Vista general de casos

Enterprise

En este documento se explican los conceptos de las incidencias en el nivel Enterprise de Security Command Center y cómo trabajar con ellas.

Información general

En Security Command Center, los casos te permiten obtener información sobre los hallazgos, adjuntar guías a las alertas de hallazgos, aplicar respuestas automáticas a las amenazas y monitorizar la corrección de los problemas de seguridad.

Una detección es un registro de un problema de seguridad generado por uno de los servicios de detección. En un caso, las conclusiones y otros problemas de seguridad se presentan como alertas, que se enriquecen mediante una guía que recoge información adicional. Siempre que sea posible, Security Command Center añade nuevas alertas a los casos ya abiertos, donde se agrupan con otras alertas relacionadas. Para obtener más información sobre los casos, consulta la descripción general de los casos en la documentación de Google SecOps.

Flujo de hallazgos

En Security Command Center Enterprise, hay dos flujos para los resultados:

1. Los resultados de amenazas de Security Command Center pasan por el módulo de gestión de eventos y de información de seguridad (SIEM). Después de activar las reglas de SIEM internas, los resultados se convierten en alertas.

   El conector recoge las alertas y las ingiere en el módulo de orquestación, automatización y respuesta de seguridad (SOAR), donde las guías procesan y enriquecen las alertas que se agrupan en casos.

2. Los hallazgos de combinaciones tóxicas y los hallazgos de vulnerabilidades y errores de configuración relacionados se envían directamente al módulo SOAR. Una vez que SCC Enterprise - Urgent Posture Findings Connector ingiere y agrupa las detecciones como alertas en casos, los cuadernos de estrategias procesan y enriquecen las alertas.

En Security Command Center Enterprise, el hallazgo de Security Command Center se convierte en una alerta de caso.

Investigar casos

Durante la ingestión, las detecciones se agrupan en casos para que los especialistas en seguridad sepan qué priorizar.

Las conclusiones con los mismos parámetros se agrupan en un caso. Para obtener más información sobre el mecanismo de agrupación de resultados, consulta Agrupar resultados en casos. Si usas un sistema de gestión de incidencias, como Jira o ServiceNow, se crea una incidencia basada en un caso, lo que significa que hay una incidencia para todos los resultados de un caso.

Buscar estado

Una detección puede tener cualquiera de los siguientes estados:

• Activo: el hallazgo está activo.

• Silenciado: el hallazgo está activo y silenciado. Si se ocultan todos los resultados de un caso, este se cierra. Para obtener más información sobre cómo silenciar resultados en casos, consulta Silenciar resultados en casos.

• Cerrado: el hallazgo está inactivo.

El estado de la detección se muestra en el widget Estado de la detección de la pestaña Resumen del caso y en el widget Resumen de la detección de una alerta.

Si integra sistemas de gestión de incidencias, habilite los trabajos de sincronización para mantener actualizada la información sobre las detecciones y sus estados automáticamente, así como para sincronizar los datos de los casos con las incidencias correspondientes. Para obtener más información sobre la sincronización de datos de casos, consulta Habilitar la sincronización de datos de casos.

Diferencias entre la gravedad y la prioridad de un caso

De forma predeterminada, todas las detecciones de un caso tienen la misma severity propiedad. Puede configurar los ajustes de agrupación para incluir resultados con diferentes gravedades en un caso.

La prioridad de los casos se basa en la gravedad más alta de los hallazgos. Cuando cambia la gravedad de un hallazgo, Security Command Center actualiza automáticamente la prioridad del caso para que coincida con la propiedad de gravedad más alta de todos los hallazgos del caso. Silenciar los resultados no afecta a la prioridad del caso. Si un resultado silenciado tiene la gravedad más alta, define la prioridad del caso.

En el siguiente ejemplo, la prioridad del caso 1 es Crítica porque la gravedad del hallazgo 3 (aunque esté silenciado) se ha definido como Crítica:

• Caso 1: Prioridad: CRITICAL
  • Hallazgo 1, activo. Gravedad: HIGH
  • Hallazgo 2, activo. Gravedad: HIGH
  • Resultado 3, silenciado. Gravedad: CRITICAL

En el siguiente ejemplo, la prioridad del caso 2 es Alta porque la gravedad más alta de todas las detecciones es Alta:

• Caso 2: Prioridad: HIGH
  • Hallazgo 1, activo. Gravedad: HIGH
  • Hallazgo 2, activo. Gravedad: HIGH
  • Resultado 3, silenciado. Gravedad: HIGH

Revisar casos

Para revisar un caso, sigue estos pasos:

1. En la Google Cloud consola, ve a Riesgo > Casos. Se abrirá la lista de casos.
2. Selecciona un caso para revisarlo. Se abrirá la vista de caso, donde podrás ver un resumen de las conclusiones, así como toda la información sobre una alerta o el conjunto de alertas agrupadas en un caso seleccionado.
3. Consulta la pestaña Muro del caso para obtener información sobre la actividad realizada en el caso y las alertas incluidas.

4. Ve a la pestaña Alerta para ver un resumen de un resultado.

   La pestaña Alerta contiene la siguiente información:

   • Lista de eventos de alerta.
   • Guías adjuntas a la alerta.
   • Un resumen de las conclusiones.
   • Información sobre el recurso afectado.
   • Opcional: detalles de la incidencia.

Integración con sistemas de venta de entradas

De forma predeterminada, no hay ningún sistema de asistencia integrado con Security Command Center Enterprise.

Los casos que contienen hallazgos de vulnerabilidades y errores de configuración solo tienen tickets relacionados cuando integra y configura el sistema de gestión de incidencias. Si integra un sistema de asistencia, Security Command Center Enterprise crea incidencias basadas en casos de postura y reenvía toda la información recogida por las guías al sistema de asistencia mediante el trabajo de sincronización.

De forma predeterminada, los casos que contienen resultados de amenazas no tienen tickets relacionados, incluso si integra el sistema de asistencia con su instancia de Security Command Center Enterprise. Para usar las incidencias en tus casos de amenazas, personaliza las guías disponibles añadiendo una acción o crea guías nuevas.

Diferencia entre la persona asignada a un caso y la persona asignada a una incidencia

Cada resultado tiene un único propietario de recurso en un momento dado. El propietario del recurso se define mediante etiquetas Google Cloud , contactos esenciales o el valor del parámetro Fallback Owner (Propietario alternativo) configurado en SCC Enterprise - Urgent Posture Findings Connector (Conector de resultados de postura urgentes de SCC Enterprise).

Si integra un sistema de incidencias, el propietario del recurso es el asignado de la incidencia de forma predeterminada. Para obtener más información sobre la asignación automática y manual de incidencias, consulta el artículo Asignar incidencias en función de las posturas.

El asignatario de la incidencia trabaja con las detecciones para corregirlas.

El asignatario del caso trabaja con los casos de Security Command Center Enterprise y no clasifica ni mitiga los resultados.

Por ejemplo, el asignado de un caso puede ser un gestor de amenazas u otro especialista en seguridad que colabore con un ingeniero (asignado del ticket) y verifique que se han abordado todas las alertas de un caso. El asignado del caso nunca trabaja con sistemas de asistencia.

Siguientes pasos

Para obtener más información sobre los casos, consulta los siguientes recursos de la documentación de Google SecOps:

• Pestaña Resumen de casos
• ¿Qué hay en la página Casos?
• Cómo realizar una acción manual en un caso
• Cómo simular casos
• Trabajar con bloques de la guía