Descripción general de casos

En este documento, se abordan los conceptos de casos en el nivel empresarial de Security Command Center y se explica cómo trabajar con ellos.

La funcionalidad de casos, alertas, guías, trabajos y conectores cuentan con la tecnología de las operaciones de seguridad de Google.

Descripción general

En Security Command Center, usa la función de caso para obtener detalles sobre los hallazgos, adjuntar guías a las alertas, aplicar respuestas automáticas a amenazas y definir qué hallazgos de postura se deben corregir. Los casos te ayudan a investigar los resultados, responder a las amenazas mediante guías y mitigar las vulnerabilidades y los parámetros de configuración incorrectos mediante sistemas de tickets.

En Security Command Center, un caso es un contenedor de alto nivel para varias alertas y su información relacionada que transfiere el conector. Uno o más eventos de seguridad activan la alerta, y se enriquecen mediante una guía para recopilar información adicional. Con la información recopilada, el conector intenta determinar si una alerta entrante nueva se puede agrupar en un caso abierto existente con otras alertas relacionadas con la misma intrusión.

Para obtener más detalles sobre los casos, consulta Descripción general de casos en la documentación de SecOps de Google.

Flujo de hallazgos

En Security Command Center Enterprise, hay dos flujos para los resultados:

1. Los hallazgos de amenazas de Security Command Center se presentan en el módulo de administración de información y eventos de seguridad (SIEM). Después de activar las reglas de SIEM internas, los resultados se convierten en alertas.

   El conector recopila las alertas y las transfiere al módulo de organización de seguridad, automatización y respuesta (SOAR), en el que las guías procesan y enriquecen las alertas que se agrupan en casos.

2. Los resultados de la postura de Security Command Center que consisten en vulnerabilidades y parámetros de configuración incorrectos van directamente a SOAR. Después de que SCC Enterprise - Urgent Posture Findings Connectors transfiere y agrupa los resultados de postura como alertas en casos, las guías procesan y enriquecen las alertas.

En Security Command Center Enterprise, el hallazgo de Security Command Center se convierte en una alerta de caso.

Investigación de casos

Durante la transferencia, los hallazgos se agrupan en casos para permitir que los especialistas en seguridad sepan qué clasificar.

Varios hallazgos con los mismos parámetros se agrupan en un caso. Para obtener más información, consulta Agrupa los resultados en casos. Si usas un sistema de tickets, como Jira o ServiceNow, se crea un ticket según un caso, lo que significa que hay un ticket para todos los resultados en un caso.

Gravedad de los resultados frente a prioridad del caso

De forma predeterminada, todos los resultados que se encuentran en un caso poseen la misma propiedad severity. Puedes establecer la configuración de la agrupación para incluir los resultados con diferentes niveles de gravedad en un caso.

La prioridad del caso se basa en la gravedad máxima de los hallazgos. Para obtener más detalles, consulta el siguiente ejemplo:

• Caso 1: Prioridad: CRITICAL

  • Hallazgo 1: Gravedad: HIGH
  • Hallazgo 2: Gravedad: HIGH
  • Hallazgo 3: Gravedad: CRITICAL

• Caso 2: Prioridad: HIGH

  • Hallazgo 1: Gravedad: HIGH
  • Hallazgo 2: Gravedad: HIGH
  • Hallazgo 3: Gravedad: HIGH

Revisión de casos

Para revisar un caso, sigue estos pasos:

1. En la consola de Security Operations, ve a Cases.
2. Selecciona un caso para revisar. Se abrirá la Vista de casos, en la que podrás encontrar un resumen de resultados junto con toda la información sobre una alerta o la colección de alertas agrupadas en un caso seleccionado.
3. Consulta la pestaña de la pantalla de la funda para obtener detalles sobre la actividad realizada en la funda y las alertas incluidas.

4. Ve a la pestaña Alerta para obtener una descripción general de un hallazgo.

   La pestaña Alerta contiene la siguiente información:

   • Lista de eventos de alerta.
   • Guías adjuntas a la alerta.
   • Una descripción general de los hallazgos.
   • Información sobre el activo afectado.
   • Opcional: Detalles del boleto

Integración en sistemas de tickets

Los casos que contienen hallazgos de vulnerabilidades y parámetros de configuración tienen tickets relacionados solo cuando integras y configuras el sistema de tickets. Si integras un sistema de tickets, Security Command Center Enterprise crea tickets basados en casos de posición y reenvía toda la información recopilada por las guías al sistema de tickets mediante el trabajo de sincronización.

De forma predeterminada, los casos que contienen hallazgos de amenazas no tienen tickets relacionados, incluso cuando integras el sistema de tickets en tu instancia de Security Command Center Enterprise. Si quieres usar tickets para los casos de amenazas, personaliza las guías disponibles agregando una acción o crea guías nuevas.

Destinatario del caso o cesionario del ticket

Cada resultado tiene un solo propietario de recursos en cualquier momento. El propietario del recurso se define mediante etiquetas de Google Cloud, contactos esenciales o el valor del parámetro Fallback Owner, configurado en el Conector de resultados de postura urgente de la empresa de SCC.

Si integras un sistema de tickets, el propietario del recurso es el cesionario del ticket de forma predeterminada. Para obtener más información sobre la asignación de tickets automática y manual, consulta Asigna tickets según casos de postura.

La persona que asignó el ticket trabaja con los hallazgos para corregirlos.

La persona que asignó el caso trabaja con los casos en Security Command Center Enterprise y no clasifica ni mitiga los resultados.

Por ejemplo, el destinatario de un caso puede ser un administrador de amenazas o algún otro especialista en seguridad que colabore con un ingeniero (destinatario del ticket) y verifique que se aborden todas las alertas de un caso. La persona asignada al caso nunca trabaja con sistemas de tickets.

Próximos pasos

Para obtener más información sobre los casos, consulta los siguientes recursos en la documentación de SecOps de Google:

• Pestaña de descripción general de casos
• ¿Qué hay en la página Cases?
• Cómo realizar una acción manual en un caso
• Cómo simular casos
• Trabaja con bloques de la guía