Ce document aborde les concepts liés aux demandes au niveau Enterprise de Security Command Center. et explique comment travailler avec eux.
Présentation
Dans Security Command Center, utilisez des cas d'utilisation pour obtenir des informations sur les résultats, joindre des playbooks aux alertes de résultats, appliquer des réponses automatiques aux menaces et suivre la résolution des problèmes de sécurité.
Un résultat est un enregistrement d'un problème de sécurité généré par l'un des les services de détection Security Command Center. Dans un cas, les résultats et les autres problèmes de sécurité sont présentés sous la forme d'alertes enrichies à l'aide de un playbook qui recueille des informations supplémentaires. Dans la mesure du possible, Security Command Center ajoute de nouvelles alertes aux demandes existantes, où elles se trouvent regroupées avec d'autres alertes associées.
Pour en savoir plus sur les demandes, consultez la section Présentation de la demande dans la documentation Google SecOps.
Flux des résultats
Dans Security Command Center Enterprise, il existe deux flux pour les résultats:
Les résultats des menaces de Security Command Center passent par les informations de sécurité de gestion des événements (SIEM). Après avoir déclenché les règles SIEM internes, les résultats deviennent des alertes.
Le connecteur collecte les alertes et les ingère dans le module d'orchestration, d'automatisation et de réponse (SOAR, Security Orchestration Automation and Response) où les playbooks traitent et enrichissent les alertes regroupées dans des demandes.
Les résultats de la stratégie Security Command Center, qui sont les résultats des les failles logicielles, les erreurs de configuration et les combinaisons toxiques, accédez directement au module SOAR. Une fois que le connecteur SCCE Enterprise - Urgent Posture Findings a ingéré et regroupé les résultats de la posture en tant qu'alertes dans des demandes, les playbooks traitent et enrichissent les alertes.
Dans Security Command Center Enterprise, le résultat de Security Command Center devient une alerte de demande.
Enquêter sur les cas
Lors de l'ingestion, les résultats sont regroupés par cas pour que les spécialistes de la sécurité savoir quoi trier.
Plusieurs résultats avec les mêmes paramètres sont regroupés dans une même demande. Pour en savoir plus sur le mécanisme de regroupement des résultats, consultez Regrouper les résultats dans les demandes. Si vous utilisez un système de suivi des demandes, tel que Jira ou ServiceNow, est créée à partir d'un cas, ce qui signifie qu'il y a un seul ticket pour tous les conclusions d'une demande.
État de la recherche
Un résultat peut avoir l'un des états suivants:
Actif : le résultat est actif.
Ignoré(e): le résultat est actif et son son est coupé. Si toutes les constatations d'une demande sont son coupé, la demande est clôturée. Pour en savoir plus sur l'application des règles Ignorer aux résultats d'une demande, consultez la section Ignorer les résultats d'une demande.
Fermé: le résultat est inactif.
L'état de la recherche s'affiche dans le widget État de la recherche de l'onglet Vue d'ensemble de la demande et dans le widget Récapitulatif de la recherche d'une alerte.
Si vous intégrez les systèmes de suivi des demandes, activer de synchronisation pour conserver les informations sur les résultats et leur état sont automatiquement mis à jour et synchronisent les données des demandes avec les demandes pertinentes. Pour en savoir plus sur la synchronisation des données de la demande, consultez Activer la synchronisation des données de la demande.
Gravité de la recherche par rapport à la priorité de la demande
Par défaut, tous les résultats d'un cas ont la même propriété severity. Toi
Vous pouvez configurer les paramètres de regroupement de manière à regrouper les résultats avec des niveaux de gravité différents dans un seul cas.
La priorité du dossier est basée sur la gravité la plus élevée des résultats. Lorsque le résultat changement de niveau de gravité, Security Command Center fait automatiquement passer la priorité correspondre à la propriété de gravité la plus élevée parmi tous les résultats d'un cas. Coupure du son les résultats n'ont aucune incidence sur la priorité de la demande, si un résultat ignoré possède le niveau de gravité le plus élevé, il définit la priorité de la demande.
Dans l'exemple suivant, la priorité de l'incident 1 est critique, car la gravité de la non-conformité 3 (bien que masquée) est définie sur critique :
- Cas 1: priorité:
CRITICAL- Résultat 1, actif. Gravité :
HIGH - Résultat 2, actif. Gravité :
HIGH - Résultat 3, ignoré. Gravité :
CRITICAL
- Résultat 1, actif. Gravité :
Dans l'exemple suivant, la priorité du cas 2 est "Élevée", car la priorité pour tous les résultats est élevée:
- Cas 2: priorité:
HIGH- Résultat 1, actif. Gravité :
HIGH - Résultat 2, actif. Gravité :
HIGH - 3e trouvé, son coupé. Gravité :
HIGH
- Résultat 1, actif. Gravité :
Examiner les demandes
Pour examiner une demande, procédez comme suit:
- Dans la console Opérations de sécurité, accédez à Demandes.
- Sélectionnez une demande à examiner. La vue de la demande s'ouvre. le résumé des résultats, ainsi que toutes les informations sur une alerte ou la collecte d'alertes regroupées dans un cas sélectionné.
- Consultez l'onglet Case Wall (Mur de la demande) pour en savoir plus sur l'activité effectuée sur la demande et les alertes incluses.
Accédez à l'onglet Alerte pour afficher un aperçu d'un résultat.
L'onglet Alert contient les informations suivantes:
- Liste des événements d'alerte.
- Playbooks associés à l'alerte.
- Présentation des résultats
- Informations sur l'élément concerné.
- Facultatif : détails de la demande
Intégrer les systèmes de billetterie
Par défaut, aucun système de suivi des demandes n'est intégré à Security Command Center. Entreprise.
Les cas contenant des résultats de failles et d'erreurs de configuration sont liés les demandes que lorsque vous intégrez et configurez le système de tickets. Si vous intégrer un système de suivi des demandes d'assistance, Security Command Center Enterprise crée des demandes d'assistance en fonction des cas de stratégie et des transferts toutes les informations collectées par les playbooks vers le système de suivi des demandes de synchronisation.
Par défaut, les demandes contenant des résultats de menace n'ont pas de demandes associées, même lorsque vous intégrez le système de gestion des demandes à votre instance Security Command Center Enterprise. Pour utiliser des demandes pour vos cas de menace, personnalisez les playbooks disponibles en ajoutant une action ou en créant des playbooks.
Personne responsable de la demande et responsable de la demande d'assistance
Chaque résultat a un seul propriétaire de ressource à un moment donné. Le propriétaire de la ressource est défini à l'aide de tags Google Cloud, de contacts essentiels ou Valeur du paramètre Propriétaire de remplacement configurée dans SCC Enterprise – Urgent Connecteur de résultats de stratégie.
Si vous intégrez un système de gestion des tickets, le propriétaire de la ressource est l'utilisateur auquel le ticket est attribué par défaut. Pour en savoir plus sur l'attribution automatique et manuelle des demandes, consultez Attribuez les tickets en fonction des cas de stratégie.
La personne responsable du ticket utilise les résultats pour y remédier.
La personne responsable de la demande travaille avec les demandes dans Security Command Center Enterprise trier ou atténuer les résultats.
Par exemple, un gestionnaire de menaces ou un autre spécialiste de la sécurité peut être affecté à une demande. Il collabore avec un ingénieur (affecté à la demande) et vérifie que toutes les alertes d'une demande sont traitées. La personne responsable de la demande ne travaille jamais avec des systèmes de suivi des demandes.
Étape suivante
Pour en savoir plus sur les cas, consultez les ressources suivantes dans la documentation Google SecOps :
- Onglet "Cases" (Présentation des demandes)
- Contenu de la page "Demandes"
- Effectuer une action manuelle sur une demande
- Simuler des cas
- Utiliser les blocs de playbooks