Questo documento illustra i concetti delle richieste nel livello Enterprise di Security Command Center e spiega come utilizzarle.
Panoramica
In Security Command Center, utilizza i casi d'uso per ottenere dettagli sugli indicatori, allegare playbook agli avvisi sugli indicatori, applicare risposte automatiche alle minacce e monitorare la correzione dei problemi di sicurezza.
Un risultato è un record di un problema di sicurezza generato da uno dei servizi di rilevamento di Security Command Center. In una richiesta, i risultati e altri problemi di sicurezza vengono presentati come avvisi, che vengono arricchiti utilizzando un playbook che raccoglie informazioni aggiuntive. Se possibile, Security Command Center aggiunge nuovi avvisi alle richieste esistenti, dove vengono raggruppati con altri avvisi correlati.
Per ulteriori dettagli sulle richieste, consulta la sezione Panoramica della richiesta nella documentazione di Google SecOps.
Flusso dei risultati
In Security Command Center Enterprise sono disponibili due flussi per i risultati:
I risultati relativi alle minacce di Security Command Center vengono esaminati nel modulo di gestione degli eventi e delle informazioni di sicurezza (SIEM). Dopo aver attivato le regole SIEM interne, i risultati si trasformano in avvisi.
Il connettore raccoglie gli avvisi e li importa nel modulo SOAR (Security Orchestration Automation and Response), dove i playbook elaborano e arricchiscono gli avvisi raggruppati in casi.
I risultati relativi alla postura di Security Command Center, costituiti da vulnerabilità del software, configurazioni errate e combinazioni tossiche, vengono inviati direttamente al modulo SOAR. Dopo che il connettore SCC Enterprise - Urgent Posture Findings ha importato e raggruppato i risultati relativi alla posizione come avvisi nelle richieste, i playbook li elaborano e li arricchiscono.
In Security Command Center Enterprise, il risultato di Security Command Center diventa un avviso della richiesta.
Esaminare le richieste
Durante l'importazione, i risultati vengono raggruppati in casi per consentire agli esperti di sicurezza di sapere cosa fare.
Più risultati con gli stessi parametri vengono raggruppati in un'unica richiesta. Per saperne di più sul meccanismo di raggruppamento dei risultati, consulta Raggruppare i risultati nelle richieste. Se utilizzi un sistema di gestione delle richieste, come Jira o ServiceNow, viene creato un ticket in base a una richiesta, il che significa che esiste un ticket per tutti i risultati in una richiesta.
Stato della ricerca
Un rilevamento può avere uno dei seguenti stati:
Attivo: l'esito è attivo.
Disattivato: il risultato è attivo e disattivato. Se tutti i risultati di una richiesta vengono disattivati, la richiesta viene chiusa. Per scoprire di più sulla disattivazione dei risultati nelle richieste, consulta Disattivare i risultati nelle richieste.
Chiuso: il risultato non è attivo.
Lo stato del rilievo viene visualizzato nel widget Stato del rilievo della scheda Panoramica della richiesta e nel widget Riepilogo dei rilievi di un avviso.
Se esegui l'integrazione con i sistemi di ticketing, attiva i job di sincronizzazione per mantenere automaticamente aggiornate le informazioni sui risultati e sui relativi stati e sincronizzare i dati delle richieste con i ticket pertinenti. Per approfondire la sincronizzazione dei dati delle richieste, consulta Attivare la sincronizzazione dei dati delle richieste.
Gravità del risultato rispetto alla priorità della richiesta
Per impostazione predefinita, tutti i risultati contenuti in una richiesta hanno la stessa severity
proprietà. Puoi configurare le impostazioni di raggruppamento per includere in una richiesta risultati con severità diverse.
La priorità della richiesta si basa sulla gravità più alta del rilevamento. Quando la gravità del risultato cambia, Security Command Center aggiorna automaticamente la priorità della richiesta in modo che corrisponda alla proprietà di gravità più alta tra tutti i risultati di una richiesta. La disattivazione della visualizzazione dei risultati non influisce sulla priorità della richiesta: se un risultato disattivato ha la gravità più alta, definisce la priorità della richiesta.
Nell'esempio seguente, la priorità della richiesta 1 è Critica perché la gravità del Riscontro 3 (sebbene disattivato) è impostata su Critica:
- Richiesta 1: priorità
CRITICAL
- Risultato 1, attivo. Gravità:
HIGH
- Risultato 2, attivo. Gravità:
HIGH
- Risultato 3, disattivato. Gravità:
CRITICAL
- Risultato 1, attivo. Gravità:
Nell'esempio seguente, la priorità della richiesta 2 è Alta perché la severità più elevata per tutti i risultati è Alta:
- Richiesta 2: priorità
HIGH
- Risultato 1, attivo. Gravità:
HIGH
- Risultato 2, attivo. Gravità:
HIGH
- Risultato 3, disattivato. Gravità:
HIGH
- Risultato 1, attivo. Gravità:
Esamina le richieste
Per esaminare una richiesta, svolgi i seguenti passaggi:
- Nella console Security Operations, vai a Cases (Richieste).
- Seleziona una richiesta da esaminare. Viene visualizzata la visualizzazione della richiesta, in cui puoi trovare un riepilogo dei risultati insieme a tutte le informazioni su un avviso o sulla raccolta di avvisi raggruppati in una richiesta selezionata.
- Controlla la scheda Bacheca delle richieste per informazioni dettagliate sull'attività svolta sulla richiesta e sugli avvisi inclusi.
Vai alla scheda Avviso per avere una panoramica di un rilevamento.
La scheda Avviso contiene le seguenti informazioni:
- Elenco di eventi di avviso.
- Playbook associati all'avviso.
- Una panoramica dei risultati.
- Informazioni sulla risorsa interessata.
- (Facoltativo) Dettagli del ticket.
Integrazione con i sistemi di vendita di biglietti
Per impostazione predefinita, nessun sistema di ticketing è integrato con Security Command Center Enterprise.
I casi contenenti risultati relativi a vulnerabilità ed errori di configurazione hanno ticket correlati solo quando integri e configuri il sistema di gestione dei ticket. Se integri un sistema di ticketing, Security Command Center Enterprise crea ticket in base alle richieste relative allo stato di conformità e inoltra tutte le informazioni raccolte dai playbook al sistema di ticketing utilizzando il job di sincronizzazione.
Per impostazione predefinita, le richieste contenenti risultati relativi alle minacce non hanno ticket correlati anche se integri il sistema di gestione dei ticket con la tua istanza Security Command Center Enterprise. Per utilizzare i ticket per le tue richieste relative alle minacce, personalizza i playbook disponibili aggiungendo un'azione o creandone di nuovi.
Assegnatario della richiesta e assegnatario del ticket
Ogni rilevamento ha un unico proprietario della risorsa in un determinato momento. Il proprietario della risorsa viene definito utilizzando i tag Google Cloud, i contatti necessari o il valore parametro Proprietario di riserva configurato nel connettore SCC Enterprise - Urgent Posture Findings.
Se integri un sistema di ticketing, il proprietario della risorsa è l'assegnatario del ticket per impostazione predefinita. Per scoprire di più sull'assegnazione automatica e manuale dei ticket, consulta Assegnare i ticket in base alle richieste relative alla posizione.
L'assegnatario del ticket lavora con i risultati per risolverli.
L'assegnatario della richiesta lavora con le richieste in Security Command Center Enterprise e non li smista o mitiga.
Ad esempio, un assegnatario della richiesta può essere un gestore delle minacce o un altro specialista della sicurezza che collabora con un tecnico (assegnatario del ticket) e verifica che tutti gli avvisi in una richiesta vengano gestiti. L'assegnatario della richiesta non lavora mai con i sistemi di ticketing.
Passaggi successivi
Per saperne di più sulle richieste, consulta le seguenti risorse nella documentazione di Google SecOps:
- Scheda Panoramica delle richieste
- Che cosa contiene la pagina delle richieste?
- Come eseguire un'azione manuale su una richiesta
- Come simulare le richieste
- Lavorare con i blocchi dei playbook