Présentation des demandes

Ce document présente les concepts liés aux requêtes dans le niveau Enterprise de Security Command Center et explique comment les utiliser.

Présentation

Dans Security Command Center, vous utilisez des cas pour obtenir des informations sur les résultats, joindre des playbooks aux alertes de résultats, appliquer des réponses automatiques aux menaces et suivre la résolution des problèmes de sécurité.

Un résultat est un enregistrement d'un problème de sécurité généré par l'un des services de détection. Dans un cas, les résultats et autres problèmes de sécurité sont présentés sous forme d'alertes, qui sont enrichies à l'aide d'un playbook qui collecte des informations supplémentaires. Dans la mesure du possible, Security Command Center ajoute de nouvelles alertes aux demandes existantes, où elles sont regroupées avec d'autres alertes associées. Pour en savoir plus sur les cas, consultez Présentation des cas dans la documentation Google SecOps.

Parcours des résultats

Dans Security Command Center Enterprise, il existe deux flux pour les résultats :

1. Les résultats de détection des menaces Security Command Center passent par le module SIEM (Security Information and Event Management). Une fois les règles SIEM internes déclenchées, les résultats se transforment en alertes.

   Le connecteur collecte les alertes et les ingère dans le module SOAR (Security Orchestration, Automation and Response), où les playbooks traitent et enrichissent les alertes regroupées dans des demandes.

2. Les résultats de combinaisons toxiques, ainsi que les résultats de failles et d'erreurs de configuration associés, sont directement envoyés au module SOAR. Une fois que le connecteur SCC Enterprise – Urgent Posture Findings ingère et regroupe les résultats sous forme d'alertes dans des demandes, les playbooks traitent et enrichissent les alertes.

Dans Security Command Center Enterprise, le résultat Security Command Center devient une alerte d'incident.

Examiner les demandes

Lors de l'ingestion, les résultats sont regroupés dans des cas pour permettre aux spécialistes de la sécurité de savoir ce qu'ils doivent trier.

Plusieurs résultats avec les mêmes paramètres sont regroupés dans une même fiche. Pour en savoir plus sur le mécanisme de regroupement des résultats, consultez Regrouper les résultats dans des cas. Si vous utilisez un système de gestion des demandes, tel que Jira ou ServiceNow, une demande est créée en fonction d'un cas, ce qui signifie qu'il existe une demande pour tous les résultats d'un cas.

État de la détection

Un résultat peut avoir l'un des états suivants :

• Actif : le résultat est actif.

• Masqué : le résultat est actif et masqué. Si tous les résultats d'une demande sont mis en sourdine, la demande est clôturée. Pour en savoir plus sur l'application des règles Ignorer aux résultats dans les cas, consultez Ignorer les résultats dans les cas.

• Fermé : le résultat est inactif.

L'état du résultat est affiché dans le widget État du résultat de l'onglet Présentation du cas et dans le widget Récapitulatif des résultats d'une alerte.

Si vous intégrez des systèmes de gestion des tickets, activez les jobs de synchronisation pour que les informations sur les résultats et leur état soient automatiquement à jour, et synchronisez les données des demandes avec les tickets correspondants. Pour en savoir plus sur la synchronisation des données d'assistance, consultez Activer la synchronisation des données d'assistance.

Niveau de gravité des résultats et priorité des demandes

Par défaut, tous les résultats d'une demande possèdent la même severity propriété. Vous pouvez configurer les paramètres de regroupement pour inclure les résultats de différentes gravités dans un même cas.

La priorité d'une demande est basée sur le niveau de gravité le plus élevé des résultats. Lorsque la gravité d'un résultat change, Security Command Center met automatiquement à jour la priorité de la demande pour qu'elle corresponde à la propriété de gravité la plus élevée parmi tous les résultats d'une demande. La désactivation des résultats n'a aucun impact sur la priorité du cas. Si un résultat désactivé présente la gravité la plus élevée, il définit la priorité du cas.

Dans l'exemple suivant, la priorité de la demande 1 est définie sur "Critique" car le niveau de gravité du résultat 3 (bien que masqué) est défini sur "Critique" :

• Demande 1 : Priorité : CRITICAL
  • Résultat 1, actif. Gravité : HIGH
  • Résultat 2, actif. Gravité : HIGH
  • Résultat 3, ignoré. Gravité : CRITICAL

Dans l'exemple suivant, la priorité du cas 2 est "Élevée" car la gravité la plus élevée pour tous les résultats est "Élevée" :

• Demande 2 : Priorité : HIGH
  • Résultat 1, actif. Gravité : HIGH
  • Résultat 2, actif. Gravité : HIGH
  • Résultat 3, ignoré. Gravité : HIGH

Examiner les cas

Pour examiner une demande, procédez comme suit :

1. Dans la console Google Cloud , accédez à Risque > Demandes. La liste des demandes s'ouvre.
2. Sélectionnez une demande à examiner. La vue Détails de la demande s'ouvre. Vous y trouverez un récapitulatif des conclusions, ainsi que toutes les informations sur une alerte ou sur l'ensemble des alertes regroupées dans une demande sélectionnée.
3. Consultez l'onglet Mur de la fiche pour en savoir plus sur l'activité effectuée sur la fiche et les alertes incluses.

4. Accédez à l'onglet Alerte pour obtenir un aperçu d'un résultat.

   L'onglet Alerte contient les informations suivantes :

   • Liste des événements d'alerte.
   • Playbooks associés à l'alerte.
   • Présentation des résultats.
   • Informations sur le composant concerné.
   • Facultatif : détails de la demande.

Intégrer des systèmes de suivi des demandes

Par défaut, aucun système de suivi des demandes n'est intégré à Security Command Center Enterprise.

Les demandes contenant des résultats de failles et d'erreurs de configuration ne sont associées à des tickets que lorsque vous intégrez et configurez le système de suivi des demandes. Si vous intégrez un système de suivi des demandes, Security Command Center Enterprise crée des demandes basées sur les cas de posture et transmet toutes les informations collectées par les playbooks au système de suivi des demandes à l'aide du job de synchronisation.

Par défaut, les cas contenant des résultats de détection des menaces n'ont aucun ticket associé, même si vous intégrez le système de suivi des demandes à votre instance Security Command Center Enterprise. Pour utiliser des tickets pour vos cas de menace, personnalisez les playbooks disponibles en ajoutant une action ou créez-en d'autres.

Différence entre l'attributaire de la demande et l'attributaire du ticket

Chaque résultat appartient à un seul propriétaire de ressource à un moment donné. Le propriétaire de la ressource est défini à l'aide de tags Google Cloud , de contacts essentiels ou de la valeur du paramètre Propriétaire de secours configuré dans le connecteur SCC Enterprise – Urgent Posture Findings.

Si vous intégrez un système de gestion des demandes, le propriétaire de la ressource est l'attributaire de la demande par défaut. Pour en savoir plus sur l'attribution automatique et manuelle des demandes, consultez Attribuer des demandes en fonction des cas de posture.

L'attributé du ticket travaille sur les résultats pour les corriger.

L'attributé du cas travaille sur les cas dans Security Command Center Enterprise, mais ne trie ni n'atténue les résultats.

Par exemple, un responsable de l'attribution d'une demande peut être un responsable des menaces ou un autre spécialiste de la sécurité qui collabore avec un ingénieur (responsable de l'attribution du ticket) et vérifie que toutes les alertes d'une demande sont traitées. L'agent chargé de la demande ne travaille jamais avec des systèmes de gestion des demandes.

Étapes suivantes

Pour en savoir plus sur les cas, consultez les ressources suivantes dans la documentation Google SecOps :

• Onglet "Aperçu des demandes"
• Que trouve-t-on sur la page "Demandes" ?
• Effectuer une action manuelle sur une demande
• Simuler des cas
• Utiliser les blocs de playbook