Este documento aborda os conceitos de casos no nível Enterprise do Security Command Center e explica como trabalhar com eles.
Visão geral
No Security Command Center, use casos para ter detalhes sobre as descobertas, anexar playbooks a alertas de descoberta, aplicar respostas automáticas a ameaças e acompanhar a correção de problemas de segurança.
Uma descoberta é um registro de um problema de segurança gerado por um dos serviços de detecção do Security Command Center. Em um caso, as descobertas e outros problemas de segurança são apresentados como alertas, que são enriquecidos com é um playbook que coleta mais informações. Sempre que possível, O Security Command Center adiciona novos alertas aos casos existentes, em que agrupadas com outros alertas relacionados.
Para mais detalhes sobre casos, consulte Visão geral do caso na documentação do Google SecOps.
Fluxo de descobertas
No Security Command Center Enterprise, há dois fluxos de descobertas:
As descobertas de ameaças do Security Command Center passam pelo módulo de informações de segurança e gerenciamento de eventos (SIEM, na sigla em inglês). Depois de acionar as regras internas do SIEM, descobertas se transformam em alertas.
O conector coleta os alertas e os insere no de orquestração, automação e resposta (SOAR) em que os playbooks e aprimorar os alertas agrupados em casos.
Descobertas de postura do Security Command Center, que consistem em descobertas de vulnerabilidades de software, configurações incorretas e combinações tóxicas vão diretamente para o módulo SOAR. Depois que o SCC Enterprise - Urgent Posture Findings Connector ingere e agrupa as descobertas de postura como alertas em casos, os playbooks processam e enriquecem os alertas.
No Security Command Center Enterprise, a descoberta do Security Command Center se torna um caso alerta.
Investigar casos
Durante a ingestão, as descobertas são agrupadas em casos para que os especialistas em segurança saber o que fazer a triagem.
Várias descobertas com os mesmos parâmetros são agrupadas em um caso. Para saber mais sobre o mecanismo de agrupamento de resultados, consulte Agrupar resultados em casos. Se você estiver usando um sistema de tíquetes, como o Jira ou o ServiceNow, um tíquete será criadas com base em um caso, o que significa que há um tíquete para todos descobertas em um caso.
Status da descoberta
Uma descoberta pode ter qualquer um dos seguintes status:
Ativo: a descoberta está ativa.
Silenciada: a descoberta está ativa e silenciada. Se todas as descobertas de um caso forem desativadas, o caso será encerrado. Para saber mais sobre como silenciar descobertas em casos, consulte Silenciar descobertas nos casos.
Fechado: a descoberta está inativa.
O status da descoberta é exibido no widget Estado da descoberta da guia Visão geral do caso e no widget Resumo da descoberta de um alerta.
Se você integrar com sistemas de emissão de tíquetes, ative os jobs de sincronização para manter as informações sobre as descobertas e os status atualizados automaticamente e sincronize os dados do caso com os tíquetes relevantes. Para para saber mais sobre a sincronização de dados de casos, consulte Ativar dados de casos sincronização.
Como encontrar a gravidade em relação à prioridade do caso
Por padrão, todas as descobertas contidas em um caso têm a mesma propriedade
severity
. É possível
configurar as configurações de agrupamento para incluir descobertas com severidades diferentes em um caso.
A prioridade do caso é baseada na gravidade mais alta da descoberta. Quando a gravidade da descoberta muda, o Security Command Center atualiza automaticamente a prioridade do caso para corresponder à propriedade de gravidade mais alta entre todas as descobertas em um caso. O silenciamento de descobertas não tem impacto na prioridade do caso. Se uma descoberta silenciada tiver a maior gravidade, ela definirá a prioridade do caso.
No exemplo a seguir, a prioridade do Caso 1 é Crítica porque o gravidade da descoberta 3 (embora silenciada) seja definida como "Crítica":
- Caso 1: prioridade:
CRITICAL
- Descoberta 1, ativa. Gravidade:
HIGH
- Descoberta 2, ativa. Gravidade:
HIGH
- Descoberta 3, som desativado. Gravidade:
CRITICAL
- Descoberta 1, ativa. Gravidade:
No próximo exemplo, a prioridade do Caso 2 é "Alta", porque o valor a gravidade de todas as descobertas é alta:
- Caso 2: prioridade:
HIGH
- Descoberta 1, ativa. Gravidade:
HIGH
- Descoberta 2, ativa. Gravidade:
HIGH
- Descoberta 3, som desativado. Gravidade:
HIGH
- Descoberta 1, ativa. Gravidade:
Analisar casos
Para analisar um caso, siga estas etapas:
- No console de operações de segurança, acesse Casos.
- Selecione um caso para análise. A visualização de caso é aberta, onde você encontra um resumo da descoberta com todas as informações sobre um alerta ou a coleção de alertas agrupados em um caso selecionado.
- Verifique a guia Casos de uso para mais detalhes sobre a atividade realizada no caso e alertas incluídos.
Acesse a guia Alerta para ter uma visão geral de uma descoberta.
A guia Alert contém as seguintes informações:
- Lista de eventos de alerta.
- Playbooks anexados ao alerta.
- Uma visão geral da descoberta.
- Informações sobre o recurso afetado.
- Opcional: detalhes do tíquete.
Integrar com sistemas de emissão de tíquetes
Por padrão, nenhum sistema de tíquetes é integrado ao Security Command Center Enterprise.
Casos com descobertas de vulnerabilidade e configurações incorretas têm tíquetes somente quando você integra e configura o sistema de tíquetes. Se você integrar um sistema de tíquetes, O Security Command Center Enterprise cria tíquetes com base em casos de postura e encaminhamentos todas as informações coletadas por playbooks para o sistema de tíquetes usando o trabalho de sincronização.
Por padrão, os casos com descobertas de ameaças não têm tíquetes relacionados, mesmo quando você integra o sistema de tíquetes à sua instância do Security Command Center Enterprise. Para usar tickets para seus casos de ameaça, personalize os playbooks disponíveis adicionando uma ação ou crie novos playbooks.
Usuário atribuído do caso x responsável pelo tíquete
Cada descoberta tem um único proprietário de recurso a qualquer momento. O proprietário do recurso é definido usando tags do Google Cloud, contatos essenciais ou o valor do parâmetro Fallback Owner configurado no SCC Enterprise: conector de resultados de postura urgente.
Se você integrar um sistema de tíquetes, o proprietário do recurso será o cessionário do tíquete, padrão. Para saber mais sobre a atribuição automática e manual de tíquetes, consulte Atribua tíquetes com base nos casos de postura.
O responsável pelo tíquete analisa as descobertas para corrigir o problema.
O responsável pelo caso trabalha com casos no Security Command Center Enterprise e não fazer a triagem ou mitigar descobertas.
Por exemplo, um cessionário do caso pode ser um gerente de ameaças ou outro especialista em segurança que colabora com um engenheiro (responsável pelo tíquete) e verifica se todos os alertas de um caso são resolvidas. O responsável do caso nunca trabalha com sistemas de tíquetes.
A seguir
Para saber mais sobre casos, consulte os recursos a seguir na Documentação do Google SecOps:
- Guia "Visão geral dos casos"
- O que há na página "Casos"?
- Como realizar uma ação manual em um caso
- Como simular casos
- Trabalhar com blocos de playbooks