Anfragen – Übersicht

In diesem Dokument werden die Konzepte von Fällen in der Enterprise-Version von Security Command Center behandelt und es wird erläutert, wie Sie damit arbeiten.

Übersicht

In Security Command Center verwenden Sie Fälle, um Details zu Ergebnissen zu erhalten, Playbooks an Ergebnisbenachrichtigungen anzuhängen, automatische Reaktionen auf Bedrohungen anzuwenden und die Behebung von Sicherheitsproblemen zu verfolgen.

Ein Ergebnis ist ein Datensatz zu einem Sicherheitsproblem, der von einem der Erkennungsdienste generiert wird. In einem Fall werden Ergebnisse und andere Sicherheitsprobleme als Benachrichtigungen dargestellt, die mithilfe eines Playbooks mit zusätzlichen Informationen angereichert werden. Wenn möglich, fügt Security Command Center neue Warnmeldungen zu vorhandenen Fällen hinzu, in denen sie mit anderen zugehörigen Warnmeldungen gruppiert werden. Weitere Informationen zu Fällen finden Sie in der Google SecOps-Dokumentation unter Fallübersicht.

Ergebnisablauf

In Security Command Center Enterprise gibt es zwei Abläufe für Ergebnisse:

1. Security Command Center-Bedrohungsergebnisse werden über das SIEM-Modul (Security Information and Event Management) verarbeitet. Nachdem die internen SIEM-Regeln ausgelöst wurden, werden aus den Ergebnissen Benachrichtigungen.

   Der Connector erfasst die Benachrichtigungen und nimmt sie in das SOAR-Modul (Security Orchestration, Automation, and Response) auf. Dort werden die Benachrichtigungen, die in Fällen gruppiert sind, von den Playbooks verarbeitet und angereichert.

2. Ergebnisse zu schädlichen Kombinationen und alle zugehörigen Ergebnisse zu Sicherheitslücken und fehlerhaften Konfigurationen werden direkt an das SOAR-Modul gesendet. Nachdem der SCC Enterprise – Urgent Posture Findings Connector die Ergebnisse als Warnmeldungen in Fälle aufgenommen und gruppiert hat, werden die Warnmeldungen von den Playbooks verarbeitet und angereichert.

In Security Command Center Enterprise wird aus dem Security Command Center-Ergebnis eine Fallbenachrichtigung.

Fälle untersuchen

Beim Erfassen werden Ergebnisse in Fälle gruppiert, damit Sicherheitsexperten wissen, was priorisiert werden muss.

Mehrere Ergebnisse mit denselben Parametern werden in einem Fall zusammengefasst. Weitere Informationen zum Mechanismus zum Gruppieren von Ergebnissen finden Sie unter Ergebnisse in Fällen gruppieren. Wenn Sie ein Ticketing-System wie Jira oder ServiceNow verwenden, wird basierend auf einem Fall ein Ticket erstellt. Das bedeutet, dass es für alle Ergebnisse in einem Fall ein Ticket gibt.

Ergebnisstatus

Ein Ergebnis kann einen der folgenden Status haben:

• Aktiv: Das Ergebnis ist aktiv.

• Ausgeblendet: Das Ergebnis ist aktiv und ausgeblendet. Wenn alle Ergebnisse in einem Fall stummgeschaltet sind, wird der Fall geschlossen. Weitere Informationen zum Ausblenden von Ergebnissen in Fällen finden Sie unter Ergebnisse in Fällen ausblenden.

• Geschlossen: Das Ergebnis ist inaktiv.

Der Status des Ergebnisses wird im Widget Status des Ergebnisses auf dem Tab Fallübersicht und im Widget Zusammenfassung des Ergebnisses einer Benachrichtigung angezeigt.

Wenn Sie Ticketing-Systeme einbinden, aktivieren Sie Synchronisierungsjobs, damit Informationen zu Ergebnissen und deren Status automatisch auf dem neuesten Stand gehalten und Falldaten mit relevanten Tickets synchronisiert werden. Weitere Informationen zur Synchronisierung von Falldaten finden Sie unter Synchronisierung von Falldaten aktivieren.

Schweregrad von Ergebnissen im Vergleich zur Fallpriorität

Standardmäßig haben alle Ergebnisse in einem Fall dieselbe severity-Eigenschaft. Sie können die Gruppierungseinstellungen konfigurieren, um Ergebnisse mit unterschiedlichen Schweregraden in einem Fall zusammenzufassen.

Die Fallpriorität basiert auf dem höchsten Schweregrad der Ergebnisse. Wenn sich der Schweregrad des Ergebnisses ändert, aktualisiert Security Command Center die Fallpriorität automatisch, sodass sie dem höchsten Schweregrad aller Ergebnisse in einem Fall entspricht. Das Stummschalten von Ergebnissen hat keine Auswirkungen auf die Fallpriorität. Wenn ein stummgeschaltetes Ergebnis den höchsten Schweregrad aufweist, bestimmt es die Priorität des Falls.

Im folgenden Beispiel ist die Priorität für Fall 1 „Kritisch“, da der Schweregrad von Ergebnis 3 (obwohl stummgeschaltet) auf „Kritisch“ festgelegt ist:

• Fall 1: Priorität: CRITICAL
  • Ergebnis 1, aktiv. Schweregrad: HIGH
  • Ergebnis 2, aktiv. Schweregrad: HIGH
  • Ergebnis 3, ausgeblendet. Schweregrad: CRITICAL

Im nächsten Beispiel hat Fall 2 die Priorität „Hoch“, da die höchste Schwere aller Ergebnisse „Hoch“ ist:

• Fall 2: Priorität: HIGH
  • Ergebnis 1, aktiv. Schweregrad: HIGH
  • Ergebnis 2, aktiv. Schweregrad: HIGH
  • Ergebnis 3, ausgeblendet. Schweregrad: HIGH

Fälle ansehen

So prüfen Sie einen Fall:

1. Wechseln Sie in der Google Cloud Console zu Risiko > Anfragen. Die Fallliste wird geöffnet.
2. Wählen Sie einen Fall aus, den Sie überprüfen möchten. Die Fallansicht wird geöffnet. Dort finden Sie eine Zusammenfassung der Ergebnisse sowie alle Informationen zu einer Benachrichtigung oder zu einer Sammlung von Benachrichtigungen, die in einem ausgewählten Fall gruppiert sind.
3. Auf dem Tab Case Wall (Vorgangswand) finden Sie Details zu den Aktivitäten, die im Zusammenhang mit dem Vorgang und den enthaltenen Benachrichtigungen ausgeführt wurden.

4. Auf dem Tab Warnung finden Sie eine Übersicht über ein Ergebnis.

   Der Tab Benachrichtigung enthält die folgenden Informationen:

   • Liste der Benachrichtigungsereignisse.
   • Playbooks, die an die Benachrichtigung angehängt sind.
   • Eine Übersicht über die Ergebnisse.
   • Informationen zum betroffenen Asset.
   • Optional: Ticketdetails

Einbindung in Ticketsysteme

Standardmäßig ist kein Ticketsystem in Security Command Center Enterprise eingebunden.

Fälle mit Ergebnissen zu Sicherheitslücken und fehlerhaften Konfigurationen haben nur dann zugehörige Tickets, wenn Sie das Ticketsystem einbinden und konfigurieren. Wenn Sie ein Ticketsystem einbinden, erstellt Security Command Center Enterprise Tickets basierend auf den Statusanalysen und leitet alle von Playbooks erfassten Informationen über den Synchronisierungsjob an das Ticketsystem weiter.

Standardmäßig enthalten Fälle mit Ergebnissen zu Bedrohungen keine zugehörigen Tickets, auch wenn Sie das Ticketsystem in Ihre Security Command Center Enterprise-Instanz einbinden. Wenn Sie Tickets für Ihre Threat-Fälle verwenden möchten, passen Sie die verfügbaren Playbooks an, indem Sie eine Aktion hinzufügen, oder erstellen Sie neue Playbooks.

Zuständige Person für Fall und Ticket

Jedes Ergebnis hat zu jedem Zeitpunkt einen einzelnen Ressourceninhaber. Der Ressourceninhaber wird über Google Cloud -Tags, wichtige Kontakte oder den Parameterwert Fallback Owner definiert, der im SCC Enterprise – Urgent Posture Findings Connector konfiguriert ist.

Wenn Sie ein Ticketsystem einbinden, ist der Ressourceninhaber standardmäßig der Ticketempfänger. Weitere Informationen zur automatischen und manuellen Zuweisung von Tickets finden Sie unter Tickets basierend auf Sicherheitsrisiken zuweisen.

Der Ticket-Bearbeiter arbeitet mit den Ergebnissen, um sie zu beheben.

Der Fallbearbeiter arbeitet mit Fällen in Security Command Center Enterprise und führt keine Triage oder Risikominderung von Ergebnissen durch.

Ein Fallbearbeiter kann beispielsweise ein Threat Manager oder ein anderer Sicherheitsexperte sein, der mit einem Techniker (Ticketbearbeiter) zusammenarbeitet und überprüft, ob alle Benachrichtigungen in einem Fall bearbeitet wurden. Der Fallbearbeiter arbeitet nie mit Ticketsystemen.

Nächste Schritte

Weitere Informationen zu Fällen finden Sie in den folgenden Ressourcen in der Google SecOps-Dokumentation:

• Tab „Fallübersicht“
• Was ist auf der Seite „Anfragen“ zu sehen?
• Manuelle Maßnahmen für eine Supportanfrage ergreifen
• Fälle simulieren
• Mit Playbook-Blöcken arbeiten