本文档介绍了 Security Command Center Enterprise 层级中的“支持请求”概念,并说明了如何使用支持请求。
概览
在 Security Command Center 中,您可以使用案例来获取有关发现结果的详细信息、将剧本附加到发现结果提醒、应用自动威胁响应,以及跟踪安全问题的修复情况。
发现结果是检测服务生成的一条安全问题记录。在案例中,发现结果和其他安全问题会以提醒的形式呈现,这些提醒会使用收集额外信息的 playbook 进行丰富。Security Command Center 会尽可能将新提醒添加到现有支持请求中,以便与其他相关提醒归为一组。如需详细了解支持请求,请参阅 Google SecOps 文档中的支持请求概览。
发现结果流程
在 Security Command Center Enterprise 中,发现结果有两种流程:
Security Command Center 威胁发现结果会通过安全信息和事件管理 (SIEM) 模块。触发内部 SIEM 规则后,检测结果会转化为提醒。
连接器会收集提醒,并将其提取到安全编排、自动化和响应 (SOAR) 模块中,在该模块中,策略方案会处理并丰富分组到案例中的提醒。
恶意组合发现结果以及任何相关的漏洞和错误配置发现结果会直接发送到 SOAR 模块。SCC Enterprise - Urgent Posture Findings Connector 提取发现结果并将其分组为提醒,然后将这些提醒纳入案例中,之后 playbook 会处理并丰富提醒。
在 Security Command Center Enterprise 中,Security Command Center 发现结果会变成支持请求提醒。
调查支持请求
在提取期间,发现结果会分组到支持请求中,以便安全专家了解需要确定优先级的发现结果。
具有相同参数的多个发现结果会归为一例。如需详细了解调查结果分组机制,请参阅在调查中对调查结果进行分组。如果您使用的是工单系统(例如 Jira 或 ServiceNow),系统会根据支持请求创建工单,这意味着一个支持请求中的所有发现项对应一张工单。
发现结果状态
发现结果可以具有以下任何状态:
有效:相应发现结果处于有效状态。
已忽略:发现结果处于有效状态,但已被忽略。如果某个支持服务工单中的所有发现都被静音,则该工单会被关闭。如需详细了解如何在支持请求中忽略发现结果,请参阅在支持请求中忽略发现结果。
已关闭:相应发现结果处于非活跃状态。
发现结果状态显示在案例概览标签页的发现结果状态 widget 中,以及提醒的发现结果摘要 widget 中。
如果您与工单系统集成,请启用同步作业,以便自动更新有关发现及其状态的信息,并将支持请求数据与相关工单同步。如需详细了解病例数据同步,请参阅启用病例数据同步。
发现结果严重程度与支持请求优先级
默认情况下,一个支持服务工单中包含的所有发现结果都具有相同的 severity
属性。您可以配置分组设置,将不同严重程度的发现结果纳入一个支持请求。
支持人员会根据严重程度最高的发现结果来确定支持请求的优先级。当发现结果的严重程度发生变化时,Security Command Center 会自动更新相应支持请求的优先级,以匹配支持请求中所有发现结果的最高严重程度属性。将发现结果设为静音不会影响支持请求的优先级;如果某个设为静音的发现结果具有最高严重程度,则它会决定支持请求的优先级。
在以下示例中,案例 1 的优先级为“严重”,因为发现结果 3(虽然已静音)的严重程度设置为“严重”:
- 支持请求 1:优先级:
CRITICAL- 发现结果 1,有效。严重程度:
HIGH - 发现结果 2,有效。严重程度:
HIGH - 发现结果 3,已忽略。严重程度:
CRITICAL
- 发现结果 1,有效。严重程度:
在下一个示例中,案例 2 的优先级为“高”,因为所有发现的最高严重程度均为“高”:
- 支持请求 2:优先级:
HIGH- 发现结果 1,有效。严重程度:
HIGH - 发现结果 2,有效。严重程度:
HIGH - 发现结果 3,已忽略。严重程度:
HIGH
- 发现结果 1,有效。严重程度:
查看支持请求
如需查看支持请求,请按以下步骤操作:
- 在 Google Cloud 控制台中,依次前往风险 > 支持请求。系统会打开支持请求列表。
- 选择要查看的支持请求。系统会打开案例视图,您可以在其中找到调查结果摘要,以及与警报或分组到所选案例中的一组警报相关的所有信息。
- 查看问题墙标签页,了解有关针对问题执行的操作和包含的提醒的详细信息。
前往提醒标签页,大致了解某项发现结果。
提醒标签页包含以下信息:
- 提醒事件列表。
- 附加到提醒的 playbook。
- 发现结果概览。
- 有关受影响的资源的信息。
- 可选:工单详情。
与工单系统集成
默认情况下,Security Command Center Enterprise 未与任何工单系统集成。
只有在集成并配置工单系统后,包含漏洞和错误配置发现结果的案例才会包含相关工单。如果您集成了工单系统,Security Command Center Enterprise 会根据姿态支持请求创建工单,并使用同步作业将 playbook 收集的所有信息转发到工单系统。
默认情况下,即使您将工单系统与 Security Command Center Enterprise 实例集成,包含威胁发现结果的支持请求也没有相关工单。如需为威胁事件使用工单,请通过添加操作自定义可用的 playbook,或创建新的 playbook。
支持请求受理人与工单受理人
在任何给定时间,每个发现都只有一个资源所有者。资源所有者使用 Google Cloud 标记、紧急联系人或在 SCC Enterprise - Urgent Posture Findings Connector 中配置的 Fallback Owner 参数值进行定义。
如果您集成了工单系统,则资源所有者默认是工单受理人。如需详细了解自动和手动分配支持请求,请参阅根据姿势案例分配支持请求。
工单指派对象会处理发现结果以进行修复。
支持请求指派对象负责处理 Security Command Center Enterprise 中的支持请求,但不负责对发现结果进行初步评估或缓解。
例如,问题指派对象可以是威胁管理人员或其他安全专家,他们与工程师(支持请求指派对象)协作,并验证问题中的所有提醒是否都已得到解决。支持请求受理人从不使用工单系统。
后续步骤
如需详细了解支持请求,请参阅 Google SecOps 文档中的以下资源: