Panoramica delle richieste

Questo documento illustra i concetti dei casi nel livello Enterprise di Security Command Center e spiega come utilizzarli.

Le funzionalità relative ai casi, agli avvisi, ai playbook, ai job e ai connettori fornita da Google Security Operations.

Panoramica

In Security Command Center, i casi d'uso per ottenere dettagli sui risultati, collegare playbook alla ricerca di avvisi, applicare risposte automatiche alle minacce, e monitorare la risoluzione dei problemi di sicurezza.

Un risultato è un record di un problema di sicurezza generato da una i servizi di rilevamento di Security Command Center. In un caso, i risultati altri problemi di sicurezza vengono presentati sotto forma di avvisi, arricchiti con un playbook che raccoglie informazioni aggiuntive. Se possibile, Security Command Center aggiunge nuovi avvisi alle richieste esistenti, raggruppate con altri avvisi correlati.

Per ulteriori dettagli sulle richieste, consulta Panoramica della richiesta nel documentazione di Google SecOps.

Flusso dei risultati

In Security Command Center Enterprise, esistono due flussi per i risultati:

1. I risultati delle minacce di Security Command Center esaminano le informazioni di sicurezza e di gestione degli eventi (SIEM). Dopo aver attivato le regole SIEM interne, i risultati si trasformano in avvisi.

   Il connettore raccoglie gli avvisi e li importa nel il modulo SOAR (orchestration, automation and response) in cui i playbook per elaborare e arricchire gli avvisi raggruppati in richieste.

2. Risultati della postura di Security Command Center, composti dai risultati vulnerabilità del software, configurazioni errate e combinazioni dannose, vai direttamente al modulo SOAR. Dopo la SCC Enterprise - Connettore Urgent Posture Findings importa e postura dei gruppi i risultati come avvisi nei casi, i playbook elaborano e arricchiscono gli avvisi.

In Security Command Center Enterprise, il risultato di Security Command Center diventa un caso .

Esamina i casi

Durante l'importazione, i risultati vengono raggruppati in richieste per consentire agli esperti della sicurezza sappiano cosa assegnare alla priorità.

Più risultati con gli stessi parametri vengono raggruppati in un unico caso. Per scoprire di più sul meccanismo di raggruppamento dei risultati, consulta Raggruppa i risultati nei casi. Se utilizzi un sistema di gestione dei ticket come Jira o ServiceNow, un ticket viene creato in base a una richiesta, il che significa che esiste un unico ticket per tutte risultati in un caso.

Stato dei risultati

Un risultato può avere uno dei seguenti stati:

• Attivo: il risultato è attivo.

• Audio disattivato: il risultato è attivo e l'audio disattivato. Se tutti i risultati di un caso disattivato, la richiesta è chiusa. Per scoprire di più sulla disattivazione dei risultati in alcuni casi, consulta Disattivare i risultati nei casi.

• Chiuso: il risultato non è attivo.

Lo stato del risultato viene visualizzato nel widget Stato dei risultati della richiesta panoramica e il widget Riepilogo recupero di un avviso.

Se effettui l'integrazione con i sistemi di gestione delle richieste di assistenza, enable i job di sincronizzazione per conservare le informazioni sui risultati e sui relativi stati aggiornate automaticamente e sincronizzano i dati delle richieste con i ticket pertinenti. A Scopri di più sulla sincronizzazione dei dati della richiesta, vedi Abilitare i dati della richiesta la sincronizzazione.

Determinazione della gravità rispetto alla priorità delle richieste

Per impostazione predefinita, tutti i risultati contenuti in una richiesta hanno lo stesso severity proprietà. Tu puoi configurare le impostazioni di raggruppamento in modo da includere in un caso i risultati con gravità diverse.

La priorità della richiesta si basa sulla massima gravità del risultato. Quando il risultato modifiche alla gravità, Security Command Center aggiorna automaticamente la priorità delle richieste in corrisponde alla proprietà con gravità più alta tra tutti i risultati in un caso. Disattivazione dell'audio risultati non ha alcun impatto sulla priorità della richiesta, se un risultato disattivato presenta la gravità più alta, definisce la priorità della richiesta.

Nell'esempio seguente, la priorità della richiesta 1 è Critica perché la gravità del risultato 3 (sebbene disattivato) sia impostata su Critica:

• Caso 1: priorità: CRITICAL
  • Risultati 1, attivo. Gravità: HIGH
  • Risultati 2, attivo. Gravità: HIGH
  • Risultati 3 disattivati. Gravità: CRITICAL

Nel prossimo esempio, la priorità della richiesta 2 è Alta perché la gravità di tutti i risultati è Alta:

• Caso 2: priorità: HIGH
  • Risultati 1, attivo. Gravità: HIGH
  • Risultati 2, attivo. Gravità: HIGH
  • Risultati 3 disattivati. Gravità: HIGH

Esamina le richieste

Per esaminare una richiesta, svolgi i seguenti passaggi:

1. In Security Operations Console, vai a Richieste.
2. Seleziona una richiesta da esaminare. Si apre la Case View (Visualizzazione richiesta), in cui puoi trovare una riepilogo dei risultati insieme a tutte le informazioni su un avviso o sulla raccolta di avvisi raggruppati in una richiesta selezionata.
3. Consulta la scheda Bacheca richieste per i dettagli sull'attività svolta nella caso e avvisi inclusi.

4. Vai alla scheda Avviso per avere una panoramica di un risultato.

   La scheda Avviso contiene le seguenti informazioni:

   • Elenco di eventi di avviso.
   • Playbook allegati all'avviso.
   • Una panoramica dei risultati.
   • Informazioni sull'asset interessato.
   • Facoltativo: dettagli del biglietto.

Integrazione con i sistemi di gestione delle richieste di assistenza

Per impostazione predefinita, nessun sistema di gestione dei ticket è integrato in Security Command Center. Aziende.

I casi contenenti risultati relativi a vulnerabilità ed errori di configurazione solo quando integri e configuri il sistema di gestione dei ticket. Se integrare un sistema di gestione delle richieste di assistenza, Security Command Center Enterprise crea ticket in base ai casi di postura e agli inoltri tutte le informazioni raccolte dai playbook nel sistema di gestione dei ticket utilizzando un job di sincronizzazione.

Per impostazione predefinita, le richieste contenenti risultati relativi a minacce non hanno ticket correlati, anche quando puoi integrare il sistema di gestione dei ticket con Security Command Center Enterprise in esecuzione in un'istanza Compute Engine. Per utilizzare i ticket per i casi di minaccia, personalizza i playbook disponibili aggiungendo un'azione o creane una nuova i playbook.

Assegnatario della richiesta e assegnatario del ticket

Ogni risultato ha un singolo proprietario di risorsa in un dato momento. Il proprietario della risorsa viene definito utilizzando i tag Google Cloud, i contatti necessari Valore parametro Proprietario di riserva configurato in SCC Enterprise - Urgent Connettore dei risultati della postura.

Se integri un sistema di gestione dei ticket, il proprietario della risorsa è l'assegnatario del ticket predefinito. Per scoprire di più sull'assegnazione automatica e manuale dei ticket, consulta: Assegna i ticket in base ai casi di postura.

L'assegnatario del ticket prende in esame i risultati per porvi rimedio.

L'assegnatario della richiesta funziona con le richieste in Security Command Center Enterprise e non valutare o mitigare i risultati.

Ad esempio, l’assegnatario di una richiesta può essere Threat Manager o un altro Specialista della sicurezza che collabora con un ingegnere (assegnatario del ticket) e verifica che tutti gli avvisi di una richiesta di assistenza. L'assegnatario della richiesta non funziona mai con i sistemi di gestione delle richieste di assistenza.

Passaggi successivi

Per saperne di più sui casi, consulta le seguenti risorse nel Documentazione di Google SecOps:

• Scheda Panoramica delle richieste
• Cosa contiene la pagina Richieste di assistenza?
• Come eseguire un'azione manuale su una richiesta
• Come simulare casi
• Utilizzare i blocchi dei playbook