ケースの概要

このドキュメントでは、Security Command Center の Enterprise ティアにおけるケースのコンセプトを対象として、それを扱う方法について説明します。

ケース、アラート、ハンドブック、ジョブ、コネクタの機能は、Google Security Operations を利用しています。

概要

Security Command Center では、ケース機能を使用して、検出結果の詳細の取得、アラートへのハンドブックのアタッチ、自動脅威対応の適用、修復すべき体制の検出結果の定義を行います。ケースは、検出結果の調査、ハンドブックを使用した脅威への対応、チケット発行システムを使用した脆弱性と構成ミスの軽減に役立ちます。

Security Command Center では、ケースは複数のアラートと関連情報がコネクタによって取り込まれる高レベルのコンテナです。アラートは 1 つ以上のセキュリティイベントによってトリガーされ、ハンドブックを使用して追加情報を収集します。コネクタは、収集された情報を使用して、新しい受信アラートを同じ侵入に関連する他のアラートがあるオープンな既存のケースにグループ化できるかどうかを判断しようとします。

ケースの詳細については、Google SecOps ドキュメントのケースの概要をご覧ください。

検出結果のフロー

Security Command Center Enterprise には、検出結果のフローが 2 つあります。

Security Command Center の脅威の検出は、セキュリティ情報およびイベント管理（SIEM）モジュールを通過します。内部 SIEM ルールをトリガーすると、検出結果はアラートに変わります。

コネクタはアラートを収集し、セキュリティオーケストレーション、自動化、レスポンス（SOAR）モジュールに取り込み、ハンドブックが、ケースにグループ化されたアラートを処理して拡充します。
脆弱性と構成ミスで構成される Security Command Center の体制の検出結果は、直接 SOAR に送信されます。SCC Enterprise - 緊急の Posture Findings Connector が体制の検出結果をアラートとして取り込み、ケースにグループ化した後、ハンドブックはアラートを処理し、拡充します。

Security Command Center Enterprise では、Security Command Center の検出結果はケースアラートになります。

ケースの調査

取り込み中に、検出結果がケースにグループ化され、セキュリティスペシャリストが優先順位を付けることができます。

同じパラメータを持つ複数の検出結果は、1 つのケースにグループ化されます。詳しくは、ケース内の検出結果のグループ化をご覧ください。Jira や ServiceNow などのチケットシステムを使用している場合は、ケースに基づいてチケットが作成されます。つまり、ケース内のすべての検出結果に対して 1 つのチケットが作成されます。

検出結果の重大度とケースの優先度

デフォルトでは、ケースに含まれるすべての検出結果に同じ severity プロパティが所有されます。重大度が異なる検出結果を 1 つのケースに含めるようにグループ化設定を構成できます。

ケースの優先度は、検出結果の最大の重大度に基づきます。詳しくは、次の例をご覧ください。

ケース　1:　優先度: CRITICAL
- 検出結果 1: 重大度: HIGH
- 検出結果 2: 重大度: HIGH
- 検出結果 3: 重大度: CRITICAL
ケース　2:　優先度: HIGH
- 検出結果 1: 重大度: HIGH
- 検出結果 2: 重大度: HIGH
- 検出結果 3: 重大度: HIGH

ケースを確認する

ケースを確認するには、次の手順を行います。

セキュリティオペレーションコンソールで、[ケース] に移動します。
確認するケースを選択します。[ケースビュー] が開きます。ここには、検出結果の概要と、アラートに関するすべての情報、または選択したケースにグループ化されたアラートのコレクションが表示されます。
[Casewa] タブで、ケースで実行されたアクティビティと含まれているアラートの詳細を確認します。
[アラート] タブに移動して、検出結果の概要を確認します。

[アラート] タブには次の情報が含まれています。
- アラートイベントのリスト。
- アラートに添付されたハンドブック。
- 検出結果の概要。
- 影響を受けるアセットに関する情報。
- 省略可: チケットの詳細。

チケット発行システムとの統合

脆弱性と構成ミスの検出結果を含むケースには、チケットシステムを統合して構成した場合にのみ、関連するチケットが含まれます。チケット発行システムを統合する場合、Security Command Center Enterprise は体制ケースに基づいてチケットを作成し、同期を使用して、ハンドブックによって収集されたすべての情報をチケット発行システムに転送します。。

デフォルトでは、チケット発行システムを Security Command Center Enterprise インスタンスと統合している場合でも、脅威の検出を含むケースには関連するチケットがありません。脅威ケースにチケットを使用するには、アクションを追加して、利用可能なハンドブックをカスタマイズするか、新しいハンドブックを作成します。

ケースの割り当て先とチケットの割り当て先

すべての検出結果には、常に 1 人のリソースオーナーが存在します。リソースオーナーは、Google Cloud タグ、エッセンシャルコンタクト、または SCC Enterprise - 緊急 Posture Findings Connector で構成された Fallback Owner パラメータ値を使用して定義されます。

チケット発行システムを統合する場合、デフォルトではリソースオーナーがチケットの割り当て先になります。チケットの自動割り当てと手動割り当ての詳細については、体制ケースに基づいてチケットを割り当てるをご覧ください。

チケットの割り当て先は、検出結果と連携してチケットを修正します。

ケースの割り当て先は、Security Command Center Enterprise のケースで作業し、検出結果の優先順位付けや軽減は行いません。

たとえば、ケースの割り当て先は、エンジニア（チケットの割り当て先）と協力して、ケース内のすべてのアラートが対処されたことを確認する Threat Manager やその他のセキュリティスペシャリストにすることが可能です。ケースの割り当て先は、チケット発行システムを操作することはありません。

次のステップ

ケースの詳細については、Google SecOps ドキュメントの次のリソースをご覧ください。