Panoramica delle richieste

Questo documento illustra i concetti delle richieste nel livello Enterprise di Security Command Center e spiega come utilizzarli.

Le funzionalità relative a richieste, avvisi, playbook, job e connettori si basano su Google Security Operations.

Panoramica

In Security Command Center, utilizza casi d'uso per ottenere dettagli sui risultati, allegare playbook alla ricerca di avvisi, applicare risposte automatiche alle minacce e monitorare la correzione dei problemi di sicurezza.

Un risultato è un record di un problema di sicurezza generato da uno dei servizi di rilevamento di Security Command Center. In un caso, i risultati e altri problemi di sicurezza vengono presentati come avvisi, arricchiti utilizzando un playbook che raccoglie informazioni aggiuntive. Se possibile, Security Command Center aggiunge nuovi avvisi alle richieste esistenti, raggruppandoli con altri avvisi correlati.

Per ulteriori dettagli sulle richieste, consulta Panoramica della richiesta nella documentazione di Google SecOps.

Flusso dei risultati

In Security Command Center Enterprise, esistono due flussi per i risultati:

1. I risultati delle minacce di Security Command Center analizzano il modulo SIEM (Security Information and Event Management). Dopo aver attivato le regole SIEM interne, i risultati diventano avvisi.

   Il connettore raccoglie gli avvisi e li importa nel modulo SOAR (Security Orchestration Automation and Response), dove i playbook elaborano e arricchiscono gli avvisi raggruppati in casi.

2. I risultati della postura di Security Command Center, composti da risultati relativi a vulnerabilità del software, configurazioni errate e combinazioni dannose, vanno direttamente al modulo SOAR. Una volta che il connettore SCC Enterprise - Urgent Posture Findings importa e raggruppa i risultati delle posture come avvisi nei casi, i playbook elaborano e arricchiscono gli avvisi.

In Security Command Center Enterprise, il risultato di Security Command Center diventa un avviso caso.

Esamina i casi

Durante l'importazione, i risultati vengono raggruppati in richieste per consentire agli esperti della sicurezza di sapere cosa valutare.

Più risultati con gli stessi parametri vengono raggruppati in un unico caso. Per scoprire di più sul meccanismo di raggruppamento dei risultati, consulta Raggruppare i risultati in casi. Se utilizzi un sistema di gestione dei ticket come Jira o ServiceNow, viene creato un ticket basato su una richiesta, il che significa che è disponibile un solo ticket per tutte le informazioni trovate in una richiesta.

Stato dei risultati

Un risultato può avere uno dei seguenti stati:

• Attivo: il risultato è attivo.

• Audio disattivato: il risultato è attivo e l'audio disattivato. Se tutti i risultati di una richiesta vengono disattivati, la richiesta viene chiusa. Per scoprire di più sulla disattivazione dei risultati in casi specifici, consulta Disattivare i risultati nei casi.

• Chiuso: il risultato non è attivo.

Lo stato del risultato viene visualizzato nel widget Stato del risultato della scheda Panoramica della richiesta e nel widget Riepilogo della ricerca di un avviso.

Se esegui l'integrazione con i sistemi di gestione delle richieste di assistenza, abilita i job di sincronizzazione per mantenere aggiornate automaticamente le informazioni sui risultati e sui relativi stati e sincronizzare i dati delle richieste con i ticket pertinenti. Per scoprire di più sulla sincronizzazione dei dati della richiesta, vedi Abilitare la sincronizzazione dei dati della richiesta.

Determinazione della gravità rispetto alla priorità delle richieste

Per impostazione predefinita, tutti i risultati contenuti in una richiesta possiedono la stessa severity proprietà. Puoi configurare le impostazioni di raggruppamento in modo da includere in un caso i risultati con gravità diverse.

La priorità della richiesta si basa sulla massima gravità del risultato. Quando la gravità dei risultati cambia, Security Command Center aggiorna automaticamente la priorità della richiesta in modo che corrisponda alla proprietà con gravità più alta tra tutti i risultati di una richiesta. La disattivazione dei risultati non ha alcun impatto sulla priorità della richiesta: se un risultato disattivato presenta la gravità più alta, definisce la priorità della richiesta.

Nell'esempio seguente, la priorità della richiesta 1 è Critica perché la gravità del risultato 3 (sebbene disattivato) è impostata su Critica:

• Caso 1: priorità: CRITICAL
  • Risultati 1, attivo. Gravità: HIGH
  • Risultati 2, attivo. Gravità: HIGH
  • Risultati 3 disattivati. Gravità: CRITICAL

Nel prossimo esempio, la priorità della richiesta 2 è Alta perché la gravità più alta per tutti i risultati è Alta:

• Caso 2: priorità: HIGH
  • Risultati 1, attivo. Gravità: HIGH
  • Risultati 2, attivo. Gravità: HIGH
  • Risultati 3 disattivati. Gravità: HIGH

Esamina le richieste

Per esaminare una richiesta, svolgi i seguenti passaggi:

1. In Security Operations Console, vai a Richieste.
2. Seleziona una richiesta da esaminare. Si apre la Visualizzazione richieste, in cui puoi trovare un riepilogo contenente tutte le informazioni su un avviso o la raccolta di avvisi raggruppati in una richiesta selezionata.
3. Controlla la scheda Case Wall per i dettagli sull'attività eseguita sulla richiesta e gli avvisi inclusi.

4. Vai alla scheda Avviso per avere una panoramica di un risultato.

   La scheda Avviso contiene le seguenti informazioni:

   • Elenco di eventi di avviso.
   • Playbook allegati all'avviso.
   • Una panoramica dei risultati.
   • Informazioni sull'asset interessato.
   • Facoltativo: dettagli del biglietto.

Integrazione con i sistemi di gestione delle richieste di assistenza

Per impostazione predefinita, nessun sistema di gestione dei ticket è integrato in Security Command Center Enterprise.

I casi che contengono risultati relativi a vulnerabilità ed errori di configurazione hanno ticket correlati solo quando integri e configuri il sistema di gestione dei ticket. Se integri un sistema di gestione dei ticket, Security Command Center Enterprise crea ticket basati sulle richieste di postura e inoltra tutte le informazioni raccolte dai playbook al sistema di gestione dei ticket utilizzando il job di sincronizzazione.

Per impostazione predefinita, le richieste contenenti risultati relativi alle minacce non hanno ticket correlati anche se integri il sistema di gestione dei ticket con l'istanza Security Command Center Enterprise. Per utilizzare i ticket per i casi di minaccia, personalizza i playbook disponibili aggiungendo un'azione o crea nuovi playbook.

Assegnatario della richiesta e assegnatario del ticket

Ogni risultato ha un singolo proprietario di risorsa in un dato momento. Il proprietario della risorsa viene definito utilizzando i tag Google Cloud, i contatti necessari o il valore parametro Proprietario di riserva configurato nel connettore SCC Enterprise - Urgent Posture Findings.

Se integri un sistema di gestione dei ticket, per impostazione predefinita il proprietario della risorsa è l'assegnatario del ticket. Per scoprire di più sull'assegnazione automatica e manuale di ticket, consulta Assegnare ticket in base alle richieste di postura.

L'assegnatario del ticket prende in esame i risultati per porvi rimedio.

L'assegnatario della richiesta lavora con le richieste in Security Command Center Enterprise e non valuta o mitiga i risultati.

Ad esempio, l'assegnatario di una richiesta può essere un responsabile delle minacce o un altro esperto di sicurezza che collabora con un ingegnere (assegnatario del ticket) e verifica che tutti gli avvisi di una richiesta vengano gestiti. L'assegnatario della richiesta non funziona mai con i sistemi di gestione delle richieste di assistenza.

Passaggi successivi

Per saperne di più sui casi, consulta le seguenti risorse nella documentazione di Google SecOps:

• Scheda Panoramica delle richieste
• Cosa contiene la pagina Richieste di assistenza?
• Come eseguire un'azione manuale su una richiesta
• Come simulare casi
• Utilizzare i blocchi dei playbook