Ringkasan kasus

Dokumen ini membahas konsep kasus di tingkat Enterprise Security Command Center dan menjelaskan cara menanganinya.

Ringkasan

Di Security Command Center, Anda menggunakan kasus penggunaan untuk mendapatkan detail tentang temuan, melampirkan playbook ke pemberitahuan temuan, menerapkan respons ancaman otomatis, dan melacak perbaikan masalah keamanan.

Temuan adalah catatan masalah keamanan yang dihasilkan oleh salah satu layanan deteksi. Dalam kasus ini, temuan dan masalah keamanan lainnya ditampilkan sebagai pemberitahuan, yang diperkaya menggunakan playbook yang mengumpulkan informasi tambahan. Jika memungkinkan, Security Command Center menambahkan notifikasi baru ke kasus yang ada, tempat notifikasi tersebut dikelompokkan dengan notifikasi terkait lainnya. Untuk mengetahui detail selengkapnya tentang kasus, lihat Ringkasan kasus di dokumentasi Google SecOps.

Alur temuan

Di Security Command Center Enterprise, ada dua alur untuk temuan:

1. Temuan ancaman Security Command Center diproses melalui modul informasi keamanan dan pengelolaan peristiwa (SIEM). Setelah memicu aturan SIEM internal, temuan akan berubah menjadi pemberitahuan.

   Konektor mengumpulkan pemberitahuan dan memasukkannya ke dalam modul orkestrasi, otomatisasi, dan respons (SOAR) keamanan tempat playbook memproses dan memperkaya pemberitahuan yang dikelompokkan ke dalam kasus.

2. Temuan kombinasi toksik dan temuan kerentanan serta kesalahan konfigurasi terkait langsung masuk ke modul SOAR. Setelah SCC Enterprise - Urgent Posture Findings Connector menyerap dan mengelompokkan temuan sebagai pemberitahuan ke dalam kasus, playbook akan memproses dan memperkaya pemberitahuan.

Di Security Command Center Enterprise, temuan Security Command Center menjadi pemberitahuan kasus.

Menyelidiki kasus

Selama penyerapan, temuan dikelompokkan ke dalam kasus agar spesialis keamanan mengetahui apa yang harus ditriase.

Beberapa temuan dengan parameter yang sama dikelompokkan ke dalam satu kasus. Untuk mempelajari lebih lanjut mekanisme pengelompokan temuan, lihat Mengelompokkan temuan dalam kasus. Jika Anda menggunakan sistem pengelolaan tiket, seperti Jira atau ServiceNow, tiket dibuat berdasarkan kasus, yang berarti ada satu tiket untuk semua temuan dalam satu kasus.

Menemukan status

Temuan dapat memiliki salah satu status berikut:

• Aktif: Temuan aktif.

• Dinonaktifkan: Temuan aktif dan dinonaktifkan. Jika semua temuan dalam kasus dibisukan, kasus akan ditutup. Untuk mempelajari lebih lanjut cara membisukan temuan dalam kasus, lihat artikel Membisukan temuan dalam kasus.

• Ditutup: Temuan tidak aktif.

Status temuan ditampilkan di widget Status temuan pada tab Ringkasan kasus dan widget Ringkasan Temuan pada pemberitahuan.

Jika Anda terintegrasi dengan sistem tiket, aktifkan tugas sinkronisasi agar informasi tentang temuan dan statusnya selalu terbaru secara otomatis dan sinkronkan data kasus dengan tiket yang relevan. Untuk mempelajari lebih lanjut sinkronisasi data kasus, lihat Mengaktifkan sinkronisasi data kasus.

Tingkat keparahan temuan versus prioritas kasus

Secara default, semua temuan yang terdapat dalam kasus memiliki severity properti yang sama. Anda dapat mengonfigurasi setelan pengelompokan untuk menyertakan temuan dengan tingkat keparahan yang berbeda ke dalam satu kasus.

Prioritas kasus didasarkan pada tingkat keparahan temuan tertinggi. Saat tingkat keparahan temuan berubah, Security Command Center akan otomatis memperbarui prioritas kasus agar sesuai dengan properti tingkat keparahan tertinggi di antara semua temuan dalam kasus. Membisukan temuan tidak berdampak pada prioritas kasus—jika temuan yang dibisukan memiliki tingkat keparahan tertinggi, temuan tersebut menentukan prioritas kasus.

Dalam contoh berikut, prioritas Kasus 1 adalah Kritis karena tingkat keparahan Temuan 3 (meskipun disenyapkan) ditetapkan ke Kritis:

• Kasus 1: Prioritas: CRITICAL
  • Temuan 1, aktif. Tingkat keseriusan: HIGH
  • Temuan 2, aktif. Tingkat keseriusan: HIGH
  • Temuan 3, dinonaktifkan. Tingkat keseriusan: CRITICAL

Dalam contoh berikutnya, prioritas Kasus 2 adalah Tinggi karena tingkat keparahan tertinggi untuk semua temuan adalah Tinggi:

• Kasus 2: Prioritas: HIGH
  • Temuan 1, aktif. Tingkat keseriusan: HIGH
  • Temuan 2, aktif. Tingkat keseriusan: HIGH
  • Temuan 3, dinonaktifkan. Tingkat keseriusan: HIGH

Meninjau kasus

Untuk meninjau kasus, lakukan langkah-langkah berikut:

1. Di konsol Google Cloud , buka Risk > Cases. Daftar kasus akan terbuka.
2. Pilih kasus yang akan ditinjau. Tampilan Kasus akan terbuka, tempat Anda dapat menemukan ringkasan temuan beserta semua informasi tentang pemberitahuan atau kumpulan pemberitahuan yang dikelompokkan ke dalam kasus yang dipilih.
3. Periksa tab Case Wall untuk mengetahui detail tentang aktivitas yang dilakukan pada kasus dan pemberitahuan yang disertakan.

4. Buka tab Peringatan untuk mendapatkan ringkasan temuan.

   Tab Pemberitahuan berisi informasi berikut:

   • Daftar peristiwa pemberitahuan.
   • Playbook yang dilampirkan ke pemberitahuan.
   • Ringkasan temuan.
   • Informasi tentang aset yang terpengaruh.
   • Opsional: detail tiket.

Terintegrasi dengan sistem penjualan tiket

Secara default, tidak ada sistem penyediaan tiket yang terintegrasi dengan Security Command Center Enterprise.

Kasus yang berisi temuan kerentanan dan kesalahan konfigurasi hanya memiliki tiket terkait jika Anda mengintegrasikan dan mengonfigurasi sistem tiket. Jika Anda mengintegrasikan sistem penyediaan tiket, Security Command Center Enterprise akan membuat tiket berdasarkan kasus postur dan meneruskan semua informasi yang dikumpulkan oleh playbook ke sistem penyediaan tiket menggunakan tugas sinkronisasi.

Secara default, kasus yang berisi temuan ancaman tidak memiliki tiket terkait meskipun Anda mengintegrasikan sistem penyediaan tiket dengan instance Security Command Center Enterprise. Untuk menggunakan tiket untuk kasus ancaman, sesuaikan playbook yang tersedia dengan menambahkan tindakan atau buat playbook baru.

Penerima tugas kasus versus penerima tugas tiket

Setiap temuan memiliki satu pemilik resource pada waktu tertentu. Pemilik resource ditentukan menggunakan tag Google Cloud , Kontak Penting, atau nilai parameter Pemilik Pengganti yang dikonfigurasi di SCC Enterprise - Urgent Posture Findings Connector.

Jika Anda mengintegrasikan sistem tiket, pemilik resource adalah penerima tugas tiket secara default. Untuk mempelajari lebih lanjut penetapan tiket otomatis dan manual, lihat Menetapkan tiket berdasarkan kasus postur.

Penerima tugas tiket bekerja dengan temuan untuk memperbaikinya.

Penerima tugas kasus bekerja dengan kasus di Security Command Center Enterprise dan tidak melakukan triase atau mitigasi temuan.

Misalnya, penerima tugas kasus dapat berupa Pengelola Ancaman atau Spesialis Keamanan lainnya yang berkolaborasi dengan engineer (penerima tugas tiket) dan memverifikasi bahwa semua pemberitahuan dalam kasus telah ditangani. Penerima tugas kasus tidak pernah menggunakan sistem tiket.

Langkah berikutnya

Untuk mempelajari lebih lanjut kasus, lihat referensi berikut dalam dokumentasi Google SecOps:

• Tab ringkasan kasus
• Apa yang ada di halaman Kasus?
• Cara melakukan tindakan manual pada kasus
• Cara menyimulasikan kasus
• Bekerja dengan blok playbook