Supportanfragen – Übersicht

In diesem Dokument werden die Konzepte von Fällen auf der Enterprise-Stufe von Security Command Center behandelt und die Verwendung dieser Fälle erläutert.

Die Funktionen für Fälle, Benachrichtigungen, Playbooks, Jobs und Connectors werden von Google Security Operations bereitgestellt.

Überblick

Verwenden Sie im Security Command Center Anwendungsfälle, um Details zu Ergebnissen abzurufen, Playbooks an Ergebnisbenachrichtigungen anzuhängen, automatische Bedrohungsantworten anzuwenden und die Behebung von Sicherheitsproblemen zu verfolgen.

Ein Ergebnis ist ein Datensatz eines Sicherheitsproblems, das von einem der Erkennungsdienste von Security Command Center generiert wird. In einem Fall werden Ergebnisse und andere Sicherheitsprobleme als Benachrichtigungen dargestellt, die mit einem Playbook angereichert werden, das zusätzliche Informationen erfasst. Wenn möglich, fügt Security Command Center vorhandenen Fällen neue Benachrichtigungen hinzu, die mit anderen zugehörigen Benachrichtigungen gruppiert werden.

Weitere Informationen zu Fällen finden Sie in der Google SecOps-Dokumentation in der Fallübersicht.

Ergebnisfluss

In Security Command Center Enterprise gibt es zwei Abläufe für Ergebnisse:

1. Die Bedrohungsergebnisse von Security Command Center durchlaufen das Modul Security Information and Event Management (SIEM). Nachdem die internen SIEM-Regeln ausgelöst wurden, werden die Ergebnisse in Warnmeldungen umgewandelt.

   Der Connector erfasst die Benachrichtigungen und nimmt sie in das SOAR-Modul (Security Orchestration, Automation and Response) auf, in dem die Playbooks die Benachrichtigungen, die zu Fällen gruppiert sind, verarbeiten und anreichern.

2. Die Ergebnisse des Security Command Center-Status, die aus Software-Sicherheitslücken, Fehlkonfigurationen und schädlichen Kombinationen bestehen, werden direkt an das SOAR-Modul weitergeleitet. Nachdem der SCC Enterprise – Urgent Posture Findings Connector Statusergebnisse aufgenommen und als Benachrichtigungen in Supportanfragen gruppiert hat, verarbeiten und reichern die Playbooks Benachrichtigungen an.

In Security Command Center Enterprise wird das Security Command Center-Ergebnis zu einer Fallbenachrichtigung.

Fälle prüfen

Während der Aufnahme werden die Ergebnisse in Fällen gruppiert, damit die Sicherheitsexperten wissen, was sie priorisieren sollen.

Mehrere Ergebnisse mit denselben Parametern werden in einem Fall gruppiert. Weitere Informationen zum Gruppierungsmechanismus von Ergebnissen finden Sie unter Ergebnisse in Fällen gruppieren. Wenn Sie ein Ticketing-System wie Jira oder ServiceNow verwenden, wird ein Ticket basierend auf einem Fall erstellt. Das bedeutet, dass es ein Ticket für alle Ergebnisse in einem Fall gibt.

Ergebnisstatus

Ein Ergebnis kann einen der folgenden Status haben:

• Aktiv: Das Ergebnis ist aktiv.

• Ausgeblendet: Das Ergebnis ist aktiv und ausgeblendet. Wenn alle Ergebnisse in einem Fall ausgeblendet werden, ist der Fall geschlossen. Weitere Informationen zum Ausblenden von Ergebnissen in Fällen finden Sie unter Ergebnisse in Fällen ausblenden.

• Geschlossen: Das Ergebnis ist inaktiv.

Der Ergebnisstatus wird im Widget Ergebnisstatus des Tabs Fallübersicht und im Widget Ergebniszusammenfassung einer Benachrichtigung angezeigt.

Bei der Integration in Ticketing-Systeme aktivieren Sie Synchronisierungsjobs, um die Informationen zu Ergebnissen und ihren Status automatisch auf dem neuesten Stand zu halten und Falldaten mit relevanten Tickets zu synchronisieren. Weitere Informationen zur Synchronisierung von Falldaten finden Sie unter Synchronisierung von Falldaten aktivieren.

Schweregrad der Ergebnisse im Vergleich zur Fallpriorität

Standardmäßig haben alle in einem Fall enthaltenen Ergebnisse das gleiche Attribut severity. Sie können die Gruppierungseinstellungen konfigurieren, um Ergebnisse mit unterschiedlichen Schweregraden in einem Fall zusammenzufassen.

Die Fallpriorität basiert auf dem höchsten Schweregrad des Ergebnisses. Wenn sich der Schweregrad des Ergebnisses ändert, aktualisiert Security Command Center die Fallpriorität automatisch so, dass sie dem Attribut mit dem höchsten Schweregrad unter allen Ergebnissen eines Falls entspricht. Das Ausblenden von Ergebnissen hat keinen Einfluss auf die Fallpriorität. Wenn ein ausgeblendetes Ergebnis den höchsten Schweregrad hat, wird die Priorität des Falls definiert.

Im folgenden Beispiel ist die Priorität für Fall 1 „kritisch“, da der Schweregrad von Ergebnis 3 (obwohl stummgeschaltet) auf „Kritisch“ festgelegt ist:

• Fall 1: Priorität: CRITICAL
  • Ergebnis 1 ist aktiv. Schweregrad: HIGH
  • Ergebnis 2: aktiv. Schweregrad: HIGH
  • Ergebnis 3 wird ausgeblendet. Schweregrad: CRITICAL

Im nächsten Beispiel ist die Priorität für Fall 2 „Hoch“, da der höchste Schweregrad für alle Ergebnisse „Hoch“ ist:

• Fall 2: Priorität: HIGH
  • Ergebnis 1 ist aktiv. Schweregrad: HIGH
  • Ergebnis 2: aktiv. Schweregrad: HIGH
  • Ergebnis 3 wird ausgeblendet. Schweregrad: HIGH

Anfragen prüfen

So prüfen Sie einen Fall:

1. Gehen Sie in der Security Operations-Konsole zu Fälle.
2. Wählen Sie einen Fall aus, den Sie prüfen möchten. Die Fallansicht wird geöffnet. Hier finden Sie eine Zusammenfassung der Ergebnisse sowie alle Informationen zu einer Benachrichtigung oder eine Sammlung von Benachrichtigungen, die zu einem ausgewählten Fall gruppiert sind.
3. Auf dem Tab Fall-Wand finden Sie Details zu den an dem Fall durchgeführten Aktivitäten und entsprechende Benachrichtigungen.

4. Rufen Sie den Tab Warnung auf, um eine Übersicht über ein Ergebnis zu erhalten.

   Auf dem Tab Benachrichtigung finden Sie die folgenden Informationen:

   • Liste der Benachrichtigungsereignisse.
   • An die Benachrichtigung angehängte Playbooks.
   • Eine Ergebnisübersicht.
   • Informationen zum betroffenen Asset.
   • Optional: Ticketdetails.

Einbindung in Ticketsysteme

Standardmäßig ist kein Ticketing-System in Security Command Center Enterprise eingebunden.

Bei den Ergebnissen zu Sicherheitslücken und Fehlkonfigurationen sind nur dann zugehörige Tickets zu erhalten, wenn Sie das Ticketing-System einbinden und konfigurieren. Wenn Sie ein Ticketsystem einbinden, erstellt Security Command Center Enterprise Tickets basierend auf Statusfällen und leitet alle von Playbooks erfassten Informationen mithilfe des Synchronisierungsjobs an das Ticketing-System weiter.

Standardmäßig haben Fälle mit gefundenen Bedrohungen keine zugehörigen Tickets, selbst wenn Sie das Ticketing-System in Ihre Security Command Center Enterprise-Instanz einbinden. Wenn Sie Tickets für Ihre Bedrohungsfälle verwenden möchten, passen Sie die verfügbaren Playbooks durch Hinzufügen einer Aktion an oder erstellen Sie neue Playbooks.

Fallzuständige und Ticket-Beauftragte

Jedes Ergebnis hat immer nur einen Ressourceninhaber. Der Ressourceninhaber wird mithilfe von Google Cloud-Tags, wichtigen Kontakten oder dem Parameterwert Fallback Owner definiert, der in SCC Enterprise – Urgent Posture Findings Connector konfiguriert ist.

Wenn Sie ein Ticketing-System einbinden, ist der Ressourceninhaber standardmäßig der Ticket-Zuständige. Weitere Informationen zur automatischen und manuellen Ticketzuweisung finden Sie unter Tickets basierend auf Statusfällen zuweisen.

Die Ticketzuständige arbeitet mit Ergebnissen, um sie zu beheben.

Die Fallzuständige arbeitet mit Fällen in Security Command Center Enterprise und kann Ergebnisse nicht sondieren oder mindern.

Eine Fallzuständige kann beispielsweise ein Threat Manager oder ein anderer Sicherheitsexperte sein, der mit einem Entwickler (Ticketzuständige) zusammenarbeitet und überprüft, ob alle Benachrichtigungen in einem Fall berücksichtigt wurden. Die für den Fall zuständige Person arbeitet nie mit Ticketing-Systemen.

Nächste Schritte

Weitere Informationen zu Fällen finden Sie in den folgenden Ressourcen der Google SecOps-Dokumentation:

• Tab „Fälle – Übersicht“
• Was befindet sich auf der Seite „Fälle“?
• Manuelle Maßnahmen bei einer Anfrage durchführen
• So simulieren Sie Fälle
• Mit Playbook-Blöcken arbeiten