案件總覽

本文說明 Security Command Center Enterprise 層級的案件概念,以及如何處理案件。

總覽

在 Security Command Center 中,您可以透過案件取得發現項目的詳細資料、將應對手冊附加至發現項目快訊、套用自動威脅回應,以及追蹤安全問題的修復情況。

「發現項目」偵測服務產生的安全性問題記錄。在案件中,調查結果和其他安全問題會以快訊形式呈現,並透過應對手冊收集額外資訊,Security Command Center 會盡可能將新快訊新增至現有案件,並與其他相關快訊歸類在一起。如要進一步瞭解案件,請參閱 Google SecOps 說明文件中的「案件總覽」。

發現項目流程

在 Security Command Center Enterprise 中,發現項目有兩種流程:

  1. Security Command Center 威脅發現項目會經過安全資訊與事件管理 (SIEM) 模組。內部 SIEM 規則觸發後,調查結果會變成快訊。

    這個連結器會收集警示,並擷取至安全調度管理、自動化與應變 (SOAR) 模組,由應對手冊處理並充實警示內容,然後將警示分組為案件。

  2. 有害組合發現項目和任何相關安全漏洞與錯誤設定發現項目,都會直接傳送至 SOAR 模組。SCC Enterprise - Urgent Posture Findings Connector 擷取發現項目並將其歸類為案件中的快訊後,劇本會處理並擴充快訊。

在 Security Command Center Enterprise 中,Security Command Center 發現項目會變成案件 快訊

調查案件

在擷取期間,系統會將發現項目歸入案件,讓安全專家瞭解要優先處理哪些項目。

如果多項發現的參數相同,系統會將這些發現歸納成一個案件。如要進一步瞭解調查結果分組機制,請參閱在案件中將調查結果分組。如果您使用票證系統 (例如 Jira 或 ServiceNow),系統會根據案件建立票證,也就是說,一個案件的所有發現事項會對應一張票證。

尋找狀態

調查結果可能處於下列任一狀態:

  • 有效:發現項目有效。

  • 已忽略:發現項目有效且已忽略。如果案件中的所有發現項目都已靜音,案件就會結案。如要進一步瞭解如何忽略案件中的發現項目,請參閱「忽略案件中的發現項目」。

  • 已關閉:發現項目無效。

調查結果狀態會顯示在「案件總覽」分頁的「調查結果狀態」小工具,以及警報的「調查結果摘要」小工具中。

如果整合票務系統,請啟用同步處理作業,自動更新調查結果和狀態資訊,並將案件資料與相關票證同步處理。如要進一步瞭解案件資料同步功能,請參閱「啟用案件資料同步功能」。

發現項目的嚴重性與案件優先順序

根據預設,案件中的所有發現事項都具有相同的 severity 屬性。您可以設定分組設定,將不同嚴重程度的發現項目納入同一個案件。

案件優先順序取決於最高嚴重程度的發現項目。發現項目嚴重程度變更時,Security Command Center 會自動更新案件優先順序,以符合案件中所有發現項目最高的嚴重程度屬性。將調查結果設為靜音不會影響案件優先順序。如果設為靜音的調查結果嚴重性最高,則會決定案件優先順序。

在下列範例中,案件 1 的優先順序為「重大」,因為發現 3 (雖然已設為靜音) 的嚴重程度設為「重大」:

  • 案件 1:優先順序:CRITICAL
    • 發現項目 1,有效。嚴重程度:HIGH
    • 發現項目 2,有效。嚴重程度:HIGH
    • 發現項目 3 已忽略。嚴重程度:CRITICAL

在下一個範例中,案件 2 的優先順序為「高」,因為所有發現項目的最高嚴重程度為「高」:

  • 案件 2:優先順序:HIGH
    • 發現項目 1,有效。嚴重程度:HIGH
    • 發現項目 2,有效。嚴重程度:HIGH
    • 發現項目 3 已忽略。嚴重程度:HIGH

查看案件

如要查看案件,請按照下列步驟操作:

  1. 在 Google Cloud 控制台中,依序前往「風險」>「案件」。「案件清單」隨即開啟。
  2. 選取要查看的案件。系統會開啟「案件檢視」,您可以在其中查看調查結果摘要,以及與警示或警示集合相關的所有資訊,這些警示會歸入所選案件。
  3. 如要查看案件的活動和相關快訊詳細資料,請前往「案件牆」分頁。

  4. 前往「快訊」分頁,查看調查結果總覽。

    「快訊」分頁包含下列資訊:

    • 警報事件清單。
    • 附加至警報的應對手冊。
    • 調查結果總覽。
    • 受影響資產的相關資訊。
    • 選填:支援單詳細資料。

整合支援單處理系統

預設情況下,Security Command Center Enterprise 不會整合任何支援單處理系統。

如果案件包含安全漏洞和錯誤設定發現項目,只有在整合及設定支援單系統後,才會產生相關支援單。如果您整合支援單處理系統,Security Command Center Enterprise 會根據安全狀態案件建立支援單,並使用同步處理工作,將應對手冊收集的所有資訊轉送至支援單處理系統。

即使您將支援單處理系統與 Security Command Center Enterprise 執行個體整合,含有威脅偵測結果的案件預設也不會有相關支援單。如要使用威脅案件的案件,請新增動作來自訂可用的應對手冊,或建立新的應對手冊。

案件指派對象與服務單指派對象

在任何時間點,每項發現事項都只有一位資源擁有者。資源擁有者是使用 Google Cloud 標記、重要聯絡人或在 SCC Enterprise - Urgent Posture Findings Connector 中設定的「Fallback Owner」參數值定義。

如果整合票務系統,資源擁有者預設為票證指派對象。如要進一步瞭解如何自動和手動指派票證,請參閱「根據姿勢案例指派票證」。

票證指派對象會根據調查結果進行補救。

案件指派對象會處理 Security Command Center Enterprise 中的案件,但不會分類或減輕發現項目。

舉例來說,案件指派對象可以是威脅管理員或其他安全專家,他們會與工程師 (案件指派對象) 合作,確認案件中的所有快訊都已處理完畢。案件指派對象絕不會使用票證系統。

後續步驟

如要進一步瞭解案件,請參閱 Google SecOps 說明文件中的下列資源: