Supportanfragen – Übersicht

In diesem Dokument werden die Konzepte von Fällen in der Enterprise-Stufe von Security Command Center behandelt und erklärt, wie Sie mit ihnen arbeiten können.

Die Funktionen für Fälle, Benachrichtigungen, Playbooks, Jobs und Connectors Powered by Google Security Operations.

Übersicht

Nutzen Sie in Security Command Center Anwendungsfälle, um Details zu Ergebnissen zu erhalten, Playbooks zum Suchen von Benachrichtigungen hinzufügen, automatische Reaktionen auf Bedrohungen anwenden und verfolgen die Behebung von Sicherheitsproblemen.

Ein Ergebnis ist ein Datensatz eines Sicherheitsproblems, der von einem der Security Command Center-Erkennungsdienste. In einem Fall werden die andere Sicherheitsprobleme als Benachrichtigungen dargestellt, die durch ein Playbook, das zusätzliche Informationen erfasst. Wenn möglich, Security Command Center fügt bestehenden Fällen neue Benachrichtigungen hinzu mit anderen zugehörigen Benachrichtigungen gruppiert.

Weitere Informationen zu Anfragen finden Sie in der Anfrageübersicht in der Google SecOps-Dokumentation

Ergebnisfluss

In Security Command Center Enterprise gibt es zwei Abläufe für Ergebnisse:

1. Die Bedrohungsergebnisse von Security Command Center enthalten die Modul für Ereignisverwaltung (SIEM). Nach dem Auslösen der internen SIEM-Regeln Ergebnisse in Benachrichtigungen umzuwandeln.

   Der Connector erfasst die Benachrichtigungen und nimmt sie in das Sicherheitscenter auf SOAR-Modul (Orchestrierung, Automatisierung und Reaktion), in dem die Playbooks zu verarbeiten und die in Fällen gruppierten Benachrichtigungen anzureichern.

2. Security Command Center-Statusergebnisse, die aus Ergebnissen von Schwachstellen in Software, Fehlkonfigurationen und unangemessene Kombinationen, wechseln Sie direkt zum SOAR-Modul. Nach dem Standardvertragsklauseln Enterprise – Urgent Posture Findings Connector nimmt Daten auf und gruppiert den Sicherheitsstatus die Ergebnisse als Benachrichtigungen zu Fällen, verarbeiten und anreichern.

In Security Command Center Enterprise wird das Security Command Center-Ergebnis zu einem Fall Benachrichtigung.

Fälle prüfen

Während der Aufnahme werden die Ergebnisse in Fälle gruppiert, damit die Sicherheitsexperten und wissen, was geprüft werden soll.

Mehrere Ergebnisse mit denselben Parametern werden in einem Fall gruppiert. Weitere Informationen zum Gruppierungsmechanismus von Ergebnissen finden Sie unter Ergebnisse in Fällen gruppieren Wenn Sie ein Ticketing-System wie Jira oder ServiceNow verwenden, wird ein Ticket die auf der Grundlage eines Falls erstellt wurden, d. h., es gibt ein Ticket für alle Ergebnisse in einem Fall.

Ergebnisstatus

Ein Ergebnis kann einen der folgenden Status haben:

• Aktiv: Das Ergebnis ist aktiv.

• Ausgeblendet: Das Ergebnis ist aktiv und ausgeblendet. Wenn alle Ergebnisse in einem Fall stummgeschaltet ist, ist das Case geschlossen. Weitere Informationen zum Ausblenden von Ergebnissen in Fällen finden Sie unter Ergebnisse in Fällen ausblenden:

• Geschlossen: Das Ergebnis ist inaktiv.

Der Ergebnisstatus wird im Widget Ergebnisstatus des Falls angezeigt. Übersicht und dem Widget Zusammenfassung finden einer Benachrichtigung.

Bei der Integration von Ticketsystemen: aktivieren Synchronisierungsjobs, um die Informationen über Ergebnisse und deren Status zu behalten automatisch auf dem neuesten Stand sein und Falldaten mit relevanten Tickets synchronisieren. Bis Weitere Informationen zur Synchronisierung von Falldaten finden Sie unter Falldaten aktivieren Synchronisierung.

Schweregrad der Ergebnisse im Vergleich zur Fallpriorität

Standardmäßig haben alle in einem Fall enthaltenen Ergebnisse dieselbe severity property an. Ich können die Gruppierungseinstellungen konfigurieren, um Ergebnisse mit unterschiedlichen Schweregraden in einem Fall zusammenzufassen.

Die Fallpriorität basiert auf dem höchsten Schweregrad des Ergebnisses. Wenn das Ergebnis ändert Security Command Center die Fallpriorität automatisch auf entspricht dem Attribut mit dem höchsten Schweregrad unter allen Ergebnissen eines Falls. Stummschalten Ergebnisse haben keinen Einfluss auf die Fallpriorität – wenn ein ausgeblendetes Ergebnis über mit dem höchsten Schweregrad definiert die Priorität des Falls.

Im folgenden Beispiel ist die Priorität für Fall 1 „kritisch“, da der Der Schweregrad von Ergebnis 3 (obwohl ausgeblendet) ist auf „Kritisch“ festgelegt:

• Fall 1: Priorität: CRITICAL
  • Ergebnis 1 ist aktiv. Schweregrad: HIGH
  • Ergebnis 2: aktiv. Schweregrad: HIGH
  • Ergebnis 3 wird ausgeblendet. Schweregrad: CRITICAL

Im nächsten Beispiel ist die Priorität für Fall 2 „Hoch“, da der höchste Der Schweregrad für alle Ergebnisse ist „Hoch“:

• Fall 2: Priorität: HIGH
  • Ergebnis 1 ist aktiv. Schweregrad: HIGH
  • Ergebnis 2: aktiv. Schweregrad: HIGH
  • Ergebnis 3 wird ausgeblendet. Schweregrad: HIGH

Anfragen prüfen

So prüfen Sie einen Fall:

1. Gehen Sie in der Security Operations-Konsole zu Fälle.
2. Wählen Sie einen Fall aus, den Sie prüfen möchten. Die Fallansicht wird geöffnet. Hier finden Sie Zusammenfassung mit allen Informationen zu einer Warnung oder Sammlung von Benachrichtigungen, die zu einem ausgewählten Fall gruppiert sind.
3. Auf dem Tab Case Wall finden Sie Details zu den Aktivitäten auf der und enthaltene Benachrichtigungen.

4. Rufen Sie den Tab Warnung auf, um eine Übersicht über ein Ergebnis zu erhalten.

   Auf dem Tab Benachrichtigung finden Sie die folgenden Informationen:

   • Liste der Benachrichtigungsereignisse.
   • An die Benachrichtigung angehängte Playbooks.
   • Eine Ergebnisübersicht.
   • Informationen zum betroffenen Asset.
   • Optional: Ticketdetails.

Einbindung in Ticketsysteme

Standardmäßig ist kein Ticketing-System in Security Command Center integriert Unternehmen.

Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen haben ähnliche Tickets nur, wenn Sie das Ticketing-System einbinden und konfigurieren. Wenn Sie ein Ticketing-System integrieren, Security Command Center Enterprise erstellt Tickets basierend auf Statusfällen und Weiterleitungen alle von Playbooks gesammelten Informationen an das Ticketing-System mithilfe der Synchronisierungsjob.

Standardmäßig haben Fälle mit gefundenen Bedrohungen keine zugehörigen Tickets, selbst wenn Sie binden das Ticketing-System in Security Command Center Enterprise ein. Instanz. Passen Sie die verfügbaren Playbooks an, um Tickets für Ihre Bedrohungsfälle zu verwenden, Aktion hinzufügen oder neue erstellen Playbooks.

Fallzuständige und Ticket-Beauftragte

Jedes Ergebnis hat immer nur einen Ressourceninhaber. Der Ressourceninhaber wird mit Google Cloud-Tags, „Wichtige Kontakte“ oder Wert des Parameters Fallback-Inhaber, konfiguriert in SCC Enterprise – Dringend Status-Connector für Ergebnisse.

Wenn Sie ein Ticketing-System integrieren, ist der Ressourceninhaber der Ticket-Beauftragte. Standardeinstellung. Weitere Informationen zur automatischen und manuellen Ticketzuweisung finden Sie unter Tickets basierend auf Statusfällen zuweisen.

Die Ticketzuständige arbeitet mit Ergebnissen, um sie zu beheben.

Die Fallzuständige arbeitet mit Fällen in Security Command Center Enterprise und nicht um Ergebnisse zu bewerten oder zu mindern.

Die zuständige Person für einen Fall kann z. B. ein Threat Manager oder ein anderer Sicherheitsexperte sein. die mit einem Techniker (Ticketbeauftragte) zusammenarbeitet und überprüft, ob alle Warnungen in einem Fall berücksichtigt werden. Die für den Fall zuständige Person arbeitet nie mit Ticketing-Systemen.

Nächste Schritte

Weitere Informationen zu Fällen finden Sie in den folgenden Ressourcen in der Google SecOps-Dokumentation:

• Tab „Fälle – Übersicht“
• Was befindet sich auf der Seite „Fälle“?
• Manuelle Maßnahmen bei einer Anfrage durchführen
• So simulieren Sie Fälle
• Mit Playbook-Blöcken arbeiten