In diesem Dokument werden die Konzepte von Anfragen in der Enterprise-Stufe von Security Command Center erläutert und beschrieben, wie Sie damit arbeiten.
Übersicht
In Security Command Center können Sie anhand von Anwendungsfällen Details zu Ergebnissen abrufen, Playbooks an Benachrichtigungen zu Ergebnissen anhängen, automatische Bedrohungsreaktionen anwenden und die Behebung von Sicherheitsproblemen verfolgen.
Ein Ergebnis ist ein Eintrag zu einem Sicherheitsproblem, der von einem der Erkennungsdienste von Security Command Center generiert wird. In einem Fall werden Ergebnisse und andere Sicherheitsprobleme als Benachrichtigungen angezeigt, die mit einem Playbook angereichert werden, in dem zusätzliche Informationen erfasst werden. Sofern möglich, werden in Security Command Center neuen Fällen neue Benachrichtigungen hinzugefügt, die dann mit anderen ähnlichen Benachrichtigungen gruppiert werden.
Weitere Informationen zu Anfragen finden Sie in der Google SecOps-Dokumentation unter Anfrageübersicht.
Ablauf der Ergebnisse
Im Security Command Center Enterprise gibt es zwei Abläufe für Ergebnisse:
Bedrohungsergebnisse in Security Command Center werden über das SIEM-Modul (Security Information and Event Management) verarbeitet. Nachdem die internen SIEM-Regeln ausgelöst wurden, werden die Ergebnisse in Benachrichtigungen umgewandelt.
Der Connector sammelt die Benachrichtigungen und nimmt sie in das SOAR-Modul (Security Orchestration, Automation and Response) auf, in dem die Playbooks die Benachrichtigungen verarbeiten und ergänzen, die in Fälle gruppiert werden.
Die Ergebnisse zur Sicherheit in Security Command Center, die aus Ergebnissen zu Softwarelücken, Fehlkonfigurationen und schädlichen Kombinationen bestehen, werden direkt an das SOAR-Modul gesendet. Nachdem der SCC Enterprise – Urgent Posture Findings Connector die Ergebnisse der Sicherheitsanalyse als Benachrichtigungen in Anfragen aufgenommen und gruppiert hat, werden die Benachrichtigungen in den Playbooks verarbeitet und angereichert.
In Security Command Center Enterprise wird das Security Command Center-Ergebnis zu einer Fallbenachrichtigung.
Anfragen untersuchen
Bei der Datenaufnahme werden die Ergebnisse in Fälle gruppiert, damit die Sicherheitsexperten wissen, was sie priorisieren müssen.
Mehrere Ergebnisse mit denselben Parametern werden in einem Fall zusammengefasst. Weitere Informationen zum Gruppieren von Ergebnissen finden Sie unter Ergebnisse in Anfragen gruppieren. Wenn Sie ein Ticketsystem wie Jira oder ServiceNow verwenden, wird ein Ticket basierend auf einem Fall erstellt. Das bedeutet, dass es ein Ticket für alle Ergebnisse in einem Fall gibt.
Suchstatus
Ein Ergebnis kann einen der folgenden Status haben:
Aktiv: Das Ergebnis ist aktiv.
Ausgeblendet: Das Ergebnis ist aktiv und ausgeblendet. Wenn alle Ergebnisse in einem Fall stummgeschaltet werden, wird der Fall geschlossen. Weitere Informationen zum Ausblenden von Ergebnissen in Supportanfragen finden Sie unter Ergebnisse in Supportanfragen ausblenden.
Geschlossen: Das Ergebnis ist inaktiv.
Der Status der Ergebnisse wird im Widget Ergebnisstatus auf dem Tab Fallübersicht und im Widget Ergebnisübersicht einer Benachrichtigung angezeigt.
Wenn Sie Ticketsysteme einbinden, aktivieren Sie Synchronisierungsjobs, damit die Informationen zu den Ergebnissen und ihren Status automatisch auf dem neuesten Stand gehalten werden und Falldaten mit relevanten Tickets synchronisiert werden. Weitere Informationen zur Synchronisierung von Falldaten finden Sie unter Synchronisierung von Falldaten aktivieren.
Schweregrad der Ergebnisse und Fallpriorität
Standardmäßig haben alle in einem Fall enthaltenen Ergebnisse dieselbe severity
Property. Sie können die Gruppierungseinstellungen konfigurieren, um Ergebnisse mit unterschiedlicher Schwere in einem Fall zu berücksichtigen.
Die Fallpriorität basiert auf dem höchsten Schweregrad der Ergebnisse. Wenn sich die Schwere des Ergebnisses ändert, wird die Fallpriorität in Security Command Center automatisch so aktualisiert, dass sie der höchsten Schwere aller Ergebnisse in einem Fall entspricht. Das Stummschalten von Ergebnissen hat keine Auswirkungen auf die Fallpriorität. Wenn ein ausgeblendetes Ergebnis den höchsten Schweregrad hat, bestimmt es die Priorität des Falls.
Im folgenden Beispiel ist die Priorität für Fall 1 „Kritisch“, da die Schwere von Befund 3 (obwohl stummgeschaltet) auf „Kritisch“ festgelegt ist:
- Fall 1: Priorität:
CRITICAL
- Ergebnis 1, aktiv Schweregrad:
HIGH
- Ergebnis 2, aktiv Schweregrad:
HIGH
- Ergebnis 3, ausgeblendet Schweregrad:
CRITICAL
- Ergebnis 1, aktiv Schweregrad:
Im nächsten Beispiel hat Fall 2 die Priorität „Hoch“, da die höchste Schwere aller Ergebnisse „Hoch“ ist:
- Fall 2: Priorität:
HIGH
- Ergebnis 1, aktiv Schweregrad:
HIGH
- Ergebnis 2, aktiv Schweregrad:
HIGH
- Ergebnis 3, ausgeblendet Schweregrad:
HIGH
- Ergebnis 1, aktiv Schweregrad:
Fälle überprüfen
So prüfen Sie einen Fall:
- Klicken Sie in der Security Operations Console auf Cases (Fälle).
- Wählen Sie einen Fall aus, den Sie überprüfen möchten. Die Fallansicht wird geöffnet. Dort finden Sie eine Zusammenfassung der Ergebnisse sowie alle Informationen zu einer Benachrichtigung oder zu den Benachrichtigungen, die in einem ausgewählten Fall gruppiert sind.
- Auf dem Tab Fallwand finden Sie Details zu den Aktivitäten im Zusammenhang mit dem Fall und zu den enthaltenen Benachrichtigungen.
Auf dem Tab Benachrichtigung finden Sie eine Übersicht über ein Ergebnis.
Der Tab Benachrichtigung enthält die folgenden Informationen:
- Liste der Benachrichtigungsereignisse.
- Playbooks, die an die Benachrichtigung angehängt sind.
- Eine Übersicht über die Ergebnisse.
- Informationen zum betroffenen Asset.
- Optional: Ticketdetails
Ticketsysteme einbinden
Standardmäßig ist kein Ticketsystem in Security Command Center Enterprise eingebunden.
Für Fälle mit Ergebnissen zu Sicherheitslücken und fehlerhaften Konfigurationen gibt es nur dann zugehörige Tickets, wenn Sie das Ticketsystem integrieren und konfigurieren. Wenn Sie ein Ticketsystem integrieren, erstellt Security Command Center Enterprise basierend auf Posture-Fällen Tickets und leitet alle Informationen, die mithilfe von Playbooks erfasst wurden, über den Synchronisierungsjob an das Ticketsystem weiter.
Standardmäßig sind für Fälle mit Bedrohungsergebnissen keine zugehörigen Tickets vorhanden, auch wenn Sie das Ticketsystem in Ihre Security Command Center Enterprise-Instanz eingebunden haben. Wenn Sie Tickets für Ihre Bedrohungsfälle verwenden möchten, passen Sie die verfügbaren Playbooks an, indem Sie eine Aktion hinzufügen, oder erstellen Sie neue Playbooks.
Zuständige Person für den Fall und für das Ticket
Jedes Ergebnis hat immer einen einzelnen Ressourceninhaber. Der Ressourceninhaber wird mit Google Cloud-Tags, wichtigen Kontakten oder dem Parameterwert Fallback Owner definiert, der im SCC Enterprise – Connector für dringende Ergebnisse zur Systemkonfiguration konfiguriert ist.
Wenn Sie ein Ticketsystem einbinden, ist der Ressourceninhaber standardmäßig der zugewiesene Nutzer des Tickets. Weitere Informationen zur automatischen und manuellen Ticketzuweisung findest du unter Tickets anhand von Posture-Fällen zuweisen.
Der zugewiesene Nutzer arbeitet an den Ergebnissen, um sie zu beheben.
Der zugewiesene Nutzer arbeitet mit Supportanfragen in Security Command Center Enterprise und ordnet Ergebnisse nicht zu Prioritäten oder behebt sie nicht.
Ein Fallbearbeiter kann beispielsweise ein Threat Manager oder ein anderer Sicherheitsexperte sein, der mit einem Entwickler (Ticketbearbeiter) zusammenarbeitet und prüft, ob alle Warnungen in einem Fall behoben wurden. Die Person, die den Fall zugewiesen wurde, arbeitet nie mit Ticketsystemen.
Nächste Schritte
Weitere Informationen zu Anfragen finden Sie in der Google SecOps-Dokumentation unter den folgenden Links:
- Tab „Übersicht“
- Was ist auf der Seite „Anfragen“ zu sehen?
- Manuelle Maßnahmen für einen Fall ausführen
- Fälle simulieren
- Mit Playbook-Blöcken arbeiten