Présentation des cas

Ce document présente les concepts liés aux demandes au niveau Enterprise de Security Command Center et explique comment les traiter.

Les fonctionnalités de cas, d'alertes, de playbooks, de tâches et de connecteurs sont fournies par Google Security Operations.

Présentation

Dans Security Command Center, utilisez la fonctionnalité "case" pour obtenir des détails sur les résultats, joindre des playbooks aux alertes, appliquer des réponses automatiques aux menaces et définir les résultats de stratégie à corriger. Les demandes vous aident à examiner les résultats, à répondre aux menaces à l'aide de guides, et à atténuer les failles et les erreurs de configuration à l'aide de systèmes de demande d'assistance.

Dans Security Command Center, une demande est un conteneur de haut niveau contenant plusieurs alertes et les informations associées ingérées par le connecteur. L'alerte est déclenchée par un ou plusieurs événements de sécurité et enrichie à l'aide d'un playbook permettant de collecter des informations supplémentaires. À l'aide des informations collectées, le connecteur tente de déterminer si une nouvelle alerte entrante peut être regroupée dans un dossier existant ouvert avec d'autres alertes liées à la même intrusion.

Pour en savoir plus sur les demandes, consultez la section Présentation des demandes dans la documentation Google SecOps.

Flux des résultats

Dans Security Command Center Enterprise, il existe deux flux pour les résultats:

1. Les résultats des menaces de Security Command Center passent par le module de gestion des informations et des événements de sécurité (SIEM). Après avoir déclenché les règles SIEM internes, les résultats se transforment en alertes.

   Le connecteur collecte les alertes et les ingère dans le module d'orchestration de la sécurité, d'automatisation et de réponse (SOAR), où les playbooks traitent et enrichissent les alertes regroupées par cas.

2. Les résultats de stratégie de Security Command Center qui comprennent des failles et des erreurs de configuration sont directement transmis au SOAR. Une fois que le connecteur SCC Enterprise - Urgent Posture Findings a ingéré et regroupé les résultats de stratégie sous forme d'alertes dans les cas, les playbooks traitent et enrichissent les alertes.

Dans Security Command Center Enterprise, le résultat de Security Command Center devient une alerte de cas.

Enquêter sur les cas

Lors de l'ingestion, les résultats sont regroupés par cas pour que les spécialistes de la sécurité sachent quoi trier.

Les résultats multiples utilisant les mêmes paramètres sont regroupés dans un seul cas. Pour en savoir plus, consultez Regrouper les résultats dans les cas. Si vous utilisez un système de billetterie, tel que Jira ou ServiceNow, une demande est créée sur la base d'une demande, ce qui signifie qu'il n'existe qu'un seul ticket pour tous les résultats d'une demande.

Niveau de gravité des résultats par rapport à la priorité des demandes

Par défaut, tous les résultats contenus dans une demande possèdent la même propriété severity. Vous pouvez configurer les paramètres de regroupement pour inclure les résultats de différents niveaux de gravité dans un seul cas.

La priorité de la demande est basée sur le niveau de gravité maximal du résultat. Pour en savoir plus, consultez l'exemple suivant:

• Cas 1: priorité: CRITICAL

  • Résultat 1: Gravité: HIGH
  • Résultat 2 – Gravité : HIGH
  • Résultat 3: Gravité: CRITICAL

• Cas 2: priorité: HIGH

  • Résultat 1: Gravité: HIGH
  • Résultat 2 – Gravité : HIGH
  • Résultat 3: Gravité: HIGH

Examen des demandes

Pour examiner une demande, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Demandes.
2. Sélectionnez une demande à examiner. La vue de la demande s'ouvre. Vous y trouverez un résumé des résultats ainsi que toutes les informations sur une alerte ou la collection d'alertes regroupées dans un cas sélectionné.
3. Consultez l'onglet Case Wall (Mur des cas) pour en savoir plus sur l'activité effectuée sur la demande et les alertes incluses.

4. Accédez à l'onglet Alerte pour obtenir un aperçu d'un résultat.

   L'onglet Alert contient les informations suivantes:

   • Liste des événements d'alerte.
   • Playbooks associés à l'alerte.
   • Présentation des résultats
   • Informations sur l'élément concerné.
   • Facultatif: détails du billet.

Intégration aux systèmes de billetterie

Les cas contenant des résultats de failles et d'erreurs de configuration ne disposent de tickets associés que lorsque vous intégrez et configurez le système de billetterie. Si vous intégrez un système de billetterie, Security Command Center Enterprise crée des demandes d'assistance en fonction des cas de stratégie et transmet toutes les informations collectées par les playbooks au système de suivi à l'aide du job de synchronisation.

Par défaut, les demandes contenant des résultats de menaces ne sont associées à aucun ticket, même lorsque vous intégrez le système de billetterie à votre instance Security Command Center Enterprise. Pour utiliser des tickets pour vos cas de menace, personnalisez les playbooks disponibles en ajoutant une action ou en créant de nouveaux playbooks.

Personne responsable de la demande et responsable de la demande d'assistance

Chaque résultat est associé à un seul propriétaire de ressource à la fois. Le propriétaire de la ressource est défini à l'aide des tags Google Cloud, des contacts essentiels ou de la valeur du paramètre Propriétaire de remplacement configurée dans le connecteur SCC Enterprise - Urgent Posture Findings.

Si vous intégrez un système de billetterie, le propriétaire de la ressource est le destinataire de la demande par défaut. Pour en savoir plus sur l'attribution automatique et manuelle des demandes d'assistance, consultez Attribuer des demandes d'assistance en fonction des cas de stratégie.

La personne responsable du ticket utilise les résultats pour y remédier.

La personne responsable de la demande travaille avec les demandes dans Security Command Center Enterprise, et n'effectue pas de tri ni d'atténuation des résultats.

Par exemple, la personne responsable d'une demande peut être un gestionnaire des menaces ou un autre spécialiste de la sécurité qui collabore avec un ingénieur (qui est responsable des demandes d'assistance) et vérifie que toutes les alertes d'une demande sont traitées. La personne responsable de la demande ne travaille jamais avec des systèmes de suivi des demandes.

Étape suivante

Pour en savoir plus sur les demandes, consultez les ressources suivantes dans la documentation Google SecOps:

• Onglet "Cases" (Présentation des demandes)
• Contenu de la page "Demandes"
• Effectuer une action manuelle sur une demande
• Simuler des cas
• Utiliser les blocs de playbooks