Analisar casos de problemas de identidade e acesso

Nesta página, explicamos como analisar casos correspondentes a identidade e acesso descobertas no Security Command Center.

O Security Command Center cria casos automaticamente para descobertas com gravidade de Critical ou High.

Antes de começar

Conclua as seguintes tarefas antes de continuar:

• Saiba mais sobre os recursos de CIEM do Security Command Center.
• Configure permissões para o CIEM.
• Ative o serviço de detecção de CIEM para a AWS
• Conectar seu sistema de tíquetes.

Mais detalhes do caso no console de operações de segurança

Para conferir os detalhes de um caso de configuração incorreta de identidade e acesso do página Descobertas, siga estas etapas:

1. No painel Descobertas de identidade e acesso em Risco do Security Command Center Visão geral, clique em um nome de descoberta ou em Visualizar todas as identidades e acessos de descobertas. O Security Command Center abre a página Descobertas com uma uma consulta pré-filtrada para descobertas de identidade e acesso.

2. Clique no nome de uma descoberta na coluna Categoria para abrir a Descoberta detalhes. Acesse a seção Informações do caso e clique no código do caso. na linha Código do caso. A janela Cases do console de Operações de Segurança abre em uma nova guia e exibe a guia Alerta referente a esse caso específico. A guia Alert contém as seguintes informações:

   • Lista de eventos de alerta associados ao caso
   • Playbooks anexados ao alerta
   • Uma descrição de descoberta
   • Próximas etapas para correção
   • Informações sobre o recurso afetado
   • Informações do tíquete (se você conectou seu sistema de tíquetes ao Security Command Center)

3. Se você conectou o Security Command Center ao Jira ou ServiceNow, pode usar o link do ID do tíquete para acessar o sistema de tíquetes.

4. Verifique a guia Casos de uso para mais detalhes sobre a atividade realizada no caso e alertas incluídos.

5. Verifique a guia Visão geral do caso para ter uma visão geral do caso.

Na página Casos do console de Operações de Segurança, é possível ver todos os casos criados para seu ambiente, não apenas casos de identidade e acesso. Você pode navegar por todos casos existentes com a Fila de casos no lado esquerdo da página. Você pode pesquisar e filtrar o conteúdo da fila para facilitar a identificação de casos para os focar.

Para mais informações sobre como trabalhar com casos, consulte Visão geral de casos.

A seguir

• Saiba como investigar descobertas de identidade e acesso.
• Saiba mais sobre casos na documentação do Google SecOps:
  • Guia "Visão geral dos casos"
  • O que tem na página "Casos"?
  • Como realizar uma ação manual em um caso
  • Como simular casos
  • Trabalhar com blocos de playbooks