Présentation des cas

Ce document présente les concepts liés aux demandes au niveau Enterprise de Security Command Center et explique comment les traiter.

Les fonctionnalités de cas, d'alertes, de playbooks, de tâches et de connecteurs sont fournies par Google Security Operations.

Présentation

Dans Security Command Center, les cas d'utilisation vous permettent d'obtenir des informations sur les résultats, de joindre des playbooks pour rechercher des alertes, d'appliquer des réponses automatiques aux menaces et de suivre la résolution des problèmes de sécurité.

Un résultat est un enregistrement d'un problème de sécurité généré par l'un des services de détection de Security Command Center. Dans un cas, les résultats et d'autres problèmes de sécurité sont présentés sous forme d'alertes, qui sont enrichies à l'aide d'un playbook qui recueille des informations supplémentaires. Dans la mesure du possible, Security Command Center ajoute de nouvelles alertes aux demandes existantes, où elles sont regroupées avec d'autres alertes associées.

Pour en savoir plus sur les demandes, consultez la section Présentation des demandes dans la documentation Google SecOps.

Flux des résultats

Dans Security Command Center Enterprise, il existe deux flux pour les résultats:

1. Les résultats des menaces de Security Command Center passent par le module de gestion des informations et des événements de sécurité (SIEM). Après avoir déclenché les règles SIEM internes, les résultats se transforment en alertes.

   Le connecteur collecte les alertes et les ingère dans le module d'orchestration de la sécurité, d'automatisation et de réponse (SOAR), où les playbooks traitent et enrichissent les alertes regroupées par cas.

2. Les résultats de stratégie de Security Command Center, qui comprennent des résultats de failles logicielles, d'erreurs de configuration et de combinaisons toxiques, accèdent directement au module SOAR. Une fois que le connecteur SCC Enterprise – Urgent Posture Findings a ingéré et regroupé les résultats de stratégie sous forme d'alertes dans les cas, les playbooks traitent et enrichissent les alertes.

Dans Security Command Center Enterprise, le résultat de Security Command Center devient une alerte de cas.

Enquêter sur les cas

Lors de l'ingestion, les résultats sont regroupés par cas pour que les spécialistes de la sécurité sachent quoi trier.

Les résultats multiples utilisant les mêmes paramètres sont regroupés dans un seul cas. Pour en savoir plus sur le mécanisme de regroupement des résultats, consultez la section Regrouper les résultats dans les cas. Si vous utilisez un système de billetterie, tel que Jira ou ServiceNow, une demande est créée sur la base d'une demande, ce qui signifie qu'il n'existe qu'une seule demande pour tous les résultats d'une demande.

État du résultat

Un résultat peut avoir l'un des états suivants:

• Actif: le résultat est actif.

• Ignoré(e): le résultat est actif et son son est coupé. Si tous les résultats d'une demande sont ignorées, celle-ci est clôturée. Pour en savoir plus sur l'omission de résultats dans des cas, consultez la section Ignorer des résultats dans des cas.

• Fermé: le résultat est inactif.

L'état du résultat est affiché dans le widget État du résultat de l'onglet Présentation de la demande et dans le widget Récapitulatif des résultats d'une alerte.

Si vous intégrez des systèmes de billetterie, activez les tâches de synchronisation pour maintenir automatiquement à jour les informations sur les résultats et leur état, et pour synchroniser les données des demandes avec les demandes pertinentes. Pour en savoir plus sur la synchronisation des données de cas, consultez Activer la synchronisation des données de cas.

Niveau de gravité des résultats par rapport à la priorité des demandes

Par défaut, tous les résultats contenus dans une demande possèdent la même propriété severity. Vous pouvez configurer les paramètres de regroupement pour inclure les résultats de différents niveaux de gravité dans un seul cas.

La priorité de la demande est basée sur le niveau de gravité du résultat le plus élevé. Lorsque le niveau de gravité du résultat change, Security Command Center met automatiquement à jour la priorité de la demande pour qu'elle corresponde à la propriété présentant le niveau de gravité le plus élevé parmi tous les résultats d'une demande. Ignorer des résultats n'a aucun impact sur la priorité de la demande. Si un résultat ignoré présente le niveau de gravité le plus élevé, il définit la priorité de la demande.

Dans l'exemple suivant, la priorité du cas 1 est "Critique", car la gravité du résultat 3 (bien qu'elle soit ignorée) est définie sur "Critique" :

• Cas 1: priorité: CRITICAL
  • Résultat 1, actif. Gravité : HIGH
  • Résultat 2, actif. Gravité : HIGH
  • 3e trouvé, son coupé. Gravité : CRITICAL

Dans l'exemple suivant, la priorité du cas 2 est "High" (Élevée), car le niveau de gravité le plus élevé pour tous les résultats est "High" (Élevée) :

• Cas 2: priorité: HIGH
  • Résultat 1, actif. Gravité : HIGH
  • Résultat 2, actif. Gravité : HIGH
  • 3e trouvé, son coupé. Gravité : HIGH

Examiner les demandes

Pour examiner une demande, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Demandes.
2. Sélectionnez une demande à examiner. La vue de la demande s'ouvre. Elle contient un résumé des résultats, ainsi que toutes les informations sur une alerte ou la collection d'alertes regroupées dans un cas sélectionné.
3. Consultez l'onglet Case Wall (Mur des cas) pour en savoir plus sur l'activité effectuée sur la demande et les alertes incluses.

4. Accédez à l'onglet Alerte pour obtenir un aperçu d'un résultat.

   L'onglet Alert contient les informations suivantes:

   • Liste des événements d'alerte.
   • Playbooks associés à l'alerte.
   • Présentation des résultats
   • Informations sur l'élément concerné.
   • Facultatif: détails du billet.

Intégrer les systèmes de billetterie

Par défaut, aucun système de suivi des demandes n'est intégré à Security Command Center Enterprise.

Les cas contenant des résultats de failles et d'erreurs de configuration ne disposent de tickets associés que lorsque vous intégrez et configurez le système de billetterie. Si vous intégrez un système de billetterie, Security Command Center Enterprise crée des demandes d'assistance en fonction des cas de stratégie et transmet toutes les informations collectées par les playbooks au système de suivi à l'aide du job de synchronisation.

Par défaut, les demandes contenant des résultats de menaces ne sont associées à aucun ticket, même lorsque vous intégrez le système de billetterie à votre instance Security Command Center Enterprise. Pour utiliser des tickets pour vos cas de menace, personnalisez les playbooks disponibles en ajoutant une action ou en créant de nouveaux playbooks.

Personne responsable de la demande et responsable de la demande d'assistance

Chaque résultat est associé à un seul propriétaire de ressource à la fois. Le propriétaire de la ressource est défini à l'aide des tags Google Cloud, des contacts essentiels ou de la valeur du paramètre Propriétaire de remplacement configurée dans le connecteur SCC Enterprise – Urgent Posture Findings.

Si vous intégrez un système de billetterie, le propriétaire de la ressource est le destinataire de la demande par défaut. Pour en savoir plus sur l'attribution automatique et manuelle des demandes d'assistance, consultez Attribuer des demandes d'assistance en fonction des cas de stratégie.

La personne responsable du ticket utilise les résultats pour y remédier.

La personne responsable de la demande travaille avec les demandes dans Security Command Center Enterprise, et n'effectue pas de tri ni d'atténuation des résultats.

Par exemple, la personne responsable d'une demande peut être un gestionnaire des menaces ou un autre spécialiste de la sécurité qui collabore avec un ingénieur (qui est responsable des demandes d'assistance) et vérifie que toutes les alertes d'une demande sont traitées. La personne responsable de la demande ne travaille jamais avec des systèmes de suivi des demandes.

Étapes suivantes

Pour en savoir plus sur les demandes, consultez les ressources suivantes dans la documentation Google SecOps:

• Onglet "Cases" (Présentation des demandes)
• Contenu de la page "Demandes"
• Effectuer une action manuelle sur une demande
• Simuler des cas
• Utiliser les blocs de playbooks