Visão geral dos casos

Neste documento, abordamos os conceitos de casos no nível Enterprise do Security Command Center e explicamos como trabalhar com eles.

As funções de casos, alertas, manuais, jobs e conectores são desenvolvidas pelas operações de segurança do Google.

Visão geral

No Security Command Center, use o recurso de caso para receber detalhes sobre descobertas, anexar manuais a alertas, aplicar respostas automáticas a ameaças e definir quais descobertas de postura devem ser corrigidas. Os casos ajudam a investigar descobertas, responder a ameaças usando manuais e reduzir vulnerabilidades e configurações incorretas usando sistemas de criação de tíquetes.

No Security Command Center, um caso é um contêiner de alto nível para vários alertas e as informações relacionadas ingeridas pelo conector. O alerta é acionado por um ou mais eventos de segurança e enriquecido com um manual para coletar mais informações. Usando as informações coletadas, o conector tenta determinar se um novo alerta recebido pode ser agrupado em um caso atual aberto com outros alertas relacionados à mesma intrusão.

Para saber mais sobre casos, consulte Visão geral do caso na documentação do Google SecOps.

Fluxo de descobertas

No Security Command Center Enterprise, há dois fluxos de descobertas:

1. As descobertas de ameaças do Security Command Center examinam o módulo de informações de segurança e gerenciamento de eventos (SIEM). Depois de acionar as regras internas de SIEM, as descobertas se transformam em alertas.

   O conector coleta os alertas e os ingere no módulo de orquestração, automação e resposta de segurança (SOAR, na sigla em inglês), em que os manuais processam e enriquecem os alertas agrupados em casos.

2. As descobertas de postura do Security Command Center que consistem em vulnerabilidades e configurações incorretas vão diretamente para o SOAR. Depois que o SCC Enterprise - Conector de descobertas de postura Urgente ingere e agrupa descobertas de postura como alertas em casos, os playbooks processam e enriquecem os alertas.

No Security Command Center Enterprise, a descoberta do Security Command Center torna-se um alerta de caso.

Investigar casos

Durante a ingestão, as descobertas são agrupadas em casos para que os especialistas em segurança saibam o que fazer a triagem.

Várias descobertas com os mesmos parâmetros são agrupadas em um caso. Para saber mais, consulte Descobertas em grupo nos casos. Se você estiver usando um sistema de tíquetes, como o Jira ou o ServiceNow, um tíquete será criado com base em um caso, o que significa que há um tíquete para todas as descobertas em um caso.

Gravidade da descoberta versus prioridade do caso

Por padrão, todas as descobertas contidas em um caso têm a mesma propriedade severity. É possível definir as configurações de agrupamento para incluir descobertas com diferentes gravidades em um caso.

A prioridade do caso é baseada na gravidade máxima da descoberta. Para mais detalhes, confira o exemplo a seguir:

• Caso 1: prioridade: CRITICAL

  • Descoberta 1: gravidade: HIGH
  • Descoberta 2: gravidade: HIGH
  • Descoberta 3: gravidade: CRITICAL

• Caso 2: prioridade: HIGH

  • Descoberta 1: gravidade: HIGH
  • Descoberta 2: gravidade: HIGH
  • Descoberta 3: gravidade: HIGH

Como analisar casos

Para analisar um caso, siga estas etapas:

1. No console de Operações de Segurança, acesse Casos.
2. Selecione um caso para analisar. A Visualização de casos é aberta, na qual é possível encontrar um resumo da descoberta com todas as informações sobre um alerta ou o conjunto de alertas agrupados em um caso selecionado.
3. Consulte a guia Mural de casos para ver detalhes sobre a atividade realizada no caso e os alertas incluídos.

4. Acesse a guia Alerta para ter uma visão geral de uma descoberta.

   A guia Alert contém as seguintes informações:

   • Lista de eventos de alerta.
   • Manuais anexados ao alerta.
   • Uma visão geral da descoberta.
   • Informações sobre o recurso afetado.
   • Opcional: detalhes do ingresso.

Integração com sistemas de tíquetes

Casos que contenham descobertas de vulnerabilidade e configuração incorreta terão tíquetes relacionados somente quando você integrar e configurar o sistema de tíquetes. Se você integrar um sistema de tíquetes, o Security Command Center Enterprise criará tíquetes com base nos casos de postura e encaminhará todas as informações coletadas pelos playbooks ao sistema de tíquetes usando o job de sincronização.

Por padrão, os casos que contêm descobertas de ameaças não têm tíquetes relacionados, mesmo quando você integra o sistema de tíquetes à instância do Security Command Center Enterprise. Para usar tíquetes em casos de ameaças, personalize os manuais disponíveis adicionando uma ação ou crie novos.

Responsável pelo caso vs. cessionário do tíquete

Toda descoberta tem um único proprietário de recurso a qualquer momento. O proprietário do recurso é definido usando tags do Google Cloud, contatos essenciais ou o valor de parâmetro Proprietário do fallback configurado no SCC Enterprise – Conector de descobertas de postura urgente.

Se você integrar um sistema de tíquetes, por padrão, o proprietário do recurso será o cessionário do tíquete. Para saber mais sobre a atribuição de tíquetes automática e manual, consulte Atribuir tíquetes com base nos casos de postura.

O responsável do tíquete trabalha com as descobertas para corrigi-las.

O responsável pelo caso trabalha com casos no Security Command Center Enterprise e não faz a triagem ou mitigação das descobertas.

Por exemplo, um responsável pelo caso pode ser um gerente de ameaças ou outro especialista em segurança que colabora com um engenheiro (destinatário do tíquete) e verifica se todos os alertas em um caso foram abordados. O responsável pelo caso nunca trabalha com sistemas de tíquetes.

A seguir

Para saber mais sobre casos, consulte os seguintes recursos na documentação do Google SecOps:

• Guia "Visão geral dos casos"
• O que há na página "Casos"?
• Como realizar uma ação manual em um caso
• Como simular casos
• Trabalhar com blocos de manuais