En esta página, se explica cómo revisar los casos correspondientes a los resultados de identidad y acceso en Security Command Center.
Security Command Center crea casos automáticamente para los resultados con una gravedad de Critical
o High
.
Antes de comenzar
Antes de continuar, asegúrate de haber completado las siguientes tareas:
- Obtén información sobre las funciones de CIEM de Security Command Center.
- Configura los permisos de CIEM.
- Habilita el servicio de detección CIEM para AWS.
- Conecta tu sistema de tickets.
Cómo ver los detalles de un caso en la consola de Security Operations
Para ver los detalles de un caso de configuración incorrecta de identidad y acceso de la página Hallazgos, sigue estos pasos:
- En el panel Hallazgos de identidad y acceso en Security Command Center Riesgo Descripción general, haz clic en el nombre de un resultado o en Ver toda la identidad y los accesos de los hallazgos. Security Command Center abre la página Hallazgos con una una consulta prefiltrada para los hallazgos de identidad y acceso.
Haz clic en el nombre de un resultado en la columna Categoría para abrir el panel Detalles del resultado. Dirígete a la sección Información del caso y haz clic en el ID del caso. número en la fila Case ID. La ventana Casos de la consola de operaciones de seguridad se abre en una pestaña nueva y muestra la pestaña Alert de ese caso en particular. La pestaña Alerta contiene la siguiente información:
- Lista de eventos de alerta asociados con el caso
- Guías adjuntas a la alerta
- Una descripción de un hallazgo
- Próximos pasos para la solución
- Información sobre el activo afectado
- Información del ticket (si conectaste tu sistema de tickets a Security Command Center)
Si conectaste Security Command Center a Jira o ServiceNow, puedes usar el vínculo del ID del ticket para navegar a tu sistema de tickets.
Consulta la pestaña Muro de casos para obtener detalles sobre la actividad que se realizó en el caso y las alertas incluidas.
Revisa la pestaña Descripción general del caso para obtener una descripción completa del caso.
En la página Casos de la consola de Security Operations, puedes ver todos los casos creados para tu entorno, no solo los casos de identidad y acceso. Puedes navegar por todos los casos existentes con la fila de casos que se encuentra en el lado izquierdo de la página. Puedes buscar y filtrar el contenido de la cola para facilitar la identificación de los casos en los que enfocarse.
Para obtener más información sobre cómo trabajar con casos, consulta Descripción general de los casos.
¿Qué sigue?
- Obtén información para investigar los hallazgos de identidad y acceso.
- Obtén más información sobre los casos en la documentación de Google SecOps: