En este documento, se abordan los conceptos de los casos en el nivel empresarial de Security Command Center y se explica cómo trabajar con ellos.
Descripción general
En Security Command Center, usa casos de uso para obtener detalles sobre los hallazgos, adjuntar guías de respuesta a las alertas de hallazgo, aplicar respuestas automáticas a las amenazas y hacer un seguimiento de la solución de problemas de seguridad.
Un hallazgo es un registro de un problema de seguridad que genera uno de los servicios de detección de Security Command Center. En un caso, los hallazgos y otros problemas de seguridad se presentan como alertas, que se enriquecen con una guía que recopila información adicional. Siempre que sea posible, Security Command Center agrega alertas nuevas a los casos existentes, donde se agrupan con otras alertas relacionadas.
Para obtener más detalles sobre los casos, consulta Descripción general de los casos en la documentación de SecOps de Google.
Flujo de resultados
En Security Command Center Enterprise, hay dos flujos para los hallazgos:
Los resultados de amenazas de Security Command Center pasan por el módulo de administración de información y eventos de seguridad (SIEM). Después de activar las reglas internas de SIEM, los hallazgos se convierten en alertas.
El conector recopila las alertas y las transfiere al módulo de organización, automatización y respuesta de seguridad (SOAR), donde las guías de respuesta procesan y enriquecen las alertas que se agrupan en casos.
Los resultados de la postura de Security Command Center, que consisten en vulnerabilidades de software, parámetros de configuración incorrectos y combinaciones tóxicas, van directamente al módulo de SOAR. Después de que el conector SCC Enterprise - Urgent Posture Findings transfiera y agrupe los resultados de la postura como alertas en casos, las guías de respuesta procesan y enriquecen las alertas.
En Security Command Center Enterprise, el resultado de Security Command Center se convierte en una alerta de caso.
Investiga casos
Durante la transferencia, los hallazgos se agrupan en casos para que los especialistas en seguridad sepan qué priorizar.
Varios hallazgos con los mismos parámetros se agrupan en un solo caso. Para obtener más información sobre el mecanismo de agrupación de resultados, consulta Cómo agrupar resultados en casos. Si usas un sistema de tickets, como Jira o ServiceNow, se crea un ticket según un caso, lo que significa que hay un ticket para todos los hallazgos de un caso.
Estado de búsqueda
Un hallazgo puede tener cualquiera de los siguientes estados:
Activo: El hallazgo está activo.
Silenciado: El hallazgo está activo y silenciado. Si se silencian todos los hallazgos de un caso, este se cerrará. Para obtener más información sobre cómo silenciar hallazgos en casos, consulta Cómo silenciar hallazgos en casos.
Cerrada: El hallazgo está inactivo.
El estado del hallazgo se muestra en el widget Estado del hallazgo de la pestaña Descripción general del caso y en el widget Resumen del hallazgo de una alerta.
Si realizas la integración con sistemas de tickets, habilita los trabajos de sincronización para mantener la información sobre los resultados y sus estados actualizados automáticamente y sincronizar los datos de los casos con los tickets relevantes. Para obtener más información sobre la sincronización de datos de casos, consulta Cómo habilitar la sincronización de datos de casos.
Diferencia entre gravedad y prioridad del caso
De forma predeterminada, todos los hallazgos contenidos en un caso tienen la misma propiedad severity
. Puedes configurar la configuración de agrupación para incluir hallazgos con diferentes severidades en un caso.
La prioridad del caso se basa en la gravedad más alta de los hallazgos. Cuando cambia la gravedad del resultado, Security Command Center actualiza automáticamente la prioridad del caso para que coincida con la propiedad de gravedad más alta entre todos los resultados de un caso. Silenciar los resultados no tiene ningún impacto en la prioridad del caso. Si un resultado silenciado tiene la gravedad más alta, define la prioridad del caso.
En el siguiente ejemplo, la prioridad del caso 1 es crítica porque la gravedad del hallazgo 3 (aunque silenciado) está establecida como crítica:
- Caso 1: Prioridad:
CRITICAL
- Hallazgo 1, activo. Gravedad:
HIGH
- Hallazgo 2, activo. Gravedad:
HIGH
- Hallazgo 3, silenciado. Gravedad:
CRITICAL
- Hallazgo 1, activo. Gravedad:
En el siguiente ejemplo, la prioridad del caso 2 es alta porque la gravedad más alta para todos los hallazgos es alta:
- Caso 2: Prioridad:
HIGH
- Hallazgo 1, activo. Gravedad:
HIGH
- Hallazgo 2, activo. Gravedad:
HIGH
- Hallazgo 3, silenciado. Gravedad:
HIGH
- Hallazgo 1, activo. Gravedad:
Revisa los casos
Para revisar un caso, sigue estos pasos:
- En la consola de Security Operations, ve a Casos.
- Selecciona un caso para revisarlo. Se abrirá la Vista de casos, en la que encontrarás un resumen de los hallazgos junto con toda la información sobre una alerta o la colección de alertas agrupadas en un caso seleccionado.
- Consulta la pestaña Muro de casos para obtener detalles sobre la actividad realizada en el caso y las alertas incluidas.
Ve a la pestaña Alerta para obtener una descripción general de un hallazgo.
La pestaña Alerta contiene la siguiente información:
- Es la lista de eventos de alerta.
- Guías adjuntas a la alerta
- Una descripción general de los hallazgos.
- Información sobre el recurso afectado
- Opcional: Detalles del boleto
Cómo realizar la integración con sistemas de generación de tickets
De forma predeterminada, no se integra ningún sistema de tickets con Security Command Center Enterprise.
Los casos que contienen hallazgos de vulnerabilidades y parámetros de configuración incorrectos tienen tickets relacionados solo cuando integras y configuras el sistema de tickets. Si integras un sistema de tickets, Security Command Center Enterprise crea tickets según los casos de postura y reenvía toda la información recopilada por los libros de jugadas al sistema de tickets con el trabajo de sincronización.
De forma predeterminada, los casos que contienen hallazgos de amenazas no tienen tickets relacionados, incluso cuando integras el sistema de tickets con tu instancia de Security Command Center Enterprise. Para usar tickets en tus casos de amenazas, agrega una acción a las guías de respuesta disponibles o crea guías nuevas.
Asignado del caso en comparación con el asignado del ticket
Cada hallazgo tiene un solo propietario de recursos en un momento determinado. El propietario del recurso se define con etiquetas de Google Cloud, contactos esenciales o el valor del parámetro Fallback Owner configurado en el SCC Enterprise - Urgent Posture Findings Connector.
Si integras un sistema de tickets, el propietario del recurso es el asignado del ticket de forma predeterminada. Para obtener más información sobre la asignación automática y manual de tickets, consulta Cómo asignar tickets según los casos de postura.
La persona a la que se le asignó el ticket trabaja con los hallazgos para solucionarlos.
El destinatario del caso trabaja con los casos de Security Command Center Enterprise y no prioriza ni mitiga los resultados.
Por ejemplo, el encargado de un caso puede ser un administrador de amenazas o algún otro especialista en seguridad que colabore con un ingeniero (encargado del ticket) y verifique que se aborden todas las alertas de un caso. La persona asignada al caso nunca funciona con sistemas de tickets.
¿Qué sigue?
Para obtener más información sobre los casos, consulta los siguientes recursos en la documentación de Google SecOps:
- Pestaña Descripción general de casos
- ¿Qué se muestra en la página Casos?
- Cómo realizar una acción manual en un caso
- Cómo simular casos
- Cómo trabajar con bloques de la guía