Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
En esta página se explica cómo revisar los casos correspondientes a los resultados de identidad y acceso en Security Command Center.
Security Command Center crea automáticamente casos de detecciones de amenazas, combinaciones tóxicas y detecciones relacionadas con combinaciones tóxicas.
Antes de empezar
Antes de continuar, asegúrate de que has completado las siguientes tareas:
Para ver los detalles de un caso de configuración incorrecta de identidad y acceso desde la página Resultados, sigue estos pasos:
En la Google Cloud consola, selecciona Resultados en el menú de navegación.
Haga clic en Identidad para mostrar una consulta prefiltrada de resultados de identidad y acceso.
Identifica un resultado con un valor en la columna ID de caso.
Para abrir los detalles del caso, haz una de las siguientes acciones:
Haga clic en el valor de la columna ID de caso.
Haga clic en el nombre del resultado en la columna Categoría. En el panel Detalles de la detección, vaya a la sección Información del caso. Haz clic en el número de ID de asistencia de la fila ID de asistencia.
Se abrirá la ventana Casos, donde se mostrarán los detalles del caso, incluida la siguiente información:
Lista de eventos de alerta asociados al caso
Guías adjuntadas a la alerta
Una descripción de la detección
Pasos siguientes para la corrección
Información sobre el recurso afectado
Información de las incidencias (si has conectado tu sistema de incidencias a Security Command Center)
Si has conectado Security Command Center a Jira o ServiceNow, puedes usar el enlace del ID de la incidencia para ir a tu sistema de gestión de incidencias.
Consulta la pestaña Muro del caso para obtener información sobre la actividad realizada en el caso y las alertas incluidas.
Consulta la pestaña Resumen del caso para ver una descripción general completa del caso.
En la página Casos, puede ver todos los casos creados para su entorno, no solo los de identidad y acceso. Puedes desplazarte por todos los casos que ya tengas en la lista de casos de la parte izquierda de la página. También puedes buscar y filtrar la lista para identificar más fácilmente los casos en los que debes centrarte.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-10 (UTC)."],[],[],null,["| Enterprise [service tier](/security-command-center/docs/service-tiers) (not available if [data residency controls](docs/data-residency-support) are enabled)\n\nThis page explains how to review cases corresponding to identity and access\nfindings in Security Command Center.\n\nSecurity Command Center automatically creates cases for threat findings, toxic combinations, and findings related to toxic combinations.\n\nBefore you begin\n\nMake sure you have completed the following tasks before continuing:\n\n- Learn about [Security Command Center's CIEM capabilities](/security-command-center/docs/ciem-overview).\n- [Set up permissions for CIEM](/security-command-center/docs/ciem-enable-service#ciem-permissions).\n- [Enable the CIEM detection service for AWS](/security-command-center/docs/ciem-enable-service).\n- [Connect your ticketing system](/security-command-center/docs/integrate-ticketing-systems).\n\nView case details\n\nTo view the case details of an identity and access misconfiguration case from\nthe **Findings** page, take the following steps:\n\n1. In the Google Cloud console, select **Findings** in the navigation.\n2. Click **Identity** to display a pre-filtered query for identity and access findings.\n3. Identify a finding with a value in the **Case ID** column.\n4. Do one of the following to open the case details:\n\n - Click the value in the **Case ID** column.\n - Click the finding name in the **Category** column. In the **Finding\n details** pane, go to the **Case information** section. Click the case ID number in the **Case ID** row.\n\n The **Cases** window opens and displays details about the case, including the\n following information:\n - List of alert events associated with the case\n - Playbooks attached to the alert\n - A finding description\n - Next steps for remediation\n - Information about the impacted asset\n - Ticket information (if you connected your ticketing system to Security Command Center)\n5. If you have connected Security Command Center to Jira or ServiceNow, you\n can use the ticket ID link to navigate to your ticketing system.\n\n6. Check the **Case Wall** tab for details about the activity performed on the\n case and included alerts.\n\n7. Check the **Case Overview** tab for a full overview of the case.\n\nOn the **Cases** page, you can see all cases created for your environment,\nnot just identity and access cases. You can navigate all\nexisting cases in the cases list on the left side of the page. You can\nalso search and filter the list to make it easier to identify cases to\nfocus on.\n\nFor more information on working with cases, see\n[Cases overview](/security-command-center/docs/cases-overview).\n\nWhat's next\n\n- Learn how to [investigate identity and access findings](/security-command-center/docs/ciem-identity-access-findings).\n- Learn more about cases from the Google SecOps documentation:\n - [Cases overview tab](/chronicle/docs/soar/investigate/working-with-cases/whats-on-the-case-overview-tab)\n - [What's on the Cases page?](/chronicle/docs/soar/investigate/working-with-cases/whats-on-the-cases-screen)\n - [How to perform a manual action on a case](/chronicle/docs/soar/investigate/working-with-cases/perform-a-manual-action)\n - [How to simulate cases](/chronicle/docs/soar/investigate/working-with-cases/simulate-cases)\n - [Work with playbook blocks](/chronicle/docs/soar/respond/working-with-playbooks/working-with-playbook-blocks)"]]
