Supportanfragen – Übersicht

In diesem Dokument werden die Konzepte von Anfragen in der Enterprise-Stufe von Security Command Center erläutert und beschrieben, wie Sie damit arbeiten.

Übersicht

Nutzen Sie in Security Command Center Anwendungsfälle, um Details zu Ergebnissen zu erhalten, Playbooks zum Suchen von Benachrichtigungen hinzufügen, automatische Reaktionen auf Bedrohungen anwenden und verfolgen die Behebung von Sicherheitsproblemen.

Ein Ergebnis ist ein Datensatz eines Sicherheitsproblems, der von einem der Security Command Center-Erkennungsdienste. In einem Fall werden Ergebnisse und andere Sicherheitsprobleme als Benachrichtigungen angezeigt, die mit einem Playbook angereichert werden, in dem zusätzliche Informationen erfasst werden. Wann immer möglich, Security Command Center fügt bestehenden Fällen neue Benachrichtigungen hinzu mit anderen zugehörigen Benachrichtigungen gruppiert.

Weitere Informationen zu Anfragen finden Sie in der Google SecOps-Dokumentation unter Anfrageübersicht.

Ablauf der Ergebnisse

Im Security Command Center Enterprise gibt es zwei Abläufe für Ergebnisse:

  1. Die Bedrohungsergebnisse von Security Command Center enthalten die Modul für Ereignisverwaltung (SIEM). Nach dem Auslösen der internen SIEM-Regeln Ergebnisse in Benachrichtigungen umzuwandeln.

    Der Connector erfasst die Benachrichtigungen und nimmt sie in das Sicherheitscenter auf SOAR-Modul (Orchestrierung, Automatisierung und Reaktion), in dem die Playbooks verarbeitet und die in Cases gruppierten Benachrichtigungen anreichern.

  2. Security Command Center-Statusergebnisse, die aus Ergebnissen von Schwachstellen in Software, Fehlkonfigurationen und unangemessene Kombinationen, wechseln Sie direkt zum SOAR-Modul. Nachdem der SCC Enterprise – Urgent Posture Findings Connector die Ergebnisse der Sicherheitsanalyse als Benachrichtigungen in Anfragen aufgenommen und gruppiert hat, werden die Benachrichtigungen in den Playbooks verarbeitet und angereichert.

In Security Command Center Enterprise wird das Security Command Center-Ergebnis zu einer Fallbenachrichtigung.

Fälle prüfen

Bei der Datenaufnahme werden die Ergebnisse in Fälle gruppiert, damit die Sicherheitsexperten wissen, was sie priorisieren müssen.

Mehrere Ergebnisse mit denselben Parametern werden in einem Fall zusammengefasst. Weitere Informationen zum Gruppieren von Ergebnissen finden Sie unter Ergebnisse in Anfragen gruppieren. Wenn Sie ein Ticketsystem wie Jira oder ServiceNow verwenden, wird ein Ticket basierend auf einem Fall erstellt. Das bedeutet, dass es ein Ticket für alle Ergebnisse in einem Fall gibt.

Suchstatus

Ein Ergebnis kann einen der folgenden Status haben:

  • Aktiv: Das Ergebnis ist aktiv.

  • Ausgeblendet: Das Ergebnis ist aktiv und ausgeblendet. Wenn alle Ergebnisse in einem Fall stummgeschaltet ist, ist das Case geschlossen. Weitere Informationen zum Ausblenden von Ergebnissen in Supportanfragen finden Sie unter Ergebnisse in Supportanfragen ausblenden.

  • Geschlossen: Das Ergebnis ist inaktiv.

Der Status der Ergebnisse wird im Widget Ergebnisstatus auf dem Tab Fallübersicht und im Widget Ergebnisübersicht einer Benachrichtigung angezeigt.

Wenn Sie Ticketsysteme einbinden, aktivieren Sie Synchronisierungsjobs, damit die Informationen zu den Ergebnissen und ihren Status automatisch auf dem neuesten Stand gehalten werden und Falldaten mit relevanten Tickets synchronisiert werden. Weitere Informationen zur Synchronisierung von Falldaten finden Sie unter Synchronisierung von Falldaten aktivieren.

Schweregrad der Ergebnisse im Vergleich zur Fallpriorität

Standardmäßig haben alle in einem Fall enthaltenen Ergebnisse dieselbe severityProperty. Ich können die Gruppierungseinstellungen konfigurieren, um Ergebnisse mit unterschiedlichen Schweregraden in einem Fall zusammenzufassen.

Die Fallpriorität basiert auf dem höchsten Schweregrad des Ergebnisses. Wenn sich die Schwere des Ergebnisses ändert, wird die Fallpriorität in Security Command Center automatisch so aktualisiert, dass sie der höchsten Schwere aller Ergebnisse in einem Fall entspricht. Das Stummschalten von Ergebnissen hat keine Auswirkungen auf die Fallpriorität. Wenn ein ausgeblendetes Ergebnis den höchsten Schweregrad hat, bestimmt es die Priorität des Falls.

Im folgenden Beispiel ist die Priorität für Fall 1 „Kritisch“, da die Schwere von Befund 3 (obwohl stummgeschaltet) auf „Kritisch“ festgelegt ist:

  • Fall 1: Priorität: CRITICAL
    • Ergebnis 1, aktiv Schweregrad: HIGH
    • Ergebnis 2: aktiv. Schweregrad: HIGH
    • Ergebnis 3, ausgeblendet Schweregrad: CRITICAL

Im nächsten Beispiel ist die Priorität für Fall 2 „Hoch“, da der höchste Der Schweregrad für alle Ergebnisse ist „Hoch“:

  • Fall 2: Priorität: HIGH
    • Ergebnis 1, aktiv Schweregrad: HIGH
    • Ergebnis 2: aktiv. Schweregrad: HIGH
    • Ergebnis 3, ausgeblendet Schweregrad: HIGH

Fälle überprüfen

So prüfen Sie einen Fall:

  1. Klicken Sie in der Security Operations Console auf Cases (Fälle).
  2. Wählen Sie einen Fall aus, den Sie überprüfen möchten. Die Fallansicht wird geöffnet. Dort finden Sie eine Zusammenfassung der Ergebnisse sowie alle Informationen zu einer Benachrichtigung oder zu den Benachrichtigungen, die in einem ausgewählten Fall gruppiert sind.
  3. Auf dem Tab Case Wall finden Sie Details zu den Aktivitäten auf der und enthaltene Benachrichtigungen.
  4. Auf dem Tab Benachrichtigung finden Sie eine Übersicht über ein Ergebnis.

    Der Tab Benachrichtigung enthält die folgenden Informationen:

    • Liste der Benachrichtigungsereignisse.
    • An die Benachrichtigung angehängte Playbooks.
    • Eine Übersicht über die Ergebnisse.
    • Informationen zum betroffenen Asset.
    • Optional: Ticketdetails.

Ticketsysteme einbinden

Standardmäßig ist kein Ticketing-System in Security Command Center integriert Unternehmen.

Für Fälle mit Ergebnissen zu Sicherheitslücken und fehlerhaften Konfigurationen gibt es nur dann zugehörige Tickets, wenn Sie das Ticketsystem integrieren und konfigurieren. Wenn Sie ein Ticketsystem integrieren, erstellt Security Command Center Enterprise basierend auf Posture-Fällen Tickets und leitet alle Informationen, die mithilfe von Playbooks erfasst wurden, über den Synchronisierungsjob an das Ticketsystem weiter.

Standardmäßig sind für Fälle mit Bedrohungsergebnissen keine zugehörigen Tickets vorhanden, auch wenn Sie das Ticketsystem in Ihre Security Command Center Enterprise-Instanz eingebunden haben. Wenn Sie Tickets für Ihre Bedrohungsfälle verwenden möchten, passen Sie die verfügbaren Playbooks an, indem Sie eine Aktion hinzufügen, oder erstellen Sie neue Playbooks.

Zuständige Person für den Fall und für das Ticket

Jedes Ergebnis hat immer einen einzelnen Ressourceninhaber. Der Ressourceninhaber wird mit Google Cloud-Tags, wichtigen Kontakten oder dem Parameterwert Fallback Owner definiert, der im SCC Enterprise – Connector für dringende Ergebnisse zur Systemkonfiguration konfiguriert ist.

Wenn Sie ein Ticketsystem einbinden, ist der Ressourceninhaber standardmäßig der zugewiesene Nutzer des Tickets. Weitere Informationen zur automatischen und manuellen Ticketzuweisung findest du unter Tickets anhand von Posture-Fällen zuweisen.

Der zugewiesene Nutzer arbeitet an den Ergebnissen, um sie zu beheben.

Die Fallzuständige arbeitet mit Fällen in Security Command Center Enterprise und nicht um Ergebnisse zu bewerten oder zu mindern.

Ein Fallbearbeiter kann beispielsweise ein Threat Manager oder ein anderer Sicherheitsexperte sein, der mit einem Entwickler (Ticketbearbeiter) zusammenarbeitet und prüft, ob alle Warnungen in einem Fall behoben wurden. Die Person, die den Fall zugewiesen bekommt, arbeitet nie mit Ticketsystemen.

Nächste Schritte

Weitere Informationen zu Fällen finden Sie in den folgenden Ressourcen in der Google SecOps-Dokumentation: