本文档介绍了 Security Command Center 企业版中的支持请求概念,并说明了如何使用这些支持请求。
概览
在 Security Command Center 中,您可以使用用例来获取有关发现结果的详细信息、将 Playbook 附加到发现提醒、应用自动威胁响应,以及跟踪安全问题的修复情况。
发现结果是 Security Command Center 检测服务之一生成的安全问题记录。在某个支持请求中,发现结果和其他安全问题会以提醒的形式显示,这些提醒会使用收集其他信息的 Playbook 进行丰富。Security Command Center 会尽可能将新提醒添加到现有支持请求中,并将其与其他相关提醒分组。
如需详细了解支持请求,请参阅 Google SecOps 文档中的支持请求概览。
发现流程
在 Security Command Center Enterprise 中,发现结果有两种流程:
Security Command Center 威胁发现结果会通过安全信息和事件管理 (SIEM) 模块传递。触发内部 SIEM 规则后,发现结果会转换为提醒。
该连接器会收集提醒并将其提取到安全编排、自动化和响应 (SOAR) 模块,在该模块中,playbook 会处理并丰富分组为案例的提醒。
Security Command Center 状态发现结果(包括软件漏洞、配置错误和恶意组合发现结果)会直接发送到 SOAR 模块。SCC Enterprise - Urgent Posture Findings 连接器将态势发现结果作为提醒提取并归入到案例中后,手册会处理和丰富提醒。
在 Security Command Center Enterprise 中,Security Command Center 发现结果会变成支持请求提醒。
调查支持请求
在提取过程中,系统会将发现结果分组为支持请求,以便安全专家知道要对哪些内容进行分类。
具有相同参数的多个发现结果会被归为一项支持请求。如需详细了解发现分组机制,请参阅在支持请求中对发现进行分组。如果您使用的是工单系统(例如 Jira 或 ServiceNow),则系统会根据支持请求创建工单,也就是说,一个支持请求对应一个工单。
发现结果状态
发现结果可以具有以下任一状态:
有效:相应发现结果有效。
已忽略:发现结果处于有效状态且已被忽略。如果将支持请求中的所有问题都设为“已忽略”,系统会关闭该支持请求。如需详细了解如何在支持请求中忽略发现结果,请参阅在支持请求中忽略发现结果。
已关闭:相应发现结果处于无效状态。
发现结果状态会显示在支持请求概览标签页的发现结果状态 widget 和提醒的发现结果摘要 widget 中。
如果您与工单系统集成,请启用同步作业,以自动更新发现结果及其状态的相关信息,并将支持请求数据与相关工单同步。如需详细了解支持请求数据同步,请参阅启用支持请求数据同步。
发现结果严重程度与支持请求优先级
默认情况下,支持请求中包含的所有发现结果都具有相同的 severity
属性。您可以配置分组设置,将不同严重程度的发现纳入一个支持请求中。
案例优先级取决于发现结果的严重程度。当发现结果的严重程度发生变化时,Security Command Center 会自动更新案例优先级,使其与案例中所有发现结果中的最高严重程度属性一致。将发现结果静音不会影响支持请求的优先级。如果静音的发现结果具有最高严重程度,则它会定义支持请求的优先级。
在以下示例中,支持请求 1 的优先级为“严重”,因为发现结果 3(虽然已静音)的严重程度设为“严重”:
- 支持请求 1:优先级:
CRITICAL- 发现 1,有效。严重程度:
HIGH - 发现结果 2,有效。严重程度:
HIGH - 发现 3,已忽略。严重程度:
CRITICAL
- 发现 1,有效。严重程度:
在下例中,由于所有发现的严重程度最高级别为“高”,因此 Case 2 的优先级为“高”:
- 支持请求 2:优先级:
HIGH- 发现 1,有效。严重程度:
HIGH - 发现结果 2,有效。严重程度:
HIGH - 发现结果 3,已忽略。严重程度:
HIGH
- 发现 1,有效。严重程度:
查看支持请求
如需查看支持请求,请按以下步骤操作:
- 在安全运营控制台中,前往支持请求。
- 选择要查看的支持请求。系统随即会打开案例视图,您可以在其中找到发现摘要,以及与提醒或分组到所选案例中的提醒集合相关的所有信息。
- 查看支持请求墙标签页,详细了解针对支持请求执行的活动以及包含的提醒。
前往提醒标签页,大致了解相应发现结果。
提醒标签页包含以下信息:
- 提醒事件列表。
- 与提醒关联的 Playbook。
- 发现结果概览。
- 受影响的资源的相关信息。
- 可选:工单详情。
与工单系统集成
默认情况下,没有任何服务工单系统与 Security Command Center Enterprise 集成。
只有在您集成和配置工单系统后,包含漏洞和错误配置发现结果的支持请求才会有相关工单。如果您集成了工单系统,Security Command Center Enterprise 会根据状态报告创建工单,并使用同步作业将 Playbook 收集的所有信息转发到工单系统。
默认情况下,包含威胁发现结果的支持请求没有相关工单,即使您将工单系统与 Security Command Center Enterprise 实例集成也是如此。如需为威胁案例使用工单,请通过添加操作来自定义可用的工作流程,或创建新的工单。
案例分配对象与工单分配对象
在任何给定时间点,每个发现都只有一个资源所有者。资源所有者是使用 Google Cloud 代码、重要联系人或在 SCC Enterprise - Urgent Posture Findings Connector 中配置的后备所有者参数值定义的。
如果您集成了服务工单系统,则资源所有者默认是工单的分配对象。如需详细了解自动和手动工单分配,请参阅根据状态问题分配工单。
工单分配者会根据发现结果采取相应措施。
案例分配者负责处理 Security Command Center Enterprise 中的支持请求,而不会对发现结果进行分类或缓解。
例如,支持请求分配者可以是威胁管理器或其他安全专家,他们会与工程师(工单分配者)合作,并验证支持请求中的所有提醒是否已得到处理。支持请求分配者绝不会与工单系统合作。
后续步骤
如需详细了解支持请求,请参阅 Google SecOps 文档中的以下资源: