Visão geral dos casos

Este documento aborda os conceitos de casos na versão Enterprise do Security Command Center e explica como trabalhar com eles.

Visão geral

No Security Command Center, você usa casos para obter detalhes sobre descobertas, anexar playbooks a alertas de descoberta, aplicar respostas automáticas a ameaças e acompanhar a correção de problemas de segurança.

Uma descoberta é um registro de um problema de segurança gerado por um dos serviços de detecção. Em um caso, as descobertas e outros problemas de segurança são apresentados como alertas, que são enriquecidos usando um playbook que coleta mais informações. Sempre que possível, o Security Command Center adiciona novos alertas aos casos atuais, em que eles são agrupados com outros alertas relacionados. Para mais detalhes sobre casos, consulte Visão geral dos casos na documentação do Google SecOps.

Fluxo de descobertas

No Security Command Center Enterprise, há dois fluxos para descobertas:

1. As descobertas de ameaças do Security Command Center passam pelo módulo de gerenciamento de eventos e informações de segurança (SIEM). Depois de acionar as regras internas do SIEM, as descobertas se transformam em alertas.

   O conector coleta os alertas e os ingere no módulo de orquestração, automação e resposta de segurança (SOAR), em que os playbooks processam e enriquecem os alertas agrupados em casos.

2. As descobertas de combinação tóxica e as vulnerabilidades e configurações incorretas relacionadas vão diretamente para o módulo de SOAR. Depois que o SCC Enterprise - conector de descobertas de postura urgente ingere e agrupa as descobertas como alertas em casos, os playbooks processam e enriquecem os alertas.

No Security Command Center Enterprise, a descoberta do Security Command Center se torna um alerta de caso.

Investigar casos

Durante a ingestão, as descobertas são agrupadas em casos para que os especialistas em segurança saibam o que priorizar.

Várias descobertas com os mesmos parâmetros são agrupadas em um caso. Para saber mais sobre o mecanismo de agrupamento de descobertas, consulte Agrupar descobertas em casos. Se você estiver usando um sistema de tíquetes, como Jira ou ServiceNow, um tíquete será criado com base em um caso, ou seja, haverá um tíquete para todas as descobertas em um caso.

Status da descoberta

Uma descoberta pode ter um dos seguintes status:

• Ativo: a descoberta está ativa.

• Silenciada: a descoberta está ativa e silenciada. Se todas as descobertas em um caso forem silenciadas, o caso será fechado. Para saber mais sobre como ignorar descobertas em casos, consulte Ignorar descobertas em casos.

• Fechada: a descoberta está inativa.

O status da descoberta é exibido no widget Estado da descoberta da guia Visão geral do caso e no widget Resumo da descoberta de um alerta.

Se você integrar com sistemas de emissão de tíquetes, ative os jobs de sincronização para manter as informações sobre descobertas e seus status atualizados automaticamente e sincronizar os dados de casos com tíquetes relevantes. Para saber mais sobre a sincronização de dados de casos, consulte Ativar a sincronização de dados de casos.

Gravidade da descoberta x prioridade do caso

Por padrão, todas as descobertas contidas em um caso têm a mesma propriedade severity. É possível configurar as configurações de agrupamento para incluir descobertas com gravidades diferentes em um caso.

A prioridade do caso é baseada na maior gravidade da descoberta. Quando a gravidade da descoberta muda, o Security Command Center atualiza automaticamente a prioridade do caso para corresponder à propriedade de maior gravidade entre todas as descobertas em um caso. Silenciar descobertas não afeta a prioridade do caso. Se uma descoberta silenciada tiver a maior gravidade, ela definirá a prioridade do caso.

No exemplo a seguir, a prioridade do caso 1 é "Crítica" porque a gravidade da descoberta 3 (embora silenciada) está definida como "Crítica":

• Caso 1: prioridade: CRITICAL
  • Descoberta 1, ativa. Gravidade: HIGH
  • Descoberta 2, ativa. Gravidade: HIGH
  • Descoberta 3, silenciada. Gravidade: CRITICAL

No próximo exemplo, a prioridade do caso 2 é "Alta" porque a gravidade mais alta de todas as descobertas é "Alta":

• Caso 2: Prioridade: HIGH
  • Descoberta 1, ativa. Gravidade: HIGH
  • Descoberta 2, ativa. Gravidade: HIGH
  • Descoberta 3, silenciada. Gravidade: HIGH

Analisar casos

Para analisar um caso, siga estas etapas:

1. No console do Google Cloud , acesse Risco > Casos. A lista de casos é aberta.
2. Selecione um caso para analisar. A Visualização de caso é aberta, onde você encontra um resumo da descoberta e todas as informações sobre um alerta ou o conjunto de alertas agrupados em um caso selecionado.
3. Confira a guia Mural do caso para saber detalhes sobre a atividade realizada no caso e os alertas incluídos.

4. Acesse a guia Alerta para ter uma visão geral de uma descoberta.

   A guia Alerta contém as seguintes informações:

   • Lista de eventos de alerta.
   • Playbooks anexados ao alerta.
   • Uma visão geral das descobertas.
   • Informações sobre o recurso afetado.
   • Opcional: detalhes do tíquete.

Integrar com sistemas de emissão de tíquetes

Por padrão, nenhum sistema de tíquetes é integrado ao Security Command Center Enterprise.

Os casos que contêm descobertas de vulnerabilidade e configuração incorreta só têm tíquetes relacionados quando você integra e configura o sistema de tíquetes. Se você integrar um sistema de tíquetes, o Security Command Center Enterprise vai criar tíquetes com base em casos de postura e encaminhar todas as informações coletadas pelos playbooks para o sistema de tíquetes usando o job de sincronização.

Por padrão, os casos que contêm descobertas de ameaças não têm tíquetes relacionados, mesmo quando você integra o sistema de tíquetes à instância do Security Command Center Enterprise. Para usar tickets nos casos de ameaça, personalize os playbooks disponíveis adicionando uma ação ou crie novos playbooks.

Responsável pelo caso x responsável pelo tíquete

Cada descoberta tem um único proprietário de recurso a qualquer momento. O proprietário do recurso é definido usando tags Google Cloud , contatos essenciais ou o valor do parâmetro Proprietário substituto configurado no Conector de descobertas de posturas urgentes do SCC Enterprise.

Se você integrar um sistema de tíquetes, o proprietário do recurso será o destinatário do tíquete por padrão. Para saber mais sobre a atribuição automática e manual de tíquetes, consulte Atribuir tíquetes com base em casos de postura.

O responsável pelo tíquete trabalha com as descobertas para corrigir os problemas.

O atribuído do caso trabalha com casos no Security Command Center Enterprise e não tria nem mitiga descobertas.

Por exemplo, um atribuidor de caso pode ser um gerente de ameaças ou outro especialista em segurança que colabora com um engenheiro (atribuidor de tíquete) e verifica se todos os alertas em um caso foram resolvidos. O responsável pelo caso nunca trabalha com sistemas de tíquetes.

A seguir

Para saber mais sobre casos, consulte os seguintes recursos na documentação do Google SecOps:

• Guia "Visão geral de casos"
• O que há na página "Casos"?
• Como realizar uma ação manual em um caso
• Como simular casos
• Trabalhar com blocos de playbook