支持请求概览

本文档介绍 Security Command Center Enterprise 层级中的案例概念 并解释了如何使用它们。

案例、提醒、策略方案、作业和连接器功能 由 Google Security Operations 提供支持。

概览

在 Security Command Center 中,使用用例来获取发现结果详情, 将策略方案附加到查找警报,应用自动威胁响应, 并跟踪安全问题的补救情况。

发现结果是由以下人员之一生成的安全问题记录: Security Command Center 检测服务。在支持请求中,发现结果和 其他安全问题以提醒的形式呈现,并使用 收集更多信息的策略方案。只要有可能 Security Command Center 会在现有案例中添加新提醒, 与其他相关提醒一起显示

如需详细了解支持请求,请参阅支持请求概览 Google SecOps 文档。

发现结果流程

在 Security Command Center Enterprise 中,有两个发现结果流程:

  1. Security Command Center 会对发现结果进行安全信息和 事件管理 (SIEM) 模块。触发内部 SIEM 规则后 并将其转换为提醒。

    连接器收集提醒并将其提取到 编排、自动化和响应 (SOAR) 模块, 处理并丰富提醒,并按案例分组。

  2. Security Command Center 安全状况发现结果,包括 软件漏洞、错误配置和恶意组合, 可直接转到 SOAR 模块。实施 SCC 后 Enterprise - Urgent Posture Findings Connector 提取和群组安全状况 将发现结果以提醒转化为案例,策略方案会处理并丰富提醒。

在 Security Command Center Enterprise 中,Security Command Center 发现结果成为案例 提醒

调查案例

在注入期间,系统会将发现结果分组为案例,以便安全专家 您知道该对哪些内容进行分类了。

将具有相同参数的多个发现结果归入一个案例。 如需详细了解发现结果分组机制,请参阅 在支持请求中对发现结果进行分组。 如果您使用的是 Jira 或 ServiceNow 等票务系统, 根据支持请求创建的所有支持请求 来提取发现结果

发现结果状态

发现结果可以具有以下任一状态:

  • 有效:发现结果有效。

  • 已忽略:发现结果有效且已忽略。如果某个支持请求中的所有发现结果 则案例已关闭。如需详细了解如何在支持请求中忽略发现结果,请参阅 在支持请求中忽略发现结果

  • 已关闭:发现结果无效。

发现结果状态显示在案例的发现结果状态微件中 概览标签页和提醒的发现结果摘要 widget。

如果您与票务系统集成, 启用 同步作业,用于保留发现结果及其状态的相关信息 自动更新,并将案例数据与相关工单同步。接收者 如需详细了解支持请求数据同步,请参阅启用支持请求数据 同步

发现结果严重性与案例优先级

默认情况下,支持请求中包含的所有发现结果都具有相同的 severity 属性。您 可以配置分组设置,将严重程度不同的发现结果添加到一个案例中。

案例优先级取决于发现结果的最高严重程度。发现 严重级别发生变化时,Security Command Center 会自动将案例优先级更新为 匹配案例中所有发现结果中最高严重级别的属性。正在静音 不会影响支持请求优先级 - 如果忽略的发现结果具有 最高严重级别,则定义案例的优先级。

在以下示例中,案例 1 的优先级为“关键”,因为 发现结果 3(尽管已忽略)的严重级别设置为“严重”:

  • 案例 1:优先级:CRITICAL
    • 发现结果 1,有效。严重程度:HIGH
    • 发现结果 2,有效。严重程度:HIGH
    • 发现结果 3,已忽略。严重程度:CRITICAL

在下一个示例中,案例 2 的优先级为“高”,因为 所有发现结果的严重级别均为“高”:

  • 案例 2:优先级:HIGH
    • 发现结果 1,有效。严重程度:HIGH
    • 发现结果 2,有效。严重程度:HIGH
    • 发现结果 3,已忽略。严重程度:HIGH

查看支持请求

如需查看支持请求,请按以下步骤操作:

  1. 在 Security Operations 控制台中,前往案例
  2. 选择要查看的支持请求。此时会打开案例视图,您可以在其中找到 查找摘要以及有关某警报或该收集的所有信息 分组到所选案例的提醒。
  3. 查看案例墙标签页,了解在 包括提醒。

  4. 前往提醒标签页,简要了解发现结果。

    提醒标签页包含以下信息:

    • 提醒事件列表。
    • 附加到提醒的 playbook。
    • 发现结果概览。
    • 有关受影响资产的信息。
    • 可选:门票详细信息。

与工单系统集成

默认情况下,没有工单系统与 Security Command Center 集成 企业

包含漏洞和错误配置发现结果的案例 。如果您 集成工单系统, Security Command Center Enterprise 会根据状况案例和转发情况创建工单 使用 同步作业。

默认情况下,包含威胁发现结果的案例没有相关工单,即使 您可以将工单系统与 Security Command Center Enterprise 集成 实例。如需为您的威胁案例使用工单,请通过以下方式自定义可用策略方案: 添加操作或新建操作 playbook。

案例分配对象与工单分配对象

每个发现结果在任何给定时间都有一个资源所有者。资源所有者 使用 Google Cloud 标记、重要联系人或 在 SCC Enterprise - Urgent 中配置的后备所有者参数值 Posture Findings Connector

如果您集成了工单系统,则资源所有者就是工单分配对象,具体方法为: 默认值。如需详细了解自动和手动工单分配,请参阅 根据状况案例分配工单

工单分配对象根据发现结果进行修复。

案例分配对象处理 Security Command Center Enterprise 中的案例, 对发现结果进行分类或缓解。

例如,案例分配对象可以是威胁经理或其他安全专家 与工程师(票务分配对象)协作,并验证所有提醒 都会得到处理案例分配对象从不与工单系统合作。

后续步骤

如需详细了解案例,请参阅 Google SecOps 文档: