Panoramica delle richieste

Questo documento illustra i concetti relativi ai casi nel livello Enterprise di Security Command Center e spiega come utilizzarli.

Le funzionalità per richieste, avvisi, playbook, job e connettori si basano su Google Security Operations.

Panoramica

In Security Command Center, utilizza la funzionalità dei casi per ottenere dettagli sui risultati, allegare playbook agli avvisi, applicare risposte automatiche alle minacce e definire quali risultati relativi alla postura correggere. I casi ti aiutano a esaminare i risultati, rispondere alle minacce utilizzando i playbook e mitigare vulnerabilità e configurazioni errate utilizzando sistemi di gestione dei ticket.

In Security Command Center, una richiesta è un container di alto livello per più avvisi e le relative informazioni importate dal connettore. L'avviso viene attivato da uno o più eventi di sicurezza e arricchito utilizzando un playbook per raccogliere informazioni aggiuntive. Utilizzando le informazioni raccolte, il connettore tenta di determinare se un nuovo avviso in arrivo può essere raggruppato in una richiesta esistente aperta con altri avvisi correlati alla stessa intrusione.

Per ulteriori dettagli sulle richieste, consulta la sezione Panoramica delle richieste nella documentazione di Google SecOps.

Flusso dei risultati

In Security Command Center Enterprise sono disponibili due flussi per i risultati:

1. I risultati sulle minacce di Security Command Center passano attraverso il modulo SIEM (Security Information and Event Management). Dopo aver attivato le regole SIEM interne, i risultati si trasformano in avvisi.

   Il connettore raccoglie gli avvisi e li importa nel modulo SOAR (orchestrazione della sicurezza, automazione e risposta) dove i playbook elaborano e arricchiscono gli avvisi raggruppati in casi.

2. I risultati della postura di Security Command Center, che consistono in vulnerabilità e configurazioni errate, vengono inviati direttamente a SOAR. Dopo che il connettore SCC Enterprise - Urgent Posture Findings importa e raggruppa i risultati sulla postura come avvisi in casi, i playbook elaborano e arricchiscono gli avvisi.

In Security Command Center Enterprise, il risultato di Security Command Center diventa un casealert.

Analisi dei casi

Durante l'importazione, i risultati vengono raggruppati in casi per consentire agli esperti della sicurezza di sapere cosa classificare.

Più risultati con gli stessi parametri vengono raggruppati in un unico caso. Per scoprire di più, consulta Raggruppare i risultati nelle richieste. Se utilizzi un sistema di gestione delle richieste di assistenza, come Jira o ServiceNow, viene creato un ticket basato su una richiesta, ovvero un ticket per tutti i risultati di una richiesta.

Gravità del risultato e priorità del caso

Per impostazione predefinita, tutti i risultati contenuti in una richiesta possiedono la stessa severity proprietà. Puoi configurare le impostazioni di raggruppamento in modo da includere risultati con gravità diverse in un unico caso.

La priorità della richiesta si basa sulla gravità massima del risultato. Per maggiori dettagli, vedi l'esempio seguente:

• Caso 1: priorità: CRITICAL

  • Risultati 1: gravità: HIGH
  • Risultato 2: gravità: HIGH
  • Risultati 3: gravità: CRITICAL

• Caso 2: priorità: HIGH

  • Risultati 1: gravità: HIGH
  • Risultato 2: gravità: HIGH
  • Risultati 3: gravità: HIGH

Revisione dei casi

Per esaminare una richiesta, svolgi i seguenti passaggi:

1. Nella console operativa di sicurezza, vai a Richieste.
2. Seleziona una richiesta da esaminare. Si apre la Visualizzazione richiesta, dove puoi trovare un riepilogo dei risultati insieme a tutte le informazioni relative a un avviso o alla raccolta di avvisi raggruppati in una richiesta selezionata.
3. Controlla la scheda Casewall per dettagli sull'attività eseguita in merito alla richiesta e gli avvisi inclusi.

4. Vai alla scheda Avviso per visualizzare una panoramica di un risultato.

   La scheda Avviso contiene le seguenti informazioni:

   • Elenco di eventi di avviso.
   • Playbook allegati all'avviso.
   • Una panoramica dei risultati.
   • Informazioni sulla risorsa interessata.
   • (Facoltativo) Dettagli del ticket.

Integrazione con sistemi di vendita di biglietti

I casi contenenti risultati relativi a vulnerabilità ed errori di configurazione hanno ticket correlati solo quando integri e configuri il sistema di gestione dei ticket. Se integra un sistema di gestione delle richieste di assistenza, Security Command Center Enterprise crea ticket in base ai casi di posture e inoltra tutte le informazioni raccolte dai playbook al sistema di gestione dei ticket utilizzando il job di sincronizzazione.

Per impostazione predefinita, i casi che contengono risultati relativi alle minacce non hanno ticket correlati anche quando integri il sistema di ticketing con l'istanza di Security Command Center Enterprise. Per utilizzare i ticket per i casi di minaccia, personalizza i playbook disponibili aggiungendo un'azione o creando nuovi playbook.

Assegnatario della richiesta/assegnatario del biglietto

Ogni risultato ha un solo proprietario di risorsa in un dato momento. Il proprietario della risorsa viene definito utilizzando i tag Google Cloud, i contatti necessari o il valore parametro Proprietario di riserva configurato nel connettore SCC Enterprise - Urgent Posture Findings.

Se integri un sistema di gestione dei ticket, per impostazione predefinita il proprietario della risorsa è l'assegnatario. Per scoprire di più sull'assegnazione automatica e manuale di ticket, consulta Assegnare ticket in base ai casi di posture.

L'assegnatario del ticket collabora con i risultati per porvi rimedio.

L'assegnatario della richiesta lavora con le richieste in Security Command Center Enterprise e non classifica né mitiga i risultati.

Ad esempio, un assegnatario della richiesta può essere un Threat Manager o un altro Specialista della sicurezza che collabora con un tecnico (assegnatario del ticket) e verifica che tutti gli avvisi di una richiesta vengano gestiti. L'assegnatario della richiesta non funziona mai con i sistemi di gestione dei ticket.

Che cosa succede dopo?

Per saperne di più sui casi, consulta le seguenti risorse nella documentazione di Google SecOps:

• Scheda Panoramica delle richieste
• Cosa si trova nella pagina Richieste?
• Come eseguire un'azione manuale su una richiesta
• Come simulare i casi
• Utilizzare i blocchi dei playbook