ケースの概要

このドキュメントでは、Security Command Center の Enterprise ティアにおけるケースのコンセプトを対象として、それを扱う方法について説明します。

概要

Security Command Center では、ユースケースで検出結果の詳細を取得し、検出結果の警告にハンドブックを関連付け、自動脅威レスポンスを適用して、セキュリティ問題の修正を追跡します。

検出結果は、Security Command Center 検出サービスの 1 つによって生成されたセキュリティ問題の記録です。場合によっては、検出結果や他のセキュリティの問題がアラートとして表示され、追加情報を収集するハンドブックを使用して拡充されます。可能な場合、Security Command Center は新しいアラートを既存のケースに追加し、関連する他のアラートとともにグループ化します。

ケースの詳細については、Google SecOps ドキュメントのケースの概要をご覧ください。

検出結果のフロー

Security Command Center Enterprise では、検出結果のフローが 2 つあります。

Security Command Center の脅威検出は、セキュリティ情報およびイベント管理（SIEM）モジュールを介して行われます。内部 SIEM ルールがトリガーされると、検出結果がアラートに変換されます。

コネクタは、アラートを収集してセキュリティオーケストレーション、自動化、レスポンス（SOAR）モジュールに取り込みます。ここで、ハンドブックがケースにグループ化されたアラートを処理して拡充します。
Security Command Center のセキュリティ対策の検出結果（ソフトウェアの脆弱性、構成ミス、有害な組み合わせの検出結果）は、SOAR モジュールに直接送信されます。SCC Enterprise - Urgent Posture Findings Connector が、体制の検出結果をアラートとしてケースに取り込み、グループ化した後、ハンドブックはアラートを処理して拡充します。

Security Command Center Enterprise では、Security Command Center の検出結果はケースアラートになります。

ケースの調査

取り込み時に、検出結果はケースにグループ化され、セキュリティスペシャリストが優先度を判断できるようにします。

同じパラメータを持つ複数の検出結果は、1 つのケースにグループ化されます。検出結果のグループ化メカニズムの詳細については、ケースの検出結果をグループ化するをご覧ください。Jira や ServiceNow などのチケット発行システムを使用している場合は、ケースに基づいてチケットが作成されます。つまり、ケース内のすべての検出結果に対して 1 つのチケットが作成されます。

検出結果のステータス

検出結果のステータスは次のいずれかになります。

アクティブ: 検出結果は有効です。
[ミュート中]: 検出結果が有効で、ミュートされています。ケース内のすべての検出結果がミュートされると、ケースはクローズされます。ケースの検出結果をミュートする方法については、ケースの検出結果をミュートするをご覧ください。
クローズ済み: 検出結果は無効です。

検出結果のステータスは、[ケースの概要] タブの [検出結果の状態] ウィジェットと、アラートの [検出結果の概要] ウィジェットに表示されます。

チケット発行システムと統合する場合は、同期ジョブを有効にして、検出結果とそのステータスに関する情報を自動的に最新の状態に保ち、ケースデータを関連するチケットと同期します。ケースデータの同期の詳細については、ケースデータの同期を有効にするをご覧ください。

検出結果の重大度とケースの優先度

デフォルトでは、ケースに含まれるすべての検出結果には、同じ severity プロパティが含まれます。重大度の異なる検出結果を 1 つのケースに含めるようにグループ化設定を構成できます。

ケースの優先度は、検出結果の最も高い重大度に基づいています。検出結果の重大度が変化すると、Security Command Center はケースの優先度を自動的に更新し、ケース内のすべての検出結果の中で最も重大度の高いプロパティと一致させます。検出結果をミュートしても、ケースの優先度には影響しません。ミュートされた検出結果が最も重大な重大度を持つ場合、その検出結果がケースの優先度を定義します。

次の例では、検出結果 3 の重大度（ミュートされている）が重大に設定されているため、ケース 1 の優先度は重大です。

ケース 1: 優先度: CRITICAL
- 検出結果 1、アクティブ。重要度: HIGH
- 検出結果 2、アクティブ。重要度: HIGH
- 検出結果 3、ミュート。重要度: CRITICAL

次の例では、すべての検出結果の最も高い重大度が High であるため、ケース 2 の優先度は「高」になります。

ケース 2: 優先度: HIGH
- 検出結果 1、アクティブ。重要度: HIGH
- 検出結果 2、アクティブ。重要度: HIGH
- 検出結果 3、ミュート。重要度: HIGH

ケースを確認する

ケースを確認する手順は次のとおりです。

セキュリティ運用コンソールで、[ケース] に移動します。
確認するケースを選択します。[ケース] ビューが開き、検出結果の概要と、アラートまたは選択したケースにグループ化されたアラートのコレクションに関するすべての情報を確認できます。
[Case Wall] タブで、ケースで実行されたアクティビティと含まれているアラートの詳細を確認します。
[アラート] タブに移動して、検出結果の概要を確認します。

[アラート] タブには次の情報が表示されます。
- アラートイベントのリスト。
- アラートにアタッチされているハンドブック。
- 検出結果の概要。
- 影響を受けるアセットに関する情報。
- 省略可: チケットの詳細。

チケット発行システムとの統合

デフォルトでは、Security Command Center Enterprise と統合されているチケット発行システムはありません。

脆弱性と構成ミスの検出結果を含むケースには、チケット発行システムを統合して構成した場合にのみ、関連するチケットがあります。チケット発行システムを統合すると、Security Command Center Enterprise は体制ケースに基づいてチケットを作成し、同期ジョブを使用して、ハンドブックによって収集されたすべての情報をチケット発行システムに転送します。

デフォルトでは、チケット発行システムを Security Command Center Enterprise インスタンスと統合しても、脅威の検出結果を含むケースには関連するチケットがありません。脅威ケースにチケットを使用するには、アクションを追加するか、新しいハンドブックを作成して、利用可能なハンドブックをカスタマイズします。

ケースの割当先とチケットの割当先

どの検出結果にも常に 1 人のリソースオーナーがいます。リソースオーナーは、Google Cloud タグ、エッセンシャルコンタクト、または SCC Enterprise - 緊急 Posture Findings Connector で構成された Fallback Owner パラメータ値を使用して定義されます。

チケット発行システムを統合する場合、デフォルトではリソースオーナーがチケットの割り当て先になります。自動および手動のチケット割り当ての詳細については、ポスチャーケースに基づいてチケットを割り当てるをご覧ください。

チケットの割り当て先は、検出結果と協力して修正します。

ケースの割り当て先は、Security Command Center Enterprise のケースで作業し、検出結果の優先順位付けや軽減は行いません。

たとえば、ケースの割り当て先は、エンジニア（チケットの割り当て先）と連携して、ケース内のすべてのアラートが対処されていることを確認する脅威マネージャーや他のセキュリティスペシャリストにできます。ケースの割り当て先がチケット発行システムを使用することはありません。

次のステップ

ケースの詳細については、Google SecOps ドキュメントの次のリソースをご覧ください。