Dokumen ini membahas konsep kasus di tingkat Enterprise Security Command Center dan menjelaskan cara menggunakannya.
Ringkasan
Di Security Command Center, gunakan kasus penggunaan untuk mendapatkan detail tentang temuan, lampirkan playbook ke notifikasi temuan, terapkan respons ancaman otomatis, dan lacak perbaikan masalah keamanan.
Temuan adalah kumpulan data masalah keamanan yang dihasilkan oleh salah satu layanan deteksi Security Command Center. Dalam kasus ini, temuan dan masalah keamanan lainnya ditampilkan sebagai pemberitahuan, yang diperkaya menggunakan playbook yang mengumpulkan informasi tambahan. Jika memungkinkan, Security Command Center akan menambahkan pemberitahuan baru ke kasus yang ada, yang dikelompokkan dengan pemberitahuan terkait lainnya.
Untuk mengetahui detail selengkapnya tentang kasus, lihat Ringkasan kasus di dokumentasi Google SecOps.
Alur temuan
Di Security Command Center Enterprise, ada dua alur untuk temuan:
Temuan ancaman Security Command Center akan melalui modul informasi keamanan dan pengelolaan peristiwa (SIEM). Setelah memicu aturan SIEM internal, temuan akan berubah menjadi pemberitahuan.
Konektor mengumpulkan pemberitahuan dan menyerapnya ke dalam modul orkestrasi, otomatisasi, dan respons keamanan (SOAR) tempat playbook memproses dan memperkaya pemberitahuan yang dikelompokkan ke dalam kasus.
Temuan postur Security Command Center, yang terdiri dari temuan kerentanan software, kesalahan konfigurasi, dan kombinasi toksik, akan langsung diarahkan ke modul SOAR. Setelah SCC Enterprise - Urgent Posture Findings Connector menyerap dan mengelompokkan temuan postur sebagai pemberitahuan ke dalam kasus, playbook akan memproses dan memperkaya pemberitahuan.
Di Security Command Center Enterprise, temuan Security Command Center menjadi pemberitahuan kasus.
Menyelidiki kasus
Selama penyerapan, temuan dikelompokkan ke dalam kasus untuk memberi tahu spesialis keamanan apa yang harus diprioritaskan.
Beberapa temuan dengan parameter yang sama dikelompokkan menjadi satu kasus. Untuk mempelajari mekanisme pengelompokan temuan lebih lanjut, lihat Mengelompokkan temuan dalam kasus. Jika Anda menggunakan sistem tiket, seperti Jira atau ServiceNow, tiket akan dibuat berdasarkan kasus, yang berarti ada satu tiket untuk semua temuan dalam kasus.
Menemukan status
Temuan dapat memiliki salah satu status berikut:
Aktif: Temuan aktif.
Dinonaktifkan: Temuan aktif dan dinonaktifkan. Jika semua temuan dalam kasus dibisukan, kasus akan ditutup. Untuk mempelajari lebih lanjut cara membisukan temuan dalam kasus, lihat Membisukan temuan dalam kasus.
Ditutup: Temuan tidak aktif.
Status temuan ditampilkan di widget Status temuan pada tab Ringkasan kasus dan widget Ringkasan Temuan dari pemberitahuan.
Jika Anda berintegrasi dengan sistem pemberian tiket, aktifkan tugas sinkronisasi untuk terus memperbarui informasi tentang temuan dan statusnya secara otomatis serta menyinkronkan data kasus dengan tiket yang relevan. Untuk mempelajari sinkronisasi data kasus lebih lanjut, lihat Mengaktifkan sinkronisasi data kasus.
Menemukan tingkat keparahan versus prioritas kasus
Secara default, semua temuan yang terdapat dalam kasus memiliki properti severity
yang sama. Anda
dapat mengonfigurasi setelan pengelompokan untuk menyertakan temuan dengan tingkat keparahan yang berbeda ke dalam satu kasus.
Prioritas kasus didasarkan pada tingkat keparahan temuan tertinggi. Saat keparahan temuan berubah, Security Command Center akan otomatis memperbarui prioritas kasus agar cocok dengan properti keparahan tertinggi di antara semua temuan dalam kasus. Membisukan temuan tidak akan memengaruhi prioritas kasus—jika temuan yang dibisukan memiliki tingkat keparahan tertinggi, temuan tersebut akan menentukan prioritas kasus.
Pada contoh berikut, prioritas untuk Kasus 1 adalah Kritis karena tingkat keparahan Temuan 3 (meskipun dibisukan) ditetapkan ke Kritis:
- Kasus 1: Prioritas:
CRITICAL
- Temuan 1, aktif. Tingkat keseriusan:
HIGH
- Temuan 2, aktif. Tingkat keseriusan:
HIGH
- Temuan 3, dinonaktifkan. Tingkat keseriusan:
CRITICAL
- Temuan 1, aktif. Tingkat keseriusan:
Pada contoh berikutnya, prioritas untuk Kasus 2 adalah Tinggi karena tingkat keparahan tertinggi untuk semua temuan adalah Tinggi:
- Kasus 2: Prioritas:
HIGH
- Temuan 1, aktif. Tingkat keseriusan:
HIGH
- Temuan 2, aktif. Tingkat keseriusan:
HIGH
- Temuan 3, dinonaktifkan. Tingkat keseriusan:
HIGH
- Temuan 1, aktif. Tingkat keseriusan:
Meninjau kasus
Untuk meninjau kasus, lakukan langkah-langkah berikut:
- Di konsol Security Operations, buka Kasus.
- Pilih kasus yang akan ditinjau. Tampilan Kasus akan terbuka, tempat Anda dapat menemukan ringkasan temuan beserta semua informasi tentang pemberitahuan atau kumpulan pemberitahuan yang dikelompokkan ke dalam kasus yang dipilih.
- Periksa tab Case Wall untuk mengetahui detail tentang aktivitas yang dilakukan pada kasus dan notifikasi yang disertakan.
Buka tab Notifikasi untuk mendapatkan ringkasan temuan.
Tab Notifikasi berisi informasi berikut:
- Daftar peristiwa pemberitahuan.
- Playbook yang dilampirkan ke pemberitahuan.
- Ringkasan temuan.
- Informasi tentang aset yang terpengaruh.
- Opsional: detail tiket.
Mengintegrasikan dengan sistem penjualan tiket
Secara default, tidak ada sistem pemberian tiket yang terintegrasi dengan Security Command Center Enterprise.
Kasus yang berisi temuan kerentanan dan kesalahan konfigurasi hanya memiliki tiket terkait jika Anda mengintegrasikan dan mengonfigurasi sistem penjualan tiket. Jika Anda mengintegrasikan sistem pemberian tiket, Security Command Center Enterprise akan membuat tiket berdasarkan kasus postur dan meneruskan semua informasi yang dikumpulkan oleh playbook ke sistem pemberian tiket menggunakan tugas sinkronisasi.
Secara default, kasus yang berisi temuan ancaman tidak memiliki tiket terkait meskipun Anda mengintegrasikan sistem pemberian tiket dengan instance Security Command Center Enterprise. Untuk menggunakan tiket untuk kasus ancaman, sesuaikan playbook yang tersedia dengan menambahkan tindakan atau membuat playbook baru.
Penerima kasus versus penerima tiket
Setiap temuan memiliki satu pemilik resource pada waktu tertentu. Pemilik resource ditentukan menggunakan tag Google Cloud, Kontak Penting, atau nilai parameter Pemilik Penggantian yang dikonfigurasi di SCC Enterprise - Konektor Hasil Postur Mendesak.
Jika Anda mengintegrasikan sistem penjualan tiket, pemilik resource adalah penerima tiket secara default. Untuk mempelajari lebih lanjut penetapan tiket otomatis dan manual, lihat Menetapkan tiket berdasarkan kasus postur.
Penerima tiket akan menangani temuan untuk memperbaikinya.
Penerima kasus menangani kasus di Security Command Center Enterprise dan tidak melakukan prioritas atau mitigasi temuan.
Misalnya, penerima kasus dapat berupa Pengelola Ancaman atau Spesialis Keamanan lainnya yang berkolaborasi dengan engineer (penerima tiket) dan memverifikasi bahwa semua pemberitahuan dalam kasus telah ditangani. Penerima kasus tidak pernah menggunakan sistem tiket.
Langkah selanjutnya
Untuk mempelajari kasus lebih lanjut, lihat referensi berikut dalam dokumentasi Google SecOps:
- Tab ringkasan kasus
- Apa yang ada di halaman Kasus?
- Cara melakukan tindakan manual pada kasus
- Cara menyimulasikan kasus
- Menggunakan blok playbook