Übersicht über Supportanfragen

In diesem Dokument werden die Fallkonzepte in der Enterprise-Stufe von Security Command Center behandelt und die Arbeit mit diesen wird erläutert.

Die Funktionen für Supportanfragen, Benachrichtigungen, Playbooks, Jobs und Connectors werden von Google Security Operations bereitgestellt.

Überblick

Verwenden Sie in Security Command Center die Fallfunktion, um Details zu Ergebnissen abzurufen, Playbooks an Benachrichtigungen anzuhängen, automatische Bedrohungsantworten anzuwenden und zu definieren, welche Ergebnisse zu beheben sind. Mithilfe von Cases können Sie Ergebnisse untersuchen, mit Playbooks auf Bedrohungen reagieren und Sicherheitslücken und Fehlkonfigurationen mithilfe von Ticketsystemen minimieren.

In Security Command Center ist ein Fall ein übergeordneter Container für mehrere Benachrichtigungen und die zugehörigen Informationen, die vom Connector aufgenommen werden. Die Benachrichtigung wird durch ein oder mehrere Sicherheitsereignisse ausgelöst und mit einem Playbook angereichert, um zusätzliche Informationen zu erfassen. Anhand der erfassten Informationen versucht der Connector zu ermitteln, ob eine neue eingehende Benachrichtigung zu einem offenen Fall mit anderen Benachrichtigungen im Zusammenhang mit demselben Angriff gruppiert werden kann.

Weitere Informationen zu Supportanfragen finden Sie in der Fallübersicht in der Google SecOps-Dokumentation.

Ergebnisablauf

In Security Command Center Enterprise gibt es zwei Abläufe für Ergebnisse:

1. Die gefundenen Bedrohungen von Security Command Center durchlaufen das SIEEM-Modul (Security Information and Event Management). Nachdem die internen SIEM-Regeln ausgelöst wurden, werden die Ergebnisse in Benachrichtigungen umgewandelt.

   Der Connector erfasst die Benachrichtigungen und nimmt sie in das Sicherheitsorchestrierungs-, Automatisierungs- und Antwortmodul (SOAR) auf, in dem die Playbooks die in Supportanfragen gruppierten Benachrichtigungen verarbeiten und anreichern.

2. Ergebnisse des Security Command Center-Status, die aus Sicherheitslücken und Fehlkonfigurationen bestehen, werden direkt an SOAR weitergeleitet. Nachdem der SCC Enterprise – Urgent Posture Findings Connector die Ergebnisse des Sicherheitsstatus als Benachrichtigungen in Supportanfragen aufgenommen und gruppiert hat, werden die Playbooks verarbeitet und die Benachrichtigungen angereichert.

In Security Command Center Enterprise wird das Security Command Center-Ergebnis zu einer Fallbenachrichtigung.

Fälle untersuchen

Während der Aufnahme werden die Ergebnisse in Supportanfragen gruppiert, damit die Sicherheitsexperten wissen, was sie vorher sortieren müssen.

Mehrere Ergebnisse mit denselben Parametern werden in einem Fall zusammengefasst. Weitere Informationen finden Sie unter Ergebnisse in Fällen gruppieren. Wenn Sie ein Ticketing-System wie Jira oder ServiceNow verwenden, wird ein Ticket basierend auf einem Fall erstellt. Das bedeutet, dass für alle Ergebnisse in einem Fall ein Ticket vorhanden ist.

Schweregrad der Ergebnisse im Vergleich zur Fallpriorität

Standardmäßig haben alle Ergebnisse in einem Fall dasselbe severity-Attribut. Sie können die Gruppierungseinstellungen so konfigurieren, dass Ergebnisse mit unterschiedlichen Schweregraden in einem Fall zusammengefasst werden.

Die Fallpriorität basiert auf dem maximalen Schweregrad der Ergebnisse. Weitere Informationen findest du im folgenden Beispiel:

• Fall 1: Priorität: CRITICAL

  • Ergebnis 1: Schweregrad: HIGH
  • Ergebnis 2: Schweregrad: HIGH
  • Ergebnis 3: Schweregrad: CRITICAL

• Fall 2: Priorität: HIGH

  • Ergebnis 1: Schweregrad: HIGH
  • Ergebnis 2: Schweregrad: HIGH
  • Ergebnis 3: Schweregrad: HIGH

Supportanfragen prüfen

So prüfen Sie einen Fall:

1. Rufen Sie in der Security Operations Console Fälle auf.
2. Wählen Sie einen Fall aus, den Sie prüfen möchten. Die Fallansicht wird geöffnet. Hier finden Sie eine Zusammenfassung der Ergebnisse sowie alle Informationen zu einer Benachrichtigung oder die Sammlung von Benachrichtigungen, die in einem ausgewählten Fall gruppiert sind.
3. Auf dem Tab Case Wall finden Sie Details zur in dem Fall durchgeführten Aktivität und enthalten Benachrichtigungen.

4. Auf dem Tab Benachrichtigung können Sie sich einen Überblick über ein Ergebnis verschaffen.

   Auf dem Tab Warnung finden Sie die folgenden Informationen:

   • Liste der Benachrichtigungsereignisse.
   • An die Benachrichtigung angehängte Playbooks.
   • Eine Ergebnisübersicht.
   • Informationen zum betroffenen Asset.
   • Optional: Ticketdetails.

In Ticketing-Systeme einbinden

Fälle mit Sicherheitslücken und gefundenen Fehlkonfigurationen enthalten nur dann zugehörige Tickets, wenn Sie das Ticketing-System einbinden und konfigurieren. Wenn Sie ein Ticketing-System einbinden, erstellt Security Command Center Enterprise Tickets anhand von Statusfällen und leitet alle von Playbooks erfassten Informationen mithilfe des Synchronisierungsjobs an das Ticketing-System weiter.

Standardmäßig gibt es bei Fällen mit Bedrohungsergebnissen keine zugehörigen Tickets, auch wenn Sie das Ticketing-System in Ihre Security Command Center Enterprise-Instanz einbinden. Wenn Sie Tickets für Ihre Bedrohungsfälle verwenden möchten, passen Sie die verfügbaren Playbooks an, indem Sie eine Aktion hinzufügen oder neue Playbooks erstellen.

Fallzuständige vs. Ticketverantwortliche

Jedes Ergebnis hat zu jeder Zeit einen einzigen Ressourceninhaber. Der Ressourceninhaber wird mithilfe von Google Cloud-Tags, wichtigen Kontakten oder dem Parameterwert Fallback-Inhaber definiert, der im SCC Enterprise – Urgent Posture Findings Connector konfiguriert wurde.

Wenn Sie ein Ticketsystem einbinden, ist der Ressourceninhaber standardmäßig der Ticketzuständige. Weitere Informationen zur automatischen und manuellen Ticketzuweisung finden Sie unter Tickets basierend auf Sicherheitsfällen zuweisen.

Die zuständige Person des Tickets arbeitet mit Ergebnissen, um sie zu beheben.

Die Zuständige für den Fall arbeitet mit Anfragen in Security Command Center Enterprise und sortiert keine Ergebnisse.

Die zuständige Person kann beispielsweise ein Threat Manager oder ein anderer Sicherheitsexperte sein, der mit einem Entwickler (Ticketverantwortlicher) zusammenarbeitet und überprüft, ob alle Warnungen in einem Fall bearbeitet wurden. Die zuständige Person der Anfrage arbeitet nie mit Ticketsystemen.

Nächste Schritte

Weitere Informationen zu Fällen finden Sie in den folgenden Ressourcen in der Google SecOps-Dokumentation:

• Tab „Cases-Übersicht“
• Was enthält die Seite „Anfragen“?
• Manuelle Maßnahmen für einen Fall ausführen
• So simulieren Sie Fälle
• Mit Playbook-Blöcken arbeiten