Présentation des demandes

Ce document présente les concepts des demandes dans le niveau Enterprise de Security Command Center et explique comment les utiliser.

Présentation

Dans Security Command Center, vous pouvez obtenir des détails sur les résultats, des playbooks pour trouver des alertes, appliquer des réponses automatiques aux menaces, et suivre la résolution des problèmes de sécurité.

Un résultat est un enregistrement d'un problème de sécurité généré par l'un des services de détection de Security Command Center. Dans un cas, les résultats et les autres problèmes de sécurité sont présentés sous forme d'alertes, qui sont enrichies à l'aide d'un playbook qui collecte des informations supplémentaires. Dans la mesure du possible, Security Command Center ajoute de nouvelles alertes aux demandes existantes, où elles se trouvent regroupées avec d'autres alertes associées.

Pour en savoir plus sur les demandes, consultez la section Présentation de la demande dans la documentation Google SecOps.

Flux des résultats

Dans Security Command Center Enterprise, il existe deux flux pour les résultats :

  1. Les résultats des menaces de Security Command Center passent par les informations de sécurité de gestion des événements (SIEM). Après avoir déclenché les règles SIEM internes, les résultats deviennent des alertes.

    Le connecteur collecte les alertes et les ingère dans le module d'orchestration, d'automatisation et de réponse (SOAR, Security Orchestration Automation and Response) où les playbooks traitent et enrichissent les alertes regroupées dans des demandes.

  2. Les résultats de la posture de Security Command Center, qui consistent en des résultats sur les failles logicielles, les erreurs de configuration et les combinaisons toxiques, sont directement envoyés au module SOAR. Après la CCT Entreprise – Connecteur de résultats de stratégie urgente : ingestion et groupe de stratégies les résultats sous forme d'alertes dans les cas, les playbooks traitent et enrichissent les alertes.

Dans Security Command Center Enterprise, le résultat de Security Command Center devient une alerte de demande.

Examiner les demandes

Lors de l'ingestion, les résultats sont regroupés dans des cas afin d'indiquer aux spécialistes de la sécurité ce qu'ils doivent trier.

Les résultats multiples utilisant les mêmes paramètres sont regroupés dans un seul cas. Pour en savoir plus sur le mécanisme de regroupement des résultats, consultez la section Regrouper les résultats dans les demandes. Si vous utilisez un système de gestion des tickets, tel que Jira ou ServiceNow, un ticket est créé en fonction d'une demande, ce qui signifie qu'il existe un ticket pour toutes les conclusions d'une demande.

État du résultat

Un résultat peut avoir l'un des états suivants:

  • Actif : le résultat est actif.

  • Ignoré(e): le résultat est actif et son son est coupé. Si toutes les conclusions d'un cas sont masquées, le cas est clôturé. Pour en savoir plus sur l'omission des résultats dans les cas, consultez Ignorer des résultats dans les cas.

  • Fermé: le résultat est inactif.

L'état de la recherche s'affiche dans le widget État de la recherche de l'onglet Vue d'ensemble de la demande et dans le widget Récapitulatif de la recherche d'une alerte.

Si vous intégrez des systèmes de gestion des tickets, activez les tâches de synchronisation pour mettre automatiquement à jour les informations sur les résultats et leur état, et synchroniser les données des demandes avec les demandes pertinentes. À Pour en savoir plus sur la synchronisation des données de cas, consultez la section Activer les données de cas synchronisation.

Niveau de gravité des résultats par rapport à la priorité des demandes

Par défaut, tous les résultats d'un cas ont la même propriété severity. Vous pouvez configurer les paramètres de regroupement pour inclure des résultats de différentes gravités dans une même demande.

La priorité de la demande est basée sur le niveau de gravité du résultat le plus élevé. Lorsque le résultat changement de niveau de gravité, Security Command Center fait automatiquement passer la priorité correspondre à la propriété de gravité la plus élevée parmi tous les résultats d'un cas. Coupure du son n'a aucune incidence sur la priorité de la demande, si un résultat ignoré possède le niveau de gravité le plus élevé, il définit la priorité de la demande.

Dans l'exemple suivant, la priorité de l'incident 1 est critique, car la gravité de la non-conformité 3 (bien que masquée) est définie sur critique :

  • Cas 1: priorité: CRITICAL
    • Résultat 1, actif. Gravité : HIGH
    • Résultat 2, actif. Gravité : HIGH
    • Résultat 3, ignoré. Gravité : CRITICAL

Dans l'exemple suivant, la priorité du cas 2 est "Élevée", car la priorité pour tous les résultats est élevée:

  • Cas 2: priorité: HIGH
    • Résultat 1, actif. Gravité : HIGH
    • Résultat 2, actif. Gravité : HIGH
    • Résultat 3, ignoré. Gravité : HIGH

Examiner les demandes

Pour examiner une demande, procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à Demandes.
  2. Sélectionnez une demande à examiner. La vue d'affaire s'ouvre. Vous y trouverez un résumé des résultats, ainsi que toutes les informations sur une alerte ou la collection d'alertes regroupées dans une affaire sélectionnée.
  3. Consultez l'onglet Case Wall (Mur de la demande) pour en savoir plus sur l'activité effectuée sur la demande et les alertes incluses.

  4. Accédez à l'onglet Alerte pour afficher un aperçu d'un résultat.

    L'onglet Alert contient les informations suivantes:

    • Liste des événements d'alerte.
    • Playbooks associés à l'alerte.
    • Présentation des résultats
    • Informations sur l'élément concerné.
    • Facultatif: détails du billet.

Intégrer des systèmes de billetterie

Par défaut, aucun système de suivi des demandes n'est intégré à Security Command Center. Entreprise.

Les cas contenant des résultats de failles et d'erreurs de configuration sont liés les demandes que lorsque vous intégrez et configurez le système de tickets. Si vous intégrer un système de suivi des demandes d'assistance, Security Command Center Enterprise crée des demandes d'assistance en fonction des cas de stratégie et des transferts toutes les informations collectées par les playbooks vers le système de suivi des demandes de synchronisation.

Par défaut, les demandes contenant des résultats de menace n'ont pas de demandes associées, même lorsque vous intégrez le système de gestion des demandes à votre instance Security Command Center Enterprise. Pour utiliser les tickets pour vos cas de menace, personnalisez les playbooks disponibles en ajout d'une action ou création playbooks.

Personne responsable de la demande par rapport à la personne responsable de la demande

Chaque résultat est associé à un seul propriétaire de ressource à la fois. Le propriétaire de la ressource est défini à l'aide de tags Google Cloud, de contacts essentiels ou Valeur du paramètre Propriétaire de remplacement configurée dans SCC Enterprise – Urgent Connecteur de résultats de stratégie.

Si vous intégrez un système de tickets, le propriétaire de la ressource est le destinataire de la demande par défaut. Pour en savoir plus sur l'attribution automatique et manuelle des demandes, consultez la section Attribuer des demandes en fonction des cas de conformité.

La personne responsable du ticket utilise les résultats pour y remédier.

L'utilisateur responsable de la demande travaille sur les demandes dans Security Command Center Enterprise et ne trie ni n'atténue les résultats.

Par exemple, la personne responsable d'une demande peut être un gestionnaire des menaces ou un autre spécialiste de la sécurité qui collabore avec un ingénieur (destinataire des tickets) et vérifie que toutes les alertes dans une demande sont traités. L'agent responsable de la demande ne fonctionne jamais avec les systèmes de gestion des demandes.

Étape suivante

Pour en savoir plus sur les cas, consultez les ressources suivantes dans la documentation Google SecOps :