支持请求概览

本文档介绍了 Security Command Center 的企业层级中案例的概念,并说明如何使用这些案例。

案例、提醒、策略方案、作业和连接器功能由 Google Security Operations 提供支持。

概览

在 Security Command Center 中,使用案例功能获取有关发现结果的详细信息,将策略方案附加到提醒,应用自动威胁响应,以及定义要修复的状况发现结果。案例可帮助您调查发现结果、使用策略方案应对威胁,以及使用工单系统缓解漏洞和错误配置问题。

在 Security Command Center 中,案例是包含多个提醒以及连接器提取的提醒相关信息的概要容器。提醒由一个或多个安全事件触发,并使用 playbook 进行扩充,以收集更多信息。使用收集到的信息,连接器尝试确定是否可将新传入的提醒与与同一入侵相关的其他提醒一起归入尚未解决的现有案例中。

如需详细了解案例,请参阅 Google SecOps 文档中的案例概览

发现结果流程

在 Security Command Center Enterprise 中,有两个发现结果流程:

  1. Security Command Center 威胁发现结果通过安全信息和事件管理 (SIEM) 模块进行。触发内部 SIEM 规则后,结果会变成警报。

    连接器收集提醒并将其提取到安全编排、自动化和响应 (SOAR) 模块中,策略方案会在该模块中处理并丰富按案例分组的提醒。

  2. 由漏洞和错误配置组成的 Security Command Center 安全状况发现结果会直接转到 SOAR 模块。SCC Enterprise - Urgent Posture Findings Connector 提取安全状况发现结果,并将其作为提醒分组到案例后,playbook 会处理并丰富提醒。

在 Security Command Center Enterprise 中,Security Command Center 发现结果将成为案例提醒

调查案例

在注入期间,系统会将发现结果分组为多个案例,让安全专家知道要分类的内容。

系统会将具有相同参数的多个发现结果分组到一个案例中。如需详细了解发现结果分组机制,请参阅在案例中对发现结果进行分组。如果您使用 Jira 或 ServiceNow 等工单系统,则系统会根据案例创建工单,这意味着一个案例中的所有发现结果都有一张工单。

发现结果状态

发现结果可以具有以下任一状态:

  • 有效:发现结果有效。

  • 已忽略:发现结果有效且已忽略。如果案例中的所有发现结果都被忽略,则案例将关闭。如需详细了解如何在案例中忽略发现结果,请参阅在案例中忽略发现结果

  • 已关闭:发现结果无效。

发现结果状态会显示在案例概览标签页的发现结果状态微件和提醒的发现结果摘要微件中。

如果您与工单系统集成,请启用同步作业,以自动及时更新发现结果及其状态的相关信息,并与相关工单同步案例数据。如需详细了解支持请求数据同步,请参阅启用支持请求数据同步

发现结果严重性与案例优先级

默认情况下,案例中包含的所有发现结果都具有相同的 severity 属性。您可以配置分组设置,将严重程度不同的发现结果添加到一个案例中。

案例优先级取决于发现结果的最高严重程度。当发现结果的严重程度发生变化时,Security Command Center 会自动更新案例优先级,以匹配案例中所有发现结果的最高严重级别。忽略发现结果不会影响案例优先级 - 如果忽略发现结果具有最高严重级别,则会定义案例的优先级。

在以下示例中,案例 1 的优先级为“严重”,因为发现结果 3(尽管已忽略)的严重级别设置为“严重”:

  • 案例 1:优先级:CRITICAL
    • 发现结果 1,有效。严重程度:HIGH
    • 发现结果 2,有效。严重程度:HIGH
    • 发现结果 3,已忽略。严重程度:CRITICAL

在下一个示例中,案例 2 的优先级为“高”,因为所有发现结果的最高严重级别都是“高”:

  • 案例 2:优先级:HIGH
    • 发现结果 1,有效。严重程度:HIGH
    • 发现结果 2,有效。严重程度:HIGH
    • 发现结果 3,已忽略。严重程度:HIGH

查看支持请求

如需查看支持请求,请按以下步骤操作:

  1. 在 Security Operations 控制台中,前往案例
  2. 选择要查看的支持请求。此时将打开案例视图,您可以在其中找到发现结果摘要,以及有关某个提醒或分组到选定案例的提醒集合的所有信息。
  3. 如需详细了解对案例执行的活动以及包含的提醒,请查看案例墙标签页。

  4. 前往提醒标签页,简要了解发现结果。

    提醒标签页包含以下信息:

    • 提醒事件列表。
    • 附加到提醒的 playbook。
    • 发现结果概览。
    • 有关受影响资产的信息。
    • 可选:门票详细信息。

与工单系统集成

默认情况下,任何工单系统都不会与 Security Command Center Enterprise 集成。

仅当您集成和配置工单系统时,包含漏洞和配置错误发现结果的案例才会有相关工单。如果您集成工单系统,Security Command Center Enterprise 会根据状况案例创建工单,并使用同步作业将 playbook 收集的所有信息转发到工单系统。

默认情况下,即使您将工单系统与 Security Command Center Enterprise 实例集成,包含威胁发现结果的案例也没有相关工单。如需使用威胁案例的工单,请通过添加操作自定义可用的 playbook,或创建新的 playbook。

案例分配对象与工单分配对象

每个发现结果在任何给定时间都有一个资源所有者。资源所有者使用 Google Cloud 标记、重要联系人或在 SCC Enterprise - Urgent Posture Findings Connector 中配置的后备所有者参数值来定义。

如果您集成了工单系统,则默认情况下,资源所有者就是工单分配对象。如需详细了解自动和手动工单分配,请参阅根据状况案例分配工单

工单分配对象根据发现结果进行修复。

案例分配对象处理 Security Command Center Enterprise 中的案例,不会对发现结果进行分类或缓解。

例如,案例分配对象可以是威胁经理或其他安全专家,他们与工程师(工单分配对象)协作,并验证案例中的所有警报是否均已得到解决。案例分配对象从不与工单系统合作。

后续步骤

如需详细了解案例,请参阅 Google SecOps 文档中的以下资源: