En este documento, se abordan los conceptos de los casos del nivel Enterprise de Security Command Center. y te explica cómo trabajar con ellos.
Descripción general
En Security Command Center, usa casos de uso para obtener detalles sobre los hallazgos, adjuntar guías para encontrar alertas, aplicar respuestas automáticas ante amenazas y hacer un seguimiento de la solución de problemas de seguridad.
Un hallazgo es un registro de un problema de seguridad que genera uno de los servicios de detección de Security Command Center. En un caso, los hallazgos y otros problemas de seguridad se presentan como alertas, que se enriquecen con una guía que recopila información adicional. Siempre que sea posible, Security Command Center agrega alertas nuevas a los casos existentes, en el lugar en que se encuentran. agruparse con otras alertas relacionadas.
Para obtener más detalles sobre los casos, consulta Descripción general de los casos en la Documentación de Google SecOps.
Flujo de resultados
En Security Command Center Enterprise, hay dos flujos para los hallazgos:
Los resultados de amenazas de Security Command Center pasan por el módulo de administración de información y eventos de seguridad (SIEM). Después de activar las reglas de SIEM internas, los hallazgos se convierten en alertas.
El conector recopila las alertas y las transfiere al módulo de organización, automatización y respuesta de seguridad (SOAR), donde las guías de respuesta procesan y enriquecen las alertas que se agrupan en casos.
Los resultados de la postura de Security Command Center, que consisten en vulnerabilidades de software, parámetros de configuración incorrectos y combinaciones tóxicas, van directamente al módulo de SOAR. Después de la SCC Enterprise - Urgent Posture Findings Connector transfiere y agrupa la postura como alertas sobre casos, las guías procesan y enriquecen las alertas.
En Security Command Center Enterprise, el hallazgo de Security Command Center se convierte en un caso alerta.
Investigar casos
Durante la transferencia, los hallazgos se agrupan en casos para que los especialistas en seguridad sepan qué priorizar.
Los resultados múltiples con los mismos parámetros se agrupan en un solo caso. Para obtener más información sobre el mecanismo de agrupación de hallazgos, consulta Cómo agrupar hallazgos en casos. Si usas un sistema de tickets, como Jira o ServiceNow, un ticket se crea en función de un caso, lo que significa que hay un ticket para todos los resultados de un caso.
Estado del hallazgo
Un resultado puede tener cualquiera de los siguientes estados:
Activo: El hallazgo está activo.
Silenciado: El hallazgo está activo y silenciado. Si se silencian todos los hallazgos de un caso, este se cerrará. Para obtener más información sobre cómo silenciar resultados en diferentes casos, consulte Silencia los resultados en los casos.
Cerrado: El hallazgo está inactivo.
El estado del hallazgo se muestra en el widget de Estado del hallazgo de la sección Caso descripción general y el widget Finding Summary de una alerta.
Si te integras a los sistemas de tickets habilitar de sincronización para mantener la información sobre los resultados y sus estados automáticamente y sincronizar los datos del caso con los tickets relevantes. Para para obtener más información sobre la sincronización de datos de casos, consulte Habilitar datos de casos y sincronización.
Encuentra la gravedad frente a la prioridad del caso
De forma predeterminada, todos los resultados incluidos en un caso tienen el mismo severity
propiedad. Tú
Puedes establecer la configuración de agrupación para incluir resultados con diferente gravedad en un solo caso.
La prioridad del caso se basa en la gravedad más alta del hallazgo. Cuando el resultado cambios de gravedad, Security Command Center actualiza automáticamente la prioridad del caso a coincide con la propiedad de gravedad más alta entre todos los hallazgos de un caso. Silenciando hallazgos no tiene impacto en la prioridad del caso; si un resultado silenciado posee la gravedad más alta, define la prioridad del caso.
En el siguiente ejemplo, la prioridad del caso 1 es crítica porque la gravedad del hallazgo 3 (aunque silenciado) está establecida como crítica:
- Caso 1: Prioridad:
CRITICAL
- Hallazgo 1, activo. Gravedad:
HIGH
- Hallazgo 2, activo. Gravedad:
HIGH
- Se silenció el resultado 3. Gravedad:
CRITICAL
- Hallazgo 1, activo. Gravedad:
En el siguiente ejemplo, la prioridad del caso 2 es alta porque la gravedad más alta de todos los hallazgos es alta:
- Caso 2: Prioridad:
HIGH
- Hallazgo 1, activo. Gravedad:
HIGH
- Hallazgo 2, activo. Gravedad:
HIGH
- Se silenció el resultado 3. Gravedad:
HIGH
- Hallazgo 1, activo. Gravedad:
Revisar casos
Para revisar un caso, sigue estos pasos:
- En la consola de Security Operations, ve a Casos.
- Selecciona un caso para revisar. Se abrirá la vista de casos, en la que podrás encontrar una y encontrar un resumen junto con toda la información sobre una alerta o la recopilación de alertas agrupadas en un caso seleccionado.
- Consulta la pestaña Muro de casos para obtener detalles sobre la actividad realizada en la y las alertas incluidas.
Ve a la pestaña Alert para obtener una descripción general de un hallazgo.
La pestaña Alerta contiene la siguiente información:
- Lista de eventos de alerta.
- Guías adjuntas a la alerta
- Una descripción general de los hallazgos.
- Información sobre el recurso afectado
- Opcional: detalles del boleto
Cómo realizar la integración con los sistemas de tickets
De forma predeterminada, no se integra ningún sistema de tickets en Security Command Center Enterprise.
Los casos que contienen hallazgos de vulnerabilidades y parámetros de configuración incorrectos están relacionados tickets solo cuando se integra y configura el sistema de tickets. Si Integrar un sistema de tickets Security Command Center Enterprise crea tickets basados en casos de postura y reenvíos toda la información recopilada por las guías al sistema de tickets mediante trabajo de sincronización.
De forma predeterminada, los casos que contienen hallazgos de amenazas no tienen tickets relacionados, incluso cuando integras el sistema de tickets a Security Command Center Enterprise instancia. Si deseas usar tickets para tus casos de amenazas, personaliza las guías disponibles agregar una acción o crear una y manuales de tácticas.
Comparación entre el usuario asignado del caso y el destinatario de tickets
Cada hallazgo tiene un solo propietario de recursos en un momento determinado. El propietario del recurso se define con etiquetas de Google Cloud, contactos esenciales Valor del parámetro de propietario de resguardo configurado en SCC Enterprise: urgente Conector de hallazgos de postura.
Si integras un sistema de tickets, el propietario del recurso es el destinatario del ticket de forma predeterminada. Para obtener más información sobre la asignación automática y manual de tickets, Asigna tickets según los casos de postura.
La persona asignada del ticket trabaja con los hallazgos para corregirlos.
El asignado del caso trabaja con casos en Security Command Center Enterprise y no clasificar o mitigar los hallazgos.
Por ejemplo, la persona asignada de un caso puede ser un administrador de amenazas o algún otro especialista en seguridad que colabora con un ingeniero (persona asignada) y verifica que todas las alertas de un caso. El destinatario del caso nunca trabaja con los sistemas de tickets.
¿Qué sigue?
Para obtener más información sobre los casos, consulta los siguientes recursos en el Documentación de Google SecOps:
- Pestaña Descripción general de casos
- ¿Qué hay en la página Casos?
- Cómo realizar una acción manual en un caso
- Cómo simular casos
- Trabaja con bloques de guías