Descripción general de los casos

En este documento, se explican los conceptos de los casos en el nivel Enterprise de Security Command Center y cómo trabajar con ellos.

Descripción general

En Security Command Center, utilizas casos para obtener detalles sobre los hallazgos, adjuntar guías a las alertas de hallazgos, aplicar respuestas automáticas ante amenazas y hacer un seguimiento de la corrección de los problemas de seguridad.

Un hallazgo es un registro de un problema de seguridad que genera uno de los servicios de detección. En un caso, los hallazgos y otros problemas de seguridad se presentan como alertas, que se enriquecen con una guía que recopila información adicional. Siempre que sea posible, Security Command Center agrega alertas nuevas a los casos existentes, donde se agrupan con otras alertas relacionadas. Para obtener más detalles sobre los casos, consulta Descripción general de los casos en la documentación de Google SecOps.

Flujo de hallazgos

En Security Command Center Enterprise, hay dos flujos para los hallazgos:

1. Los resultados de amenazas de Security Command Center pasan por el módulo de administración de información y eventos de seguridad (SIEM). Después de activar las reglas internas del SIEM, los hallazgos se convierten en alertas.

   El conector recopila las alertas y las transfiere al módulo de organización, automatización y respuesta de seguridad (SOAR), en el que las guías procesan y enriquecen las alertas que se agrupan en casos.

2. Los descubrimientos de combinaciones tóxicas y los descubrimientos relacionados de vulnerabilidades y parámetros de configuración incorrectos van directamente al módulo de SOAR. Después de que el conector de SCC Enterprise - Urgent Posture Findings ingiere y agrupa los hallazgos como alertas en casos, las guías procesan y enriquecen las alertas.

En Security Command Center Enterprise, el resultado de Security Command Center se convierte en una alerta de caso.

Investiga casos

Durante la transferencia, los hallazgos se agrupan en casos para que los especialistas en seguridad sepan qué priorizar.

Los hallazgos múltiples con los mismos parámetros se agrupan en un solo caso. Para obtener más información sobre el mecanismo de agrupación de hallazgos, consulta Agrupa hallazgos en casos. Si usas un sistema de tickets, como Jira o ServiceNow, se crea un ticket basado en un caso, lo que significa que hay un ticket para todos los hallazgos de un caso.

Estado de la búsqueda

Un hallazgo puede tener cualquiera de los siguientes estados:

• Activo: El hallazgo está activo.

• Silenciado: El hallazgo está activo y silenciado. Si se silencian todos los hallazgos de un caso, este se cierra. Para obtener más información sobre cómo silenciar hallazgos en casos, consulta Cómo silenciar hallazgos en casos.

• Cerrado: El hallazgo está inactivo.

El estado del hallazgo se muestra en el widget Estado del hallazgo de la pestaña Descripción general del caso y en el widget Resumen del hallazgo de una alerta.

Si realizas la integración con sistemas de emisión de tickets, habilita los trabajos de sincronización para mantener actualizada automáticamente la información sobre los hallazgos y sus estados, y sincroniza los datos de los casos con los tickets pertinentes. Para obtener más información sobre la sincronización de datos de casos, consulta Cómo habilitar la sincronización de datos de casos.

Comparación entre la gravedad del hallazgo y la prioridad del caso

De forma predeterminada, todos los hallazgos incluidos en un caso poseen la misma propiedad severity. Puedes configurar los parámetros de agrupación para incluir hallazgos con diferentes niveles de gravedad en un solo caso.

La prioridad del caso se basa en la gravedad más alta del hallazgo. Cuando cambia la gravedad del hallazgo, Security Command Center actualiza automáticamente la prioridad del caso para que coincida con la propiedad de gravedad más alta entre todos los hallazgos de un caso. Omitir los hallazgos no afecta la prioridad del caso. Si un hallazgo omitido tiene la gravedad más alta, define la prioridad del caso.

En el siguiente ejemplo, la prioridad del caso 1 es Crítica porque la gravedad del hallazgo 3 (aunque silenciado) se establece como Crítica:

• Caso 1: Prioridad: CRITICAL
  • Hallazgo 1, activo. Gravedad: HIGH
  • Hallazgo 2, activo. Gravedad: HIGH
  • Hallazgo 3, silenciado. Gravedad: CRITICAL

En el siguiente ejemplo, la prioridad del caso 2 es Alta porque la gravedad más alta de todos los hallazgos es Alta:

• Caso 2: Prioridad: HIGH
  • Hallazgo 1, activo. Gravedad: HIGH
  • Hallazgo 2, activo. Gravedad: HIGH
  • Hallazgo 3, silenciado. Gravedad: HIGH

Revisar casos

Para revisar un caso, sigue estos pasos:

1. En la consola de Google Cloud , ve a Riesgo > Casos. Se abrirá la lista de casos.
2. Selecciona un caso para revisarlo. Se abrirá la vista del caso, en la que podrás encontrar un resumen de los hallazgos junto con toda la información sobre una alerta o la colección de alertas agrupadas en un caso seleccionado.
3. Consulta la pestaña Muro de casos para obtener detalles sobre la actividad realizada en el caso y las alertas incluidas.

4. Ve a la pestaña Alerta para obtener una descripción general de un hallazgo.

   La pestaña Alerta contiene la siguiente información:

   • Es la lista de eventos de alerta.
   • Son las guías adjuntas a la alerta.
   • Descripción general de un hallazgo
   • Es información sobre el activo afectado.
   • Opcional: Detalles del ticket.

Integración con sistemas de tickets

De forma predeterminada, no hay ningún sistema de emisión de tickets integrado en Security Command Center Enterprise.

Los casos que contienen descubrimientos de vulnerabilidades y parámetros de configuración incorrectos solo tienen tickets relacionados cuando integras y configuras el sistema de tickets. Si integras un sistema de emisión de tickets, Security Command Center Enterprise crea tickets basados en casos de postura y reenvía toda la información recopilada por las guías al sistema de emisión de tickets a través del trabajo de sincronización.

De forma predeterminada, los casos que contienen hallazgos de amenazas no tienen tickets relacionados, incluso cuando integras el sistema de emisión de tickets con tu instancia de Security Command Center Enterprise. Para usar tickets en tus casos de amenazas, personaliza las guías disponibles agregando una acción o crea guías nuevas.

Usuario asignado al caso en comparación con el usuario asignado al ticket

Cada hallazgo tiene un solo propietario de recurso en un momento determinado. El propietario del recurso se define con etiquetas Google Cloud , contactos esenciales o el valor del parámetro Fallback Owner configurado en el conector de SCC Enterprise - Urgent Posture Findings.

Si integras un sistema de tickets, el propietario del recurso es el asignatario del ticket de forma predeterminada. Para obtener más información sobre la asignación automática y manual de tickets, consulta Cómo asignar tickets según los casos de postura.

El asignado del ticket trabaja con los hallazgos para corregirlos.

El asignado del caso trabaja con los casos en Security Command Center Enterprise y no prioriza ni mitiga los hallazgos.

Por ejemplo, el asignado de un caso puede ser un administrador de amenazas o algún otro especialista en seguridad que colabora con un ingeniero (asignado del ticket) y verifica que se aborden todas las alertas de un caso. El asignado del caso nunca trabaja con sistemas de tickets.

¿Qué sigue?

Para obtener más información sobre los casos, consulta los siguientes recursos en la documentación de Google SecOps:

• Pestaña Descripción general de casos
• ¿Qué se muestra en la página Casos?
• Cómo realizar una acción manual en un caso
• Cómo simular casos
• Trabaja con bloques de la guía