Descripción general de los casos

En este documento, se abarcan los conceptos de los casos del nivel Enterprise de Security Command Center y se explica cómo trabajar con ellos.

La funcionalidad de casos, alertas, guías, trabajos y conectores cuentan con la tecnología de Google Security Operations.

Descripción general

En Security Command Center, usa casos de uso para obtener detalles sobre los resultados, adjuntar guías a las alertas, aplicar respuestas automáticas a amenazas y realizar un seguimiento de la solución de problemas de seguridad.

Un hallazgo es un registro de un problema de seguridad que genera uno de los servicios de detección de Security Command Center. En un caso, los resultados y otros problemas de seguridad se presentan como alertas, que se enriquecen con una guía que recopila información adicional. Siempre que sea posible, Security Command Center agrega alertas nuevas a los casos existentes, en los que se agrupan con otras alertas relacionadas.

Para obtener más detalles sobre los casos, consulta la Descripción general de los casos en la documentación de Google SecOps.

Flujo de hallazgos

En Security Command Center Enterprise, hay dos flujos para los hallazgos:

1. Los hallazgos de amenazas de Security Command Center se analizan en el módulo de información de seguridad y administración de eventos (SIEM). Después de activar las reglas de SIEM internas, los hallazgos se convierten en alertas.

   El conector recopila las alertas y las transfiere al módulo de organización, automatización y respuesta de seguridad (SOAR), en el que las guías procesan y enriquecen las alertas agrupadas en casos.

2. Los hallazgos de la postura de Security Command Center, que consisten en hallazgos de vulnerabilidades de software, errores de configuración y combinaciones tóxicas, se dirigen directamente al módulo SOAR. Después de que SCC Enterprise - Urgent Posture Findings Connector transfiere y agrupa los hallazgos de postura como alertas en casos, las guías procesan y enriquecen las alertas.

En Security Command Center Enterprise, el hallazgo de Security Command Center se convierte en una alerta de caso.

Investigar casos

Durante la transferencia, los hallazgos se agrupan en casos para que los especialistas en seguridad sepan qué clasificar.

Los resultados múltiples con los mismos parámetros se agrupan en un solo caso. Para obtener más información sobre el mecanismo de agrupación de hallazgos, consulta Cómo agrupar resultados en casos. Si usas un sistema de tickets, como Jira o ServiceNow, se crea un ticket en función de un caso, lo que significa que hay un ticket para todos los resultados de un caso.

Estado del hallazgo

Un resultado puede tener cualquiera de los siguientes estados:

• Activo: El hallazgo está activo.

• Silenciado: El hallazgo está activo y silenciado. Si todos los resultados de un caso están silenciados, este se cierra. Para obtener más información sobre cómo silenciar resultados en casos, consulta Cómo silenciar resultados en casos.

• Cerrado: El hallazgo está inactivo.

El estado del hallazgo se muestra en el widget Estado del hallazgo de la pestaña Descripción general del caso y el widget Resumen del hallazgo de una alerta.

Si te integras a los sistemas de tickets, habilita los trabajos de sincronización para mantener actualizada la información sobre los resultados y sus estados de forma automática y sincronizar los datos del caso con los tickets relevantes. Para obtener más información sobre la sincronización de datos de casos, consulta Habilita la sincronización de datos de casos.

Encuentra la gravedad frente a la prioridad del caso

De forma predeterminada, todos los resultados contenidos en un caso poseen la misma propiedad severity. Puedes establecer la configuración de agrupación para incluir resultados con diferente gravedad en un solo caso.

La prioridad del caso se basa en la gravedad más alta del hallazgo. Cuando cambia la gravedad del hallazgo, Security Command Center actualiza de forma automática la prioridad del caso para que coincida con la propiedad de gravedad más alta entre todos los resultados de un caso. Silenciar los resultados no tiene impacto en la prioridad del caso. Si un resultado silenciado posee la gravedad más alta, define la prioridad del caso.

En el siguiente ejemplo, la prioridad para el caso 1 es crítica porque la gravedad del hallazgo 3 (aunque está silenciado) se establece en crítica:

• Caso 1: Prioridad: CRITICAL
  • Hallazgo 1, activo. Gravedad: HIGH
  • Hallazgo 2, activo. Gravedad: HIGH
  • Se silenció el resultado 3. Gravedad: CRITICAL

En el siguiente ejemplo, la prioridad para el caso 2 es alta porque la gravedad más alta de todos los resultados es alta:

• Caso 2: Prioridad: HIGH
  • Hallazgo 1, activo. Gravedad: HIGH
  • Hallazgo 2, activo. Gravedad: HIGH
  • Se silenció el resultado 3. Gravedad: HIGH

Revisar casos

Para revisar un caso, sigue estos pasos:

1. En la consola de Operaciones de seguridad, ve a Casos.
2. Selecciona un caso para revisar. Se abrirá la vista del caso, en la que podrás encontrar un resumen de los resultados junto con toda la información sobre una alerta o la colección de alertas agrupadas en un caso seleccionado.
3. Consulta la pestaña Muro de casos para obtener detalles sobre la actividad realizada en el caso y las alertas incluidas.

4. Ve a la pestaña Alert para obtener una descripción general de un hallazgo.

   La pestaña Alert contiene la siguiente información:

   • Lista de eventos de alerta.
   • Guías adjuntas a la alerta
   • Una descripción general de los hallazgos.
   • Información sobre el activo afectado.
   • Opcional: Detalles del boleto

Cómo realizar la integración con los sistemas de tickets

De forma predeterminada, ningún sistema de tickets está integrado en Security Command Center Enterprise.

Los casos que contienen hallazgos de vulnerabilidades y parámetros de configuración incorrectos tienen tickets relacionados solo cuando integras y configuras el sistema de tickets. Si integras un sistema de tickets, Security Command Center Enterprise crea tickets basados en casos de postura y reenvía toda la información recopilada por las guías al sistema de tickets mediante el trabajo de sincronización.

De forma predeterminada, los casos que contienen hallazgos de amenazas no tienen tickets relacionados, incluso cuando integras el sistema de tickets a tu instancia de Security Command Center Enterprise. Si deseas usar tickets para tus casos de amenazas, personaliza las guías disponibles agregando una acción o crea guías nuevas.

Comparación entre el usuario asignado del caso y el destinatario de tickets

Cada hallazgo tiene un solo propietario de recursos en un momento determinado. El propietario del recurso se define mediante las etiquetas de Google Cloud, los contactos esenciales o el valor del parámetro Propietario de resguardo configurado en el conector de SCC Enterprise - Posture Findings Connector.

Si integras un sistema de tickets, el propietario del recurso es el destinatario del ticket de forma predeterminada. Para obtener más información sobre la asignación automática y manual de tickets, consulta Asigna tickets según los casos de postura.

La persona asignada del ticket trabaja con los hallazgos para corregirlos.

El asignado del caso trabaja con casos en Security Command Center Enterprise y no clasifica ni mitiga los hallazgos.

Por ejemplo, la persona asignada de un caso puede ser un administrador de amenazas o algún otro especialista en seguridad que colabora con un ingeniero (asignado al ticket) y verifica que se aborden todas las alertas de un caso. El destinatario del caso nunca trabaja con los sistemas de tickets.

¿Qué sigue?

Para obtener más información sobre los casos, consulta los siguientes recursos en la documentación de Google SecOps:

• Pestaña Descripción general de casos
• ¿Qué hay en la página Casos?
• Cómo realizar una acción manual en un caso
• Cómo simular casos
• Trabaja con bloques de guías