支持请求概览

本文档介绍了 Security Command Center Enterprise 层级中的“案例”概念,并说明了如何使用案例。

概览

在 Security Command Center 中,您可以使用案例来获取有关发现结果的详细信息、将 playbook 附加到发现结果提醒、应用自动威胁响应,以及跟踪安全问题的修复情况。

发现结果是某项检测服务生成的一条安全问题记录。在案例中,发现结果和其他安全问题会以提醒的形式呈现,这些提醒会使用收集额外信息的 playbook 进行填充。Security Command Center 会尽可能将新提醒添加到现有案例中,与其他相关提醒归为一组。如需详细了解案例,请参阅 Google SecOps 文档中的案例概览部分。

发现结果流程

在 Security Command Center Enterprise 中,有两种发现结果流程:

  1. Security Command Center 威胁发现结果会先发送到安全信息和事件管理 (SIEM) 模块。触发内部 SIEM 规则后,发现结果会转变为提醒。

    连接器会收集提醒,并将其注入到安全编排、自动化和响应 (SOAR) 模块,在该模块中,playbook 会处理并填充分组到案例中的提醒。

  2. 恶意组合发现结果以及任何相关的漏洞和错误配置发现结果会直接发送到 SOAR 模块。SCC Enterprise - Urgent Posture Findings 连接器会将发现结果作为提醒注入并分组到案例中,之后 playbook 会处理并填充提醒。

在 Security Command Center Enterprise 中,Security Command Center 发现结果会转变为案例提醒。

调查案例

在注入期间,发现结果会分组到案例中,以便安全专家了解需要优先处理的事件。

具有相同参数的多个发现结果会分组到一个案例中。如需详细了解发现结果分组机制,请参阅将发现结果分组到案例中。如果您使用工单系统(例如 Jira 或 ServiceNow),系统会为每个案例创建一个工单,这意味着,一个案例中的所有发现结果对应一个工单。

发现结果状态

发现结果可以具有以下任何状态:

  • 活跃:发现结果处于活跃状态。

  • 已忽略:发现结果处于活跃状态,但已被忽略。如果某个案例中的所有发现结果都被忽略,则相应案例会被关闭。如需详细了解如何忽略案例中的发现结果,请参阅忽略案例中的发现结果

  • 已关闭:发现结果处于非活跃状态。

发现结果状态显示在案例概览标签页的发现结果状态 widget 中,以及提醒的发现结果摘要 widget 中。

如果与工单系统集成,请启用同步作业,以便自动更新有关发现结果及其状态的信息,并将案例数据与相关工单同步。如需详细了解案例数据同步,请参阅启用案例数据同步

发现结果严重级别与案例优先级

默认情况下,一个案例中包含的所有发现结果都具有相同的 severity 属性。您可以配置分组设置,将不同严重级别的发现结果纳入一个案例中。

系统会根据发现结果的最高严重级别来确定案例的优先级。当发现结果的严重级别发生变化时,Security Command Center 会自动更新相应案例的优先级,以与案例中所有发现结果中的最高严重级别属性相匹配。忽略发现结果不会影响案例的优先级;如果被忽略的发现结果具有最高严重级别,则仍由该严重级别决定案例的优先级。

在以下示例中,案例 1 的优先级为“严重”,因为发现结果 3(虽然已被忽略)的严重级别被设为“严重”:

  • 案例 1:优先级:CRITICAL
    • 发现结果 1,活跃。严重程度:HIGH
    • 发现结果 2,活跃。严重程度:HIGH
    • 发现结果 3,已被忽略。严重程度:CRITICAL

在下一个示例中,案例 2 的优先级为“高”,因为所有发现结果中的最高严重级别为“高”:

  • 案例 2:优先级:HIGH
    • 发现结果 1,活跃。严重程度:HIGH
    • 发现结果 2,活跃。严重程度:HIGH
    • 发现结果 3,已被忽略。严重程度:HIGH

查看案例

如需查看案例,请按以下步骤操作:

  1. 在 Google Cloud 控制台中,依次前往风险 > 支持请求。系统会打开案例列表
  2. 选择要查看的案例。系统会打开案例视图,您可以在其中找到发现结果摘要,以及与个别提醒或分组到所选案例中的一组提醒相关的所有信息。
  3. 查看案例墙标签页,了解有关针对案例及其所包含提醒执行的操作的详细信息。

  4. 前往提醒标签页,了解发现结果的整体情况。

    提醒标签页包含以下信息:

    • 提醒事件列表。
    • 附加到提醒的 playbook。
    • 发现结果概览。
    • 有关受影响资产的信息。
    • 可选:工单详情。

与工单系统集成

默认情况下,Security Command Center Enterprise 未与任何工单系统集成。

只有在集成并配置工单系统后,包含漏洞和错误配置发现结果的案例才会有关联的工单。集成工单系统后,Security Command Center Enterprise 会根据安全状况案例创建工单,并使用同步作业将 playbook 收集的所有信息转发到工单系统。

默认情况下,即使您将工单系统与 Security Command Center Enterprise 实例集成,包含威胁发现结果的案例也不会有关联工单。如需为威胁案例使用工单,请通过添加操作自定义可用的 playbook,或创建新的 playbook。

案例受理人与工单受理人

在任何给定时间,每个发现结果都只有一个资源所有者。资源所有者通过 Google Cloud 标记、重要联系人或在 SCC Enterprise - Urgent Posture Findings 连接器中配置的后备所有者参数值来定义。

如果集成了工单系统,则资源所有者默认是工单受理人。如需详细了解自动和手动工单分配,请参阅根据安全状况案例分配工单

工单受理人会处理发现结果以对相关问题进行修复。

案例受理人会处理 Security Command Center Enterprise 中的案例,但不会对发现结果进行分类或执行缓解措施。

例如,案例受理人可以是威胁管理员或其他安全专家,他们将与工程师(工单受理人)协作,验证案例中的所有提醒相关问题是否都已得到解决。案例受理人与工单系统没有任何关系。

后续步骤

如需详细了解案例,请参阅 Google SecOps 文档中的以下资源: