénarios de stratégie.

La personne responsable de la demande utilise les résultats pour les corriger.

La personne responsable de la demande travaille avec les demandes dans Security Command Center Enterprise, et ne trie pas et ne limite pas les résultats.

Par exemple, un responsable de dossier peut être un gestionnaire des menaces ou un autre spécialiste de la sécurité qui collabore avec un ingénieur (responsable des demandes d'assistance) et vérifie que toutes les alertes d'une demande sont traitées. La personne responsable du dossier ne travaille jamais avec les systèmes de tickets.

Étape suivante

Pour en savoir plus sur les demandes, consultez les ressources suivantes dans la documentation SecOps de Google:

• Onglet "Cases Overview" (Présentation des demandes)
• Contenu de la page "Demandes"
• Effectuer une action manuelle sur une demande
• Comment simuler des cas
• Utiliser les blocs de playbooks