支持请求概览

本文档介绍了 Security Command Center 企业版中的支持请求概念,并说明了如何使用这些支持请求。

概览

在 Security Command Center 中,您可以使用用例来获取有关发现结果的详细信息、将 Playbook 附加到发现提醒、应用自动威胁响应,以及跟踪安全问题的修复情况。

发现结果是由以下人员之一生成的安全问题记录: Security Command Center 检测服务。在某个支持请求中,发现结果和其他安全问题会以提醒的形式显示,这些提醒会使用收集其他信息的 Playbook 进行丰富。Security Command Center 会尽可能将新提醒添加到现有支持请求中,并将其与其他相关提醒分组。

如需详细了解支持请求,请参阅 Google SecOps 文档中的支持请求概览

发现流程

在 Security Command Center Enterprise 中,发现结果有两种处理流程:

  1. Security Command Center 会对发现结果进行安全信息和 事件管理 (SIEM) 模块。触发内部 SIEM 规则后 并将其转换为提醒。

    该连接器会收集提醒并将其提取到安全编排、自动化和响应 (SOAR) 模块,在该模块中,playbook 会处理并丰富分组为案例的提醒。

  2. Security Command Center 状态发现结果(包括软件漏洞、配置错误和恶意组合发现结果)会直接发送到 SOAR 模块。SCC Enterprise - Urgent Posture Findings 连接器将态势发现结果作为提醒提取并归入到案例中后,手册会处理和丰富提醒。

在 Security Command Center Enterprise 中,Security Command Center 发现结果会变成支持请求提醒

调查支持请求

在注入期间,系统会将发现结果分组为案例,以便安全专家 您知道该对哪些内容进行分类了。

将具有相同参数的多个发现结果归入一个案例。 如需详细了解发现分组机制,请参阅在支持请求中对发现进行分组。如果您使用的是 Jira 或 ServiceNow 等工单系统, 根据支持请求创建的所有支持请求 来提取发现结果

发现结果状态

发现结果可以具有以下任一状态:

  • 有效:相应发现结果有效。

  • 已忽略:发现结果处于活动状态且已忽略。如果将支持请求中的所有问题都设为“已忽略”,系统会关闭该支持请求。如需详细了解如何在支持请求中忽略发现结果,请参阅在支持请求中忽略发现结果

  • 已关闭:相应发现结果处于无效状态。

发现结果状态显示在案例的发现结果状态微件中 概览标签页和提醒的发现结果摘要 widget。

如果您与票务系统集成, 启用 同步作业,用于保留发现结果及其状态的相关信息 自动更新,并将案例数据与相关工单同步。如需详细了解支持请求数据同步,请参阅启用支持请求数据同步

发现结果严重程度与支持请求优先级

默认情况下,支持请求中包含的所有发现结果都具有相同的 severity 属性。您 可以配置分组设置,将严重程度不同的发现结果添加到一个案例中。

案例优先级取决于发现结果的最高严重程度。当发现结果的严重程度发生变化时,Security Command Center 会自动更新案例优先级,使其与案例中所有发现结果中的最高严重程度属性一致。正在静音 不会影响支持请求优先级 - 如果忽略的发现结果具有 最高严重级别,则定义案例的优先级。

在以下示例中,支持请求 1 的优先级为“严重”,因为发现结果 3(虽然已静音)的严重程度设为“严重”:

  • 案例 1:优先级:CRITICAL
    • 发现结果 1,有效。严重程度:HIGH
    • 发现结果 2,有效。严重程度:HIGH
    • 发现 3,已忽略。严重程度:CRITICAL

在下例中,由于所有发现的严重程度最高级别均为“高”,因此 Case 2 的优先级为“高”:

  • 支持请求 2:优先级:HIGH
    • 发现 1,有效。严重程度:HIGH
    • 发现结果 2,有效。严重程度:HIGH
    • 发现结果 3,已忽略。严重程度:HIGH

查看支持请求

如需查看支持请求,请按以下步骤操作:

  1. 在 Security Operations 控制台中,前往案例
  2. 选择要查看的支持请求。此时会打开案例视图,您可以在其中找到 查找摘要以及有关某警报或该收集的所有信息 分组到所选案例的提醒。
  3. 查看案例墙标签页,了解在 包括提醒。
  4. 前往提醒标签页,简要了解发现结果。

    提醒标签页包含以下信息:

    • 提醒事件列表。
    • 附加到提醒的 playbook。
    • 发现结果概览。
    • 有关受影响资产的信息。
    • 可选:工单详情。

与工单系统集成

默认情况下,没有任何服务工单系统与 Security Command Center Enterprise 集成。

只有在您集成和配置工单系统后,包含漏洞和错误配置发现结果的支持请求才会有相关工单。如果您集成了工单系统,Security Command Center 企业版会根据状态报告创建工单,并使用同步作业将 Playbook 收集的所有信息转发到工单系统。

默认情况下,包含威胁发现结果的支持请求没有相关工单,即使您将工单系统与 Security Command Center 企业版实例集成也是如此。如需为您的威胁案例使用工单,请通过以下方式自定义可用策略方案: 添加操作或新建操作 playbook。

案例分配对象与工单分配对象

在任何给定时间点,每个发现都只有一个资源所有者。资源所有者是使用 Google Cloud 代码、重要联系人或在 SCC Enterprise - Urgent Posture Findings Connector 中配置的后备所有者参数值定义的。

如果您集成了服务工单系统,则资源所有者默认是工单的分配对象。如需详细了解自动和手动工单分配,请参阅 根据状况案例分配工单

工单分配对象根据发现结果进行修复。

案例分配者负责处理 Security Command Center Enterprise 中的支持请求,而不会对发现结果进行分类或缓解。

例如,支持请求分配者可以是威胁管理器或其他安全专家,他们会与工程师(工单分配者)合作,并验证支持请求中的所有提醒是否已得到处理。支持请求分配者绝不会与工单系统合作。

后续步骤

如需详细了解支持请求,请参阅 Google SecOps 文档中的以下资源: