Panoramica delle richieste

Questo documento illustra i concetti delle richieste nel livello Enterprise di Security Command Center e spiega come utilizzarle.

Panoramica

In Security Command Center, i casi d'uso per ottenere dettagli sui risultati, collegare playbook alla ricerca di avvisi, applicare risposte automatiche alle minacce, e monitorare la risoluzione dei problemi di sicurezza.

Un risultato è un record di un problema di sicurezza generato da uno dei servizi di rilevamento di Security Command Center. In una richiesta, i risultati e altri problemi di sicurezza vengono presentati come avvisi, che vengono arricchiti utilizzando un playbook che raccoglie informazioni aggiuntive. Se possibile, Security Command Center aggiunge nuovi avvisi alle richieste esistenti, dove vengono raggruppati con altri avvisi correlati.

Per ulteriori dettagli sulle richieste, consulta la sezione Panoramica della richiesta nella documentazione di Google SecOps.

Flusso dei risultati

In Security Command Center Enterprise sono disponibili due flussi per i risultati:

1. I risultati delle minacce di Security Command Center esaminano le informazioni di sicurezza e di gestione degli eventi (SIEM). Dopo aver attivato le regole SIEM interne, i risultati si trasformano in avvisi.

   Il connettore raccoglie gli avvisi e li importa nel il modulo SOAR (orchestration, automation and response) in cui i playbook per elaborare e arricchire gli avvisi raggruppati in richieste.

2. I risultati relativi alla postura di Security Command Center, che consistono in risultati relativi a vulnerabilità del software, configurazioni errate e combinazioni tossiche, vengono inviati direttamente al modulo SOAR. Dopo la SCC Enterprise - Connettore Urgent Posture Findings importa e postura dei gruppi i risultati come avvisi nei casi, i playbook elaborano e arricchiscono gli avvisi.

In Security Command Center Enterprise, il risultato di Security Command Center diventa un avviso della richiesta.

Esaminare le richieste

Durante l'importazione, i risultati vengono raggruppati in casi per consentire agli esperti di sicurezza di sapere cosa fare.

Più risultati con gli stessi parametri vengono raggruppati in un unico caso. Per scoprire di più sul meccanismo di raggruppamento dei risultati, consulta Raggruppa i risultati nei casi. Se utilizzi un sistema di gestione delle richieste, come Jira o ServiceNow, viene creato un ticket in base a una richiesta, il che significa che esiste un ticket per tutti i risultati in una richiesta.

Stato dei risultati

Un risultato può avere uno dei seguenti stati:

• Attivo: il risultato è attivo.

• Disattivato: il risultato è attivo e disattivato. Se tutti i risultati di una richiesta vengono disattivati, la richiesta viene chiusa. Per scoprire di più sulla disattivazione dei risultati nelle richieste, consulta Disattivare i risultati nelle richieste.

• Chiuso: il risultato non è attivo.

Lo stato del rilievo viene visualizzato nel widget Stato del rilievo della scheda Panoramica della richiesta e nel widget Riepilogo dei rilievi di un avviso.

Se effettui l'integrazione con i sistemi di gestione delle richieste di assistenza, attivare i job di sincronizzazione per conservare le informazioni sui risultati e sui relativi stati aggiornate automaticamente e sincronizzano i dati delle richieste con i ticket pertinenti. A Scopri di più sulla sincronizzazione dei dati della richiesta, vedi Abilitare i dati della richiesta la sincronizzazione.

Stabilire la gravità rispetto alla priorità delle richieste

Per impostazione predefinita, tutti i risultati contenuti in una richiesta hanno la stessa severity proprietà. Tu puoi configurare le impostazioni di raggruppamento in modo da includere in un caso i risultati con gravità diverse.

La priorità della richiesta si basa sulla massima gravità del risultato. Quando il risultato modifiche alla gravità, Security Command Center aggiorna automaticamente la priorità delle richieste in corrispondono alla proprietà con gravità più elevata tra tutti i risultati in un caso. Disattivazione dell'audio i risultati non hanno alcun impatto sulla priorità della richiesta, se un risultato disattivato presenta la gravità più alta, definisce la priorità della richiesta.

Nell'esempio seguente, la priorità della richiesta 1 è Critica perché la gravità del Riscontro 3 (sebbene disattivato) è impostata su Critica:

• Caso 1: priorità: CRITICAL
  • Risultato 1, attivo. Gravità: HIGH
  • Risultato 2, attivo. Gravità: HIGH
  • Risultato 3, disattivato. Gravità: CRITICAL

Nel prossimo esempio, la priorità della richiesta 2 è Alta perché la gravità di tutti i risultati è Alta:

• Caso 2: priorità: HIGH
  • Risultati 1, attivo. Gravità: HIGH
  • Risultato 2, attivo. Gravità: HIGH
  • Risultati 3 disattivati. Gravità: HIGH

Esamina le richieste

Per esaminare una richiesta, svolgi i seguenti passaggi:

1. In Security Operations Console, vai a Richieste.
2. Seleziona una richiesta da esaminare. Si apre la Case View (Visualizzazione richiesta), in cui puoi trovare una riepilogo dei risultati insieme a tutte le informazioni su un avviso o sulla raccolta di avvisi raggruppati in una richiesta selezionata.
3. Controlla la scheda Bacheca delle richieste per informazioni dettagliate sull'attività svolta sulla richiesta e sugli avvisi inclusi.

4. Vai alla scheda Avviso per avere una panoramica di un risultato.

   La scheda Avviso contiene le seguenti informazioni:

   • Elenco di eventi di avviso.
   • Playbook associati all'avviso.
   • Una panoramica dei risultati.
   • Informazioni sulla risorsa interessata.
   • Facoltativo: dettagli del biglietto.

Integrazione con i sistemi di vendita di biglietti

Per impostazione predefinita, nessun sistema di gestione dei ticket è integrato in Security Command Center. Aziende.

I casi contenenti risultati relativi a vulnerabilità ed errori di configurazione hanno ticket correlati solo quando integri e configuri il sistema di gestione dei ticket. Se integrare un sistema di gestione delle richieste di assistenza, Security Command Center Enterprise crea ticket in base ai casi di postura e agli inoltri tutte le informazioni raccolte dai playbook nel sistema di gestione dei ticket utilizzando un job di sincronizzazione.

Per impostazione predefinita, le richieste contenenti risultati relativi alle minacce non hanno ticket correlati anche se integri il sistema di gestione dei ticket con la tua istanza Security Command Center Enterprise. Per utilizzare i ticket per le tue richieste relative alle minacce, personalizza i playbook disponibili aggiungendo un'azione o creane di nuovi.

Assegnatario della richiesta e assegnatario del ticket

Ogni risultato ha un singolo proprietario di risorsa in un dato momento. Il proprietario della risorsa viene definito utilizzando i tag Google Cloud, i contatti necessari o il valore del parametro Proprietario di riserva configurato nel connettore SCC Enterprise - Urgent Posture Findings.

Se integri un sistema di ticketing, il proprietario della risorsa è l'assegnatario del ticket per impostazione predefinita. Per scoprire di più sull'assegnazione automatica e manuale dei ticket, consulta Assegnare i ticket in base alle richieste relative alla posizione.

L'assegnatario del ticket prende in esame i risultati per porvi rimedio.

L'assegnatario della richiesta funziona con le richieste in Security Command Center Enterprise e non valutare o mitigare i risultati.

Ad esempio, l’assegnatario di una richiesta può essere Threat Manager o un altro Specialista della sicurezza che collabora con un ingegnere (assegnatario del ticket) e verifica che tutti gli avvisi di una richiesta di assistenza. L'assegnatario della richiesta non funziona mai con i sistemi di gestione delle richieste di assistenza.

Passaggi successivi

Per saperne di più sulle richieste, consulta le seguenti risorse nella documentazione di Google SecOps:

• Scheda Panoramica delle richieste
• Che cosa contiene la pagina delle richieste?
• Come eseguire un'azione manuale su una richiesta
• Come simulare casi
• Utilizzare i blocchi dei playbook