Présentation des cas

Ce document aborde les concepts liés aux demandes au niveau Enterprise de Security Command Center. et explique comment travailler avec eux.

Les fonctionnalités liées aux cas, aux alertes, aux playbooks, aux jobs et aux connecteurs optimisé par Google Security Operations.

Présentation

Dans Security Command Center, vous pouvez obtenir des détails sur les résultats, des playbooks pour trouver des alertes, appliquer des réponses automatiques aux menaces, et suivre la résolution des problèmes de sécurité.

Un résultat est un enregistrement d'un problème de sécurité généré par l'un des les services de détection Security Command Center. Dans un cas, les résultats et les autres problèmes de sécurité sont présentés sous la forme d'alertes enrichies à l'aide de un playbook qui recueille des informations supplémentaires. Dans la mesure du possible, Security Command Center ajoute de nouvelles alertes aux demandes existantes, où elles se trouvent regroupées avec d'autres alertes associées.

Pour en savoir plus sur les demandes, consultez la section Présentation des demandes dans les Documentation Google SecOps.

Flux des résultats

Dans Security Command Center Enterprise, il existe deux flux pour les résultats:

1. Les résultats des menaces de Security Command Center passent par les informations de sécurité de gestion des événements (SIEM). Après avoir déclenché les règles SIEM internes, les résultats deviennent des alertes.

   Le connecteur collecte les alertes et les ingère dans d'orchestration, d'automatisation et de réponse (SOAR), dans lequel les playbooks traiter et enrichir les alertes regroupées par cas.

2. Les résultats de la stratégie Security Command Center, qui sont les résultats des les failles logicielles, les erreurs de configuration et les combinaisons toxiques, accédez directement au module SOAR. Après la CCT Entreprise – Connecteur de résultats de stratégie urgente : ingestion et groupe de stratégies les résultats sous forme d'alertes dans les cas, les playbooks traitent et enrichissent les alertes.

Dans Security Command Center Enterprise, le résultat généré par Security Command Center devient un cas alerte.

Enquêter sur les cas

Lors de l'ingestion, les résultats sont regroupés par cas pour que les spécialistes de la sécurité savoir quoi trier.

Les résultats multiples utilisant les mêmes paramètres sont regroupés dans un seul cas. Pour en savoir plus sur le mécanisme de regroupement des résultats, consultez Regrouper les résultats dans les demandes. Si vous utilisez un système de suivi des demandes, tel que Jira ou ServiceNow, à partir d'un cas, ce qui signifie qu'il y a un seul ticket pour tous les conclusions d'une demande.

État du résultat

Un résultat peut avoir l'un des états suivants:

• Actif: le résultat est actif.

• Ignoré(e): le résultat est actif et son son est coupé. Si toutes les constatations d'une demande sont son coupé, la demande est clôturée. Pour en savoir plus sur l'omission des résultats dans les cas, consultez Ignorer des résultats dans les cas.

• Fermé: le résultat est inactif.

L'état du résultat s'affiche dans le widget État du résultat du cas. présentation et le widget Récapitulatif des résultats d'une alerte.

Si vous intégrez les systèmes de suivi des demandes, activer de synchronisation pour conserver les informations sur les résultats et leur état sont automatiquement mis à jour et synchronisent les données des demandes avec les demandes pertinentes. À Pour en savoir plus sur la synchronisation des données de cas, consultez la section Activer les données de cas synchronisation.

Niveau de gravité des résultats par rapport à la priorité des demandes

Par défaut, tous les résultats d'une demande possèdent le même severity propriété. Toi Vous pouvez configurer les paramètres de regroupement de manière à regrouper les résultats avec des niveaux de gravité différents dans un seul cas.

La priorité de la demande est basée sur le niveau de gravité du résultat le plus élevé. Lorsque le résultat changement de niveau de gravité, Security Command Center fait automatiquement passer la priorité correspondre à la propriété de gravité la plus élevée parmi tous les résultats d'un cas. Coupure du son les résultats n'ont aucune incidence sur la priorité de la demande, si un résultat ignoré possède le niveau de gravité le plus élevé, il définit la priorité de la demande.

Dans l'exemple suivant, la priorité du cas 1 est "Prioritaire", car le gravité du résultat 3 (bien que son son soit coupé) est définie sur "Critique" :

• Cas 1: priorité: CRITICAL
  • Résultat 1, actif. Gravité : HIGH
  • Résultat 2, actif. Gravité : HIGH
  • 3e trouvé, son coupé. Gravité : CRITICAL

Dans l'exemple suivant, la priorité du cas 2 est "Élevée", car la priorité pour tous les résultats est élevée:

• Cas 2: priorité: HIGH
  • Résultat 1, actif. Gravité : HIGH
  • Résultat 2, actif. Gravité : HIGH
  • 3e trouvé, son coupé. Gravité : HIGH

Examiner les demandes

Pour examiner une demande, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Demandes.
2. Sélectionnez une demande à examiner. La vue de la demande s'ouvre. le résumé des résultats, ainsi que toutes les informations sur une alerte ou la collecte d'alertes regroupées dans un cas sélectionné.
3. Consultez l'onglet Case Wall (Écran des cas) pour en savoir plus sur l'activité effectuée sur le et les alertes incluses.

4. Accédez à l'onglet Alerte pour obtenir un aperçu d'un résultat.

   L'onglet Alert contient les informations suivantes:

   • Liste des événements d'alerte.
   • Playbooks associés à l'alerte.
   • Présentation des résultats
   • Informations sur l'élément concerné.
   • Facultatif: détails du billet.

Intégrer les systèmes de billetterie

Par défaut, aucun système de suivi des demandes n'est intégré à Security Command Center. Entreprise.

Les cas contenant des résultats de failles et d'erreurs de configuration sont liés les demandes que lorsque vous intégrez et configurez le système de tickets. Si vous intégrer un système de suivi des demandes d'assistance, Security Command Center Enterprise crée des demandes d'assistance en fonction des cas de stratégie et des transferts toutes les informations collectées par les playbooks vers le système de suivi des demandes le job de synchronisation.

Par défaut, les demandes contenant des résultats de menaces ne sont associées à aucun ticket, même vous intégrez le système de suivi des demandes à votre Compute Engine. Pour utiliser les tickets pour vos cas de menace, personnalisez les playbooks disponibles en ajout d'une action ou création playbooks.

Personne responsable de la demande et responsable de la demande d'assistance

Chaque résultat est associé à un seul propriétaire de ressource à la fois. Le propriétaire de la ressource est défini à l'aide de tags Google Cloud, de contacts essentiels ou Valeur du paramètre Propriétaire de remplacement configurée dans SCC Enterprise – Urgent Connecteur de résultats de stratégie.

Si vous intégrez un système de tickets, le propriétaire de la ressource est le destinataire de la demande par défaut. Pour en savoir plus sur l'attribution automatique et manuelle des demandes, consultez Attribuez les tickets en fonction des cas de stratégie.

La personne responsable du ticket utilise les résultats pour y remédier.

La personne responsable de la demande travaille avec les demandes dans Security Command Center Enterprise trier ou atténuer les résultats.

Par exemple, la personne responsable d'une demande peut être un gestionnaire des menaces ou un autre spécialiste de la sécurité qui collabore avec un ingénieur (disposant du ticket) et vérifie que toutes les alertes dans une demande sont traités. La personne responsable de la demande ne travaille jamais avec des systèmes de suivi des demandes.

Étape suivante

Pour en savoir plus sur les demandes, consultez les ressources suivantes Documentation Google SecOps:

• Onglet "Cases" (Présentation des demandes)
• Contenu de la page "Demandes"
• Effectuer une action manuelle sur une demande
• Simuler des cas
• Utiliser les blocs de playbooks