Visão geral dos casos

Neste documento, abordamos os conceitos de casos no nível Enterprise do Security Command Center e como trabalhar com eles.

As funcionalidades de casos, alertas, playbooks, jobs e conectores são fornecidas pelas operações de segurança do Google.

Visão geral

No Security Command Center, os casos de uso para conseguir detalhes sobre descobertas, anexar playbooks para encontrar alertas, aplicar respostas automáticas a ameaças e rastrear a correção de problemas de segurança.

Uma descoberta é um registro de um problema de segurança gerado por um dos serviços de detecção do Security Command Center. Em um caso, descobertas e outros problemas de segurança são apresentados como alertas, que são enriquecidos com um playbook que coleta informações adicionais. Sempre que possível, o Security Command Center adiciona novos alertas aos casos atuais, em que eles são agrupados com outros alertas relacionados.

Para mais detalhes sobre casos, consulte Visão geral de casos na documentação do Google SecOps.

Fluxo de descobertas

No Security Command Center Enterprise, há dois fluxos de descobertas:

1. As descobertas de ameaças do Security Command Center passam pelo módulo de gerenciamento de eventos e informações de segurança (SIEM). Depois de acionar as regras internas do SIEM, as descobertas se transformam em alertas.

   O conector coleta os alertas e os ingere no módulo de orquestração, automação e resposta de segurança (SOAR, na sigla em inglês) em que os playbooks processam e enriquecem os alertas agrupados em casos.

2. As descobertas de postura do Security Command Center, que consistem em descobertas de vulnerabilidades de software, configurações incorretas e combinações tóxicas, vão diretamente para o módulo SOAR. Depois que o SCC Enterprise – Conector de descobertas de posturas urgentes ingere e agrupa descobertas de postura como alertas nos casos, os playbooks processam e enriquecem os alertas.

No Security Command Center Enterprise, a descoberta do Security Command Center se torna um alerta de caso.

Investigar casos

Durante a ingestão, as descobertas são agrupadas em casos para permitir que os especialistas em segurança saibam o que fazer a triagem.

Várias descobertas com os mesmos parâmetros são agrupadas em um caso. Para saber mais sobre o mecanismo de agrupamento de descobertas, consulte Agrupar descobertas nos casos. Se você estiver usando um sistema de tíquetes, como Jira ou ServiceNow, um tíquete será criado com base em um caso, o que significa que há um tíquete para todas as descobertas em um caso.

Status da descoberta

Uma descoberta pode ter qualquer um dos seguintes status:

• Ativa: a descoberta está ativa.

• Silenciada: a descoberta está ativa e silenciada. Se todas as descobertas em um caso forem silenciadas, ele será encerrado. Para saber mais sobre como silenciar descobertas em casos, consulte Silenciar descobertas em casos.

• Fechada: a descoberta está inativa.

O status da descoberta é exibido no widget Estado da descoberta da guia Visão geral do caso e no widget Resumo da descoberta de um alerta.

Se você se integrar a sistemas de tíquetes, ative os jobs de sincronização para manter as informações sobre as descobertas e os status atualizadas automaticamente e sincronizar os dados do caso com os tíquetes relevantes. Para saber mais sobre a sincronização de dados do caso, consulte Ativar a sincronização de dados do caso.

Como encontrar a gravidade em relação à prioridade do caso

Por padrão, todas as descobertas contidas em um caso possuem a mesma propriedade severity. É possível definir as configurações de agrupamento para incluir descobertas com diferentes gravidades em um caso.

A prioridade do caso é baseada na maior gravidade de descoberta. Quando a gravidade da descoberta muda, o Security Command Center atualiza automaticamente a prioridade do caso para corresponder à propriedade de maior gravidade entre todas as descobertas em um caso. Desativar as descobertas não afeta a prioridade do caso. Se uma descoberta silenciada tiver a gravidade mais alta, ela definirá a prioridade do caso.

No exemplo a seguir, a prioridade do caso 1 é Crítica, porque a gravidade da Descoberta 3 (embora silenciada) está definida como Crítica:

• Caso 1: prioridade: CRITICAL
  • Descoberta 1, ativa. Gravidade: HIGH
  • Descoberta 2, ativa. Gravidade: HIGH
  • Descoberta 3, som desativado. Gravidade: CRITICAL

No próximo exemplo, a prioridade do caso 2 é "Alta", porque a maior gravidade para todas as descobertas é "Alta":

• Caso 2: prioridade: HIGH
  • Descoberta 1, ativa. Gravidade: HIGH
  • Descoberta 2, ativa. Gravidade: HIGH
  • Descoberta 3, som desativado. Gravidade: HIGH

Analisar casos

Para analisar um caso, siga estas etapas:

1. No console de Operações de Segurança, acesse Casos.
2. Selecione um caso para análise. A Visualização do caso é aberta. Nela, você encontra um resumo da descoberta e todas as informações sobre um alerta ou a coleção de alertas agrupados em um caso selecionado.
3. Verifique a guia Painel de casos para mais detalhes sobre a atividade realizada no caso e os alertas incluídos.

4. Acesse a guia Alerta para ter uma visão geral de uma descoberta.

   A guia Alert contém as seguintes informações:

   • Lista de eventos de alerta.
   • Playbooks anexados ao alerta.
   • Uma visão geral das descobertas.
   • Informações sobre o recurso afetado.
   • Opcional: detalhes do ingresso.

Integração com sistemas de tíquetes

Por padrão, nenhum sistema de tíquetes está integrado ao Security Command Center Enterprise.

Os casos com descobertas de vulnerabilidade e configuração incorreta têm tíquetes relacionados somente quando você integra e configura o sistema de tíquetes. Se você integrar um sistema de tíquetes, o Security Command Center Enterprise criará tíquetes com base nos casos de postura e encaminhará todas as informações coletadas pelos playbooks para o sistema de tíquetes usando o job de sincronização.

Por padrão, os casos que contêm descobertas de ameaças não têm tíquetes relacionados, mesmo quando você integra o sistema de tíquetes à instância do Security Command Center Enterprise. Para usar tíquetes nos casos de ameaças, personalize os playbooks disponíveis adicionando uma ação ou crie novos playbooks.

Usuário atribuído do caso x responsável pelo tíquete

Cada descoberta tem um único proprietário de recurso a qualquer momento. O proprietário do recurso é definido usando tags do Google Cloud, contatos essenciais ou o valor de parâmetro proprietário de fallback configurado no conector SCC Enterprise - Urgente de descobertas de postura.

Se você integrar um sistema de tíquetes, o proprietário do recurso será o cessionário do tíquete por padrão. Para saber mais sobre a atribuição automática e manual de tíquetes, consulte Atribuir tíquetes com base nos casos de postura.

O responsável pelo tíquete analisa as descobertas para corrigir o problema.

O responsável pelo caso trabalha com casos no Security Command Center Enterprise e não faz a triagem ou reduz as descobertas.

Por exemplo, o responsável pelo caso pode ser um gerente de ameaças ou outro especialista em segurança que colabora com um engenheiro (responsável pelo tíquete) e verifica se todos os alertas de um caso foram atendidos. O responsável do caso nunca trabalha com sistemas de tíquetes.

A seguir

Para saber mais sobre casos, consulte os seguintes recursos na documentação do Google SecOps:

• Guia "Visão geral dos casos"
• O que tem na página "Casos"?
• Como realizar uma ação manual em um caso
• Como simular casos
• Trabalhar com blocos de playbooks