此页面由 Cloud Translation API 翻译。

支持请求概览

本文档介绍了 Security Command Center 企业版中的支持请求概念，并说明了如何使用这些支持请求。

概览

在 Security Command Center 中，您可以使用用例来获取有关发现结果的详细信息、将 Playbook 附加到发现提醒、应用自动威胁响应，以及跟踪安全问题的修复情况。

发现结果是由以下人员之一生成的安全问题记录： Security Command Center 检测服务。在某个支持请求中，发现结果和其他安全问题会以提醒的形式显示，这些提醒会使用收集其他信息的 Playbook 进行丰富。Security Command Center 会尽可能将新提醒添加到现有支持请求中，并将其与其他相关提醒分组。

如需详细了解支持请求，请参阅 Google SecOps 文档中的支持请求概览。

发现流程

在 Security Command Center Enterprise 中，发现结果有两种处理流程：

Security Command Center 会对发现结果进行安全信息和事件管理 (SIEM) 模块。触发内部 SIEM 规则后并将其转换为提醒。

该连接器会收集提醒并将其提取到安全编排、自动化和响应 (SOAR) 模块，在该模块中，playbook 会处理并丰富分组为案例的提醒。
Security Command Center 状态发现结果（包括软件漏洞、配置错误和恶意组合发现结果）会直接发送到 SOAR 模块。SCC Enterprise - Urgent Posture Findings 连接器将态势发现结果作为提醒提取并归入到案例中后，手册会处理和丰富提醒。

在 Security Command Center Enterprise 中，Security Command Center 发现结果会变成支持请求提醒。

调查支持请求

在注入期间，系统会将发现结果分组为案例，以便安全专家您知道该对哪些内容进行分类了。

将具有相同参数的多个发现结果归入一个案例。如需详细了解发现分组机制，请参阅在支持请求中对发现进行分组。如果您使用的是 Jira 或 ServiceNow 等工单系统，根据支持请求创建的所有支持请求来提取发现结果

发现结果状态

发现结果可以具有以下任一状态：

有效：相应发现结果有效。
已忽略：发现结果处于活动状态且已忽略。如果将支持请求中的所有问题都设为“已忽略”，系统会关闭该支持请求。如需详细了解如何在支持请求中忽略发现结果，请参阅在支持请求中忽略发现结果。
已关闭：相应发现结果处于无效状态。

发现结果状态显示在案例的发现结果状态微件中概览标签页和提醒的发现结果摘要 widget。

如果您与票务系统集成，启用同步作业，用于保留发现结果及其状态的相关信息自动更新，并将案例数据与相关工单同步。如需详细了解支持请求数据同步，请参阅启用支持请求数据同步。

发现结果严重程度与支持请求优先级

默认情况下，支持请求中包含的所有发现结果都具有相同的 severity 属性。您可以配置分组设置，将严重程度不同的发现结果添加到一个案例中。

案例优先级取决于发现结果的最高严重程度。当发现结果的严重程度发生变化时，Security Command Center 会自动更新案例优先级，使其与案例中所有发现结果中的最高严重程度属性一致。正在静音不会影响支持请求优先级 - 如果忽略的发现结果具有最高严重级别，则定义案例的优先级。

在以下示例中，支持请求 1 的优先级为“严重”，因为发现结果 3（虽然已静音）的严重程度设为“严重”：

案例 1：优先级：CRITICAL
- 发现结果 1，有效。严重程度：HIGH
- 发现结果 2，有效。严重程度：HIGH
- 发现 3，已忽略。严重程度：CRITICAL

在下例中，由于所有发现的严重程度最高级别均为“高”，因此 Case 2 的优先级为“高”：

支持请求 2：优先级：HIGH
- 发现 1，有效。严重程度：HIGH
- 发现结果 2，有效。严重程度：HIGH
- 发现结果 3，已忽略。严重程度：HIGH

查看支持请求

如需查看支持请求，请按以下步骤操作：

在 Security Operations 控制台中，前往案例。
选择要查看的支持请求。此时会打开案例视图，您可以在其中找到查找摘要以及有关某警报或该收集的所有信息分组到所选案例的提醒。
查看案例墙标签页，了解在包括提醒。
前往提醒标签页，简要了解发现结果。

提醒标签页包含以下信息：
- 提醒事件列表。
- 附加到提醒的 playbook。
- 发现结果概览。
- 有关受影响资产的信息。
- 可选：工单详情。

与工单系统集成

默认情况下，没有任何服务工单系统与 Security Command Center Enterprise 集成。

只有在您集成和配置工单系统后，包含漏洞和错误配置发现结果的支持请求才会有相关工单。如果您集成了工单系统，Security Command Center 企业版会根据状态报告创建工单，并使用同步作业将 Playbook 收集的所有信息转发到工单系统。

默认情况下，包含威胁发现结果的支持请求没有相关工单，即使您将工单系统与 Security Command Center 企业版实例集成也是如此。如需为您的威胁案例使用工单，请通过以下方式自定义可用策略方案：添加操作或新建操作 playbook。

案例分配对象与工单分配对象

在任何给定时间点，每个发现都只有一个资源所有者。资源所有者是使用 Google Cloud 代码、重要联系人或在 SCC Enterprise - Urgent Posture Findings Connector 中配置的后备所有者参数值定义的。

如果您集成了服务工单系统，则资源所有者默认是工单的分配对象。如需详细了解自动和手动工单分配，请参阅根据状况案例分配工单。

工单分配对象根据发现结果进行修复。

案例分配者负责处理 Security Command Center Enterprise 中的支持请求，而不会对发现结果进行分类或缓解。

例如，支持请求分配者可以是威胁管理器或其他安全专家，他们会与工程师（工单分配者）合作，并验证支持请求中的所有提醒是否已得到处理。支持请求分配者绝不会与工单系统合作。

后续步骤

如需详细了解支持请求，请参阅 Google SecOps 文档中的以下资源：