Ringkasan kasus

Dokumen ini membahas konsep kasus di Security Command Center tingkat Enterprise dan menjelaskan cara menanganinya.

Fungsi kasus, pemberitahuan, playbook, tugas, dan konektor didukung oleh Chronicle Security Operations.

Ringkasan

Di Security Command Center, gunakan kemampuan kasus untuk mendapatkan detail tentang temuan, melampirkan playbook ke pemberitahuan, menerapkan respons ancaman otomatis, dan menentukan temuan postur yang harus diperbaiki. Kasus membantu Anda menyelidiki temuan, merespons ancaman menggunakan playbook, serta memitigasi kerentanan dan kesalahan konfigurasi menggunakan sistem tiket.

Di Security Command Center, kasus adalah penampung tingkat tinggi untuk beberapa pemberitahuan dan informasi terkait yang diserap oleh konektor. Pemberitahuan dipicu oleh satu atau beberapa peristiwa keamanan, dan diperkaya menggunakan playbook untuk mengumpulkan informasi tambahan. Dengan menggunakan informasi yang dikumpulkan, konektor mencoba menentukan apakah notifikasi masuk baru dapat dikelompokkan ke dalam kasus terbuka yang sudah ada dengan pemberitahuan lain yang terkait dengan penyusupan yang sama.

Untuk mengetahui detail selengkapnya tentang kasus, lihat Ringkasan kasus dalam dokumentasi SecOps Chronicle.

Alur temuan

Di Security Command Center Enterprise, ada dua alur untuk temuan:

  1. Temuan ancaman Security Command Center melalui modul informasi keamanan dan pengelolaan peristiwa (SIEM). Setelah memicu aturan SIEM internal, temuan berubah menjadi pemberitahuan.

    Konektor mengumpulkan pemberitahuan dan memasukkannya ke dalam modul orkestrasi keamanan, otomatisasi, dan respons (SOAR) tempat playbook memproses dan memperkaya pemberitahuan yang dikelompokkan ke dalam kasus.

  2. Temuan postur Security Command Center yang berisi kerentanan dan kesalahan konfigurasi akan langsung masuk ke SOAR. Setelah SCC Enterprise - Urgent Posture Findings Connector menyerap dan mengelompokkan temuan postur sebagai peringatan ke dalam kasus, playbook akan memproses dan memperkaya pemberitahuan.

Di Security Command Center Enterprise, temuan Security Command Center akan menjadi pemberitahuan kasus.

Menyelidiki kasus

Selama penyerapan, temuan dikelompokkan ke dalam kasus agar spesialis keamanan mengetahui apa yang harus ditriase.

Beberapa temuan dengan parameter yang sama dikelompokkan ke dalam satu kasus. Untuk mempelajari lebih lanjut, lihat Temuan grup dalam kasus. Jika Anda menggunakan sistem tiket, seperti Jira atau ServiceNow, tiket akan dibuat berdasarkan kasus. Artinya, ada satu tiket untuk semua temuan dalam satu kasus.

Menemukan tingkat keparahan versus prioritas kasus

Secara default, semua temuan yang ada dalam sebuah kasus memiliki properti severity yang sama. Anda dapat mengonfigurasi setelan pengelompokan untuk menyertakan temuan dengan tingkat keparahan yang berbeda ke dalam satu kasus.

Prioritas kasus didasarkan pada tingkat keparahan temuan maksimum. Untuk mengetahui detail selengkapnya, lihat contoh berikut:

  • Kasus 1: Prioritas: CRITICAL

    • Temuan 1: Tingkat keparahan: HIGH
    • Temuan 2: Tingkat keparahan: HIGH
    • Temuan 3: Tingkat keparahan: CRITICAL
  • Kasus 2: Prioritas: HIGH

    • Temuan 1: Tingkat keparahan: HIGH
    • Temuan 2: Tingkat keparahan: HIGH
    • Temuan 3: Tingkat keparahan: HIGH

Meninjau kasus

Untuk meninjau kasus, lakukan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Cases.
  2. Pilih kasus untuk ditinjau. Case View akan terbuka dan Anda dapat menemukan ringkasan temuan beserta semua informasi tentang pemberitahuan atau kumpulan pemberitahuan yang dikelompokkan ke dalam kasus yang dipilih.
  3. Periksa tab Case Wall untuk mengetahui detail tentang aktivitas yang dilakukan pada kasus dan pemberitahuan yang disertakan.
  4. Buka tab Peringatan untuk mendapatkan ringkasan temuan.

    Tab Alert berisi informasi berikut:

    • Daftar peristiwa pemberitahuan.
    • Playbook dilampirkan ke pemberitahuan.
    • Ringkasan temuan.
    • Informasi tentang aset yang terpengaruh.
    • Opsional: detail tiket.

Mengintegrasikan dengan sistem tiket

Kasus yang berisi temuan kerentanan dan kesalahan konfigurasi memiliki tiket terkait hanya ketika Anda mengintegrasikan dan mengonfigurasi sistem tiket. Jika Anda mengintegrasikan sistem tiket, Security Command Center Enterprise akan membuat tiket berdasarkan kasus postur dan meneruskan semua informasi yang dikumpulkan oleh playbook ke sistem tiket menggunakan tugas sinkronisasi.

Secara default, kasus yang berisi temuan ancaman tidak memiliki tiket terkait, bahkan saat Anda mengintegrasikan sistem tiket dengan instance Security Command Center Enterprise. Agar dapat menggunakan tiket untuk kasus ancaman Anda, sesuaikan playbook yang tersedia dengan menambahkan tindakan atau membuat playbook baru.

Penerima tugas kasus versus penerima tiket

Setiap temuan memiliki satu pemilik resource pada waktu tertentu. Pemilik resource ditentukan menggunakan tag Google Cloud, Kontak Penting, atau nilai parameter Pemilik Penggantian yang dikonfigurasi di SCC Enterprise - Urgent Posture Findings Connector.

Jika Anda mengintegrasikan sistem tiket, pemilik fasilitas adalah pihak yang memindahkan tiket secara default. Untuk mempelajari penetapan tiket otomatis dan manual lebih lanjut, lihat Menetapkan tiket berdasarkan kasus postur.

Penerima tiket bekerja dengan temuan untuk memperbaiki masalah tersebut.

Penerima tugas kasus dapat menangani kasus di Security Command Center Enterprise dan tidak melakukan triase atau memitigasi temuan.

Misalnya, penerima tugas kasus dapat berupa Threat Manager atau Spesialis Keamanan lainnya yang bekerja sama dengan engineer (penerima tiket) dan memverifikasi bahwa semua pemberitahuan dalam sebuah kasus telah ditangani. Penerima tugas tidak pernah bekerja dengan sistem tiket antrian.

Apa langkah selanjutnya?

Untuk mempelajari kasus lebih lanjut, lihat referensi berikut dalam dokumentasi SecOps Chronicle: