Panoramica delle richieste

Questo documento illustra i concetti relativi ai casi nel livello Enterprise di Security Command Center e spiega come utilizzarli.

Panoramica

In Security Command Center, utilizzi i casi per ottenere dettagli sui risultati, allegare playbook agli avvisi sui risultati, applicare risposte automatiche alle minacce e monitorare la correzione dei problemi di sicurezza.

Un risultato è un record di un problema di sicurezza generato da uno dei servizi di rilevamento. In un caso, i risultati e altri problemi di sicurezza vengono presentati come avvisi, che vengono arricchiti utilizzando un playbook che raccoglie ulteriori informazioni. Quando possibile, Security Command Center aggiunge nuovi avvisi ai casi esistenti, dove vengono raggruppati con altri avvisi correlati. Per maggiori dettagli sui casi, consulta la panoramica dei casi nella documentazione di Google SecOps.

Flusso dei risultati

In Security Command Center Enterprise, esistono due flussi per i risultati:

1. I risultati relativi alle minacce di Security Command Center vengono elaborati dal modulo di gestione degli eventi e delle informazioni di sicurezza (SIEM). Dopo l'attivazione delle regole SIEM interne, i risultati si trasformano in avvisi.

   Il connettore raccoglie gli avvisi e li importa nel modulo SOAR (Security Orchestration, Automation and Response), dove i playbook elaborano e arricchiscono gli avvisi raggruppati in casi.

2. I risultati relativi alle combinazioni tossiche e quelli relativi a vulnerabilità ed errori di configurazione correlati vengono inviati direttamente al modulo SOAR. Dopo che il connettore SCC Enterprise - Urgent Posture Findings acquisisce e raggruppa i risultati come avvisi in casi, i playbook elaborano e arricchiscono gli avvisi.

In Security Command Center Enterprise, il risultato di Security Command Center diventa un avviso di caso.

Esaminare le richieste

Durante l'importazione, i risultati vengono raggruppati in casi per consentire agli specialisti della sicurezza di sapere cosa valutare.

Più risultati con gli stessi parametri vengono raggruppati in un unico caso. Per saperne di più sul meccanismo di raggruppamento dei risultati, consulta Raggruppare i risultati nei casi. Se utilizzi un sistema di gestione dei ticket, come Jira o ServiceNow, viene creato un ticket in base a un caso, il che significa che esiste un ticket per tutti i risultati di un caso.

Stato di ricerca

Un risultato può avere uno dei seguenti stati:

• Attivo: il risultato è attivo.

• Disattivato: il risultato è attivo e disattivato. Se tutti i risultati in un caso sono disattivati, il caso viene chiuso. Per saperne di più sulla disattivazione dei risultati nei casi, vedi Disattivare i risultati nei casi.

• Chiuso: il risultato non è attivo.

Lo stato del risultato viene visualizzato nel widget Stato del risultato della scheda Panoramica del caso e nel widget Riepilogo del risultato di un avviso.

Se esegui l'integrazione con i sistemi di gestione dei ticket, attiva i job di sincronizzazione per mantenere aggiornate automaticamente le informazioni sui risultati e sui relativi stati e sincronizzare i dati dei casi con i ticket pertinenti. Per saperne di più sulla sincronizzazione dei dati dei casi, consulta Attivare la sincronizzazione dei dati dei casi.

Gravità del risultato rispetto alla priorità della richiesta

Per impostazione predefinita, tutti i risultati contenuti in un caso hanno la stessa severity proprietà. Puoi configurare le impostazioni di raggruppamento per includere in un unico caso i risultati con gravità diverse.

La priorità della richiesta si basa sulla gravità più elevata del risultato. Quando la gravità del risultato cambia, Security Command Center aggiorna automaticamente la priorità della richiesta in modo che corrisponda alla proprietà di gravità più alta tra tutti i risultati di una richiesta. La disattivazione dei risultati non influisce sulla priorità della richiesta. Se un risultato disattivato ha la gravità più alta, definisce la priorità della richiesta.

Nell'esempio seguente, la priorità per la richiesta 1 è Critica perché la gravità del risultato 3 (anche se disattivato) è impostata su Critica:

• Richiesta 1: priorità: CRITICAL
  • Risultato 1, attivo. Gravità: HIGH
  • Risultato 2, attivo. Gravità: HIGH
  • Risultato 3, disattivato. Gravità: CRITICAL

Nell'esempio successivo, la priorità della richiesta 2 è Alta perché la gravità più alta per tutti i risultati è Alta:

• Richiesta 2: priorità: HIGH
  • Risultato 1, attivo. Gravità: HIGH
  • Risultato 2, attivo. Gravità: HIGH
  • Risultato 3, disattivato. Gravità: HIGH

Esaminare le richieste

Per esaminare una richiesta, procedi nel seguente modo:

1. Nella console Google Cloud , vai a Rischio > Richieste. Si apre l'elenco delle richieste.
2. Seleziona una richiesta da esaminare. Si apre la visualizzazione caso, in cui puoi trovare un riepilogo dei risultati insieme a tutte le informazioni su un avviso o sulla raccolta di avvisi raggruppati in un caso selezionato.
3. Consulta la scheda Bacheca della richiesta per informazioni dettagliate sull'attività svolta nella richiesta e sugli avvisi inclusi.

4. Vai alla scheda Avviso per visualizzare una panoramica di un risultato.

   La scheda Avviso contiene le seguenti informazioni:

   • Elenco di eventi di avviso.
   • Playbook collegati all'avviso.
   • Una panoramica dei risultati.
   • Informazioni sull'asset interessato.
   • (Facoltativo) Dettagli del ticket.

Integrare i sistemi di gestione dei ticket

Per impostazione predefinita, nessun sistema di gestione dei ticket è integrato con Security Command Center Enterprise.

I casi contenenti risultati su vulnerabilità ed errori di configurazione hanno ticket correlati solo quando integri e configuri il sistema di gestione dei ticket. Se integri un sistema di gestione dei ticket, Security Command Center Enterprise crea i ticket in base ai casi di postura e inoltra tutte le informazioni raccolte dai playbook al sistema di gestione dei ticket utilizzando il job di sincronizzazione.

Per impostazione predefinita, i casi contenenti risultati relativi alle minacce non hanno ticket correlati anche se integri il sistema di gestione dei ticket con la tua istanza di Security Command Center Enterprise. Per utilizzare i ticket per i casi di minaccia, personalizza i playbook disponibili aggiungendo un'azione o crea nuovi playbook.

Assegnatario della richiesta rispetto all'assegnatario del ticket

Ogni risultato ha un unico proprietario della risorsa in un determinato momento. Il proprietario della risorsa è definito utilizzando tag, contatti essenziali o il valore parametro Proprietario di riserva configurato nel connettore SCC Enterprise - Urgent Posture Findings. Google Cloud

Se integri un sistema di gestione dei ticket, il proprietario della risorsa è l'assegnatario del ticket per impostazione predefinita. Per scoprire di più sull'assegnazione automatica e manuale dei ticket, consulta Assegnare i ticket in base ai casi di postura.

L'assegnatario del ticket lavora con i risultati per risolverli.

L'assegnatario del caso lavora con i casi in Security Command Center Enterprise e non esegue la valutazione o la mitigazione dei risultati.

Ad esempio, un assegnatario di una richiesta può essere un Threat Manager o un altro esperto di sicurezza che collabora con un tecnico (assegnatario del ticket) e verifica che tutti gli avvisi in una richiesta vengano gestiti. L'assegnatario della richiesta non lavora mai con i sistemi di gestione dei ticket.

Passaggi successivi

Per saperne di più sui casi, consulta le seguenti risorse nella documentazione di Google SecOps:

• Scheda Panoramica delle richieste
• Che cosa contiene la pagina Richieste?
• Come eseguire un'azione manuale su una richiesta
• Come simulare i casi
• Utilizzare i blocchi della guida pratica