Cette page a été traduite par l'API Cloud Translation.

Présentation des demandes

Ce document présente les concepts des demandes dans le niveau Enterprise de Security Command Center et explique comment les utiliser.

Présentation

Dans Security Command Center, utilisez des cas d'utilisation pour obtenir des informations sur les résultats, joindre des playbooks aux alertes de résultats, appliquer des réponses automatiques aux menaces et suivre la résolution des problèmes de sécurité.

Un résultat est un enregistrement d'un problème de sécurité généré par l'un des services de détection de Security Command Center. Dans un cas, les résultats et les autres problèmes de sécurité sont présentés sous forme d'alertes, qui sont enrichies à l'aide d'un playbook qui collecte des informations supplémentaires. Dans la mesure du possible, Security Command Center ajoute de nouvelles alertes aux demandes existantes, où elles sont regroupées avec d'autres alertes associées.

Pour en savoir plus sur les demandes, consultez la section Présentation de la demande dans la documentation Google SecOps.

Parcours des résultats

Dans Security Command Center Enterprise, il existe deux flux pour les résultats:

Les résultats de menace de Security Command Center passent par le module de gestion des informations et des événements de sécurité (SIEM). Une fois les règles internes du SIEM déclenchées, les résultats sont transformés en alertes.

Le connecteur collecte les alertes et les ingère dans le module d'orchestration, d'automatisation et de réponse (SOAR, Security Orchestration, Automation and Response) où les playbooks traitent et enrichissent les alertes regroupées dans des demandes.
Les résultats de la posture de Security Command Center, qui consistent en des résultats sur les failles logicielles, les erreurs de configuration et les combinaisons toxiques, sont directement envoyés au module SOAR. Une fois que le connecteur SCCE Enterprise - Urgent Posture Findings a ingéré et regroupé les résultats de la posture en tant qu'alertes dans des demandes, les playbooks traitent et enrichissent les alertes.

Dans Security Command Center Enterprise, le résultat de Security Command Center devient une alerte de demande.

Examiner les demandes

Lors de l'ingestion, les résultats sont regroupés dans des cas afin d'indiquer aux spécialistes de la sécurité ce qu'ils doivent trier.

Plusieurs résultats avec les mêmes paramètres sont regroupés dans une même demande. Pour en savoir plus sur le mécanisme de regroupement des résultats, consultez la section Regrouper les résultats dans les demandes. Si vous utilisez un système de gestion des tickets, tel que Jira ou ServiceNow, un ticket est créé en fonction d'une demande, ce qui signifie qu'il existe un ticket pour toutes les conclusions d'une demande.

État de la recherche

Une non-conformité peut avoir l'un des états suivants:

Actif: le résultat est actif.
Masqué: le résultat est actif et masqué. Si toutes les conclusions d'un cas sont masquées, le cas est clôturé. Pour en savoir plus sur l'application des règles Ignorer aux résultats d'une demande, consultez la section Ignorer les résultats d'une demande.
Fermé: le résultat est inactif.

L'état de la recherche s'affiche dans le widget État de la recherche de l'onglet Vue d'ensemble de la demande et dans le widget Récapitulatif de la recherche d'une alerte.

Si vous intégrez des systèmes de gestion des tickets, activez les tâches de synchronisation pour mettre automatiquement à jour les informations sur les résultats et leur état, et synchroniser les données des demandes avec les demandes pertinentes. Pour en savoir plus sur la synchronisation des données de demande, consultez Activer la synchronisation des données de demande.

Gravité de la recherche par rapport à la priorité de la demande

Par défaut, tous les résultats d'un cas ont la même propriété severity. Vous pouvez configurer les paramètres de regroupement pour inclure des résultats de différentes gravités dans une même demande.

La priorité du dossier est basée sur la gravité la plus élevée des résultats. Lorsque la gravité de l'anomalie change, Security Command Center met automatiquement à jour la priorité de l'incident pour qu'elle corresponde à la propriété de gravité la plus élevée parmi toutes les anomalies d'un incident. Le masquage des résultats n'a aucun impact sur la priorité du dossier. Si un résultat masqué présente la gravité la plus élevée, il définit la priorité du dossier.

Dans l'exemple suivant, la priorité de l'incident 1 est critique, car la gravité de la non-conformité 3 (bien que masquée) est définie sur critique:

Cas 1: Priorité: CRITICAL
- Résultat 1, actif. Gravité : HIGH
- Résultat 2, actif. Gravité : HIGH
- Résultat 3, ignoré. Gravité : CRITICAL

Dans l'exemple suivant, la priorité du cas 2 est élevée, car la gravité la plus élevée pour toutes les observations est élevée:

Demande 2: Priorité: HIGH
- Résultat 1, actif. Gravité : HIGH
- Résultat 2, actif. Gravité : HIGH
- Résultat 3, ignoré. Gravité : HIGH

Examiner les demandes

Pour examiner une demande, procédez comme suit:

Dans la console Security Operations, accédez à Demandes.
Sélectionnez une demande à examiner. La vue d'une demande s'ouvre. Vous y trouverez un résumé des résultats, ainsi que toutes les informations sur une alerte ou la collection d'alertes regroupées dans une demande sélectionnée.
Consultez l'onglet Case Wall (Mur de la demande) pour en savoir plus sur l'activité effectuée sur la demande et les alertes incluses.
Accédez à l'onglet Alerte pour obtenir un aperçu d'un résultat.

L'onglet Alerte contient les informations suivantes:
- Liste des événements d'alerte.
- Playbooks associés à l'alerte.
- Présentation des résultats
- Informations sur l'élément concerné.
- Facultatif: détails de la demande

Intégrer des systèmes de billetterie

Par défaut, aucun système de gestion des demandes d'assistance n'est intégré à Security Command Center Enterprise.

Les demandes contenant des résultats de failles et d'erreurs de configuration ne sont associées à des demandes associées que lorsque vous intégrez et configurez le système de gestion des demandes. Si vous intégrez un système de gestion des tickets, Security Command Center Enterprise crée des tickets en fonction des cas de posture et transfère toutes les informations collectées par les playbooks au système de gestion des tickets à l'aide de la tâche de synchronisation.

Par défaut, les demandes contenant des résultats de menace n'ont pas de demandes associées, même lorsque vous intégrez le système de gestion des demandes à votre instance Security Command Center Enterprise. Pour utiliser des demandes pour vos cas de menace, personnalisez les playbooks disponibles en ajoutant une action ou en créant des playbooks.

Personne responsable de la demande par rapport à la personne responsable de la demande

Chaque résultat a un seul propriétaire de ressource à un moment donné. Le propriétaire de la ressource est défini à l'aide de balises Google Cloud, de contacts essentiels ou de la valeur du paramètre Propriétaire de remplacement configuré dans le connecteur SCC Enterprise – Connecteur de résultats de posture urgents.

Si vous intégrez un système de gestion des demandes, le propriétaire de la ressource est l'utilisateur auquel la demande est attribuée par défaut. Pour en savoir plus sur l'attribution automatique et manuelle des demandes, consultez la section Attribuer des demandes en fonction des cas de conformité.

Le responsable de la demande s'occupe de résoudre les problèmes identifiés.

L'utilisateur responsable de la demande travaille sur les demandes dans Security Command Center Enterprise et ne trie ni n'atténue les résultats.

Par exemple, un gestionnaire de menaces ou un autre spécialiste de la sécurité peut être affecté à une demande. Il collabore avec un ingénieur (affecté à la demande) et vérifie que toutes les alertes d'une demande sont traitées. L'agent responsable de la demande ne fonctionne jamais avec les systèmes de gestion des demandes.

Étape suivante

Pour en savoir plus sur les cas, consultez les ressources suivantes dans la documentation Google SecOps: