In diesem Dokument werden die Konzepte von Fällen in der Enterprise-Stufe von Security Command Center erläutert und die Verwendung von Fällen beschrieben.
Übersicht
In Security Command Center können Sie Fälle verwenden, um Details zu Ergebnissen zu erhalten, Playbooks an Ergebnisbenachrichtigungen anzuhängen, automatische Reaktionen auf Bedrohungen anzuwenden und die Behebung von Sicherheitsproblemen zu verfolgen.
Ein Ergebnis ist ein Eintrag zu einem Sicherheitsproblem, der von einem der Erkennungsdienste generiert wird. In einem Fall werden Ergebnisse und andere Sicherheitsprobleme als Benachrichtigungen dargestellt, die mit einem Playbook angereichert werden, das zusätzliche Informationen enthält. Wenn möglich, fügt Security Command Center neue Benachrichtigungen zu vorhandenen Fällen hinzu, wo sie mit anderen zugehörigen Benachrichtigungen gruppiert werden. Weitere Informationen zu Fällen finden Sie in der Google SecOps-Dokumentation unter Fall übersicht.
Ergebnisablauf
In Security Command Center Enterprise gibt es zwei Abläufe für Ergebnisse:
Bedrohungsergebnisse von Security Command Center werden über das SIEM-Modul (Security Information and Event Management) verarbeitet. Nachdem die internen SIEM-Regeln ausgelöst wurden, werden aus Ergebnissen Benachrichtigungen.
Der Connector erfasst die Benachrichtigungen und importiert sie in das SOAR-Modul (Security Orchestration, Automation, and Response). Dort werden die Benachrichtigungen, die in Fällen gruppiert sind, von den Playbooks verarbeitet und angereichert.
Ergebnisse zu schädlichen Kombinationen und alle zugehörigen Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen werden direkt an das SOAR-Modul gesendet. Nachdem der SCC Enterprise - Urgent Posture Findings Connector die Ergebnisse als Benachrichtigungen in Fällen importiert und gruppiert hat, werden die Benachrichtigungen von den Playbooks verarbeitet und angereichert.
In Security Command Center Enterprise wird aus dem Security Command Center-Ergebnis eine Fallbenachrichtigung.
Fälle untersuchen
Beim Importieren werden Ergebnisse in Fällen gruppiert, damit Sicherheitsexperten wissen, was priorisiert werden muss.
Mehrere Ergebnisse mit denselben Parametern werden in einem Fall gruppiert. Weitere Informationen zum Mechanismus zur Gruppierung von Ergebnissen finden Sie unter Ergebnisse in Fällen gruppieren. Wenn Sie ein Ticketsystem wie Jira oder ServiceNow verwenden, wird basierend auf einem Fall ein Ticket erstellt. Das bedeutet, dass es ein Ticket für alle Ergebnisse in einem Fall gibt.
Ergebnisstatus
Ein Ergebnis kann einen der folgenden Status haben:
Aktiv: Das Ergebnis ist aktiv.
Ausgeblendet: Das Ergebnis ist aktiv und ausgeblendet. Wenn alle Ergebnisse in einem Fall ausgeblendet sind, wird der Fall geschlossen. Weitere Informationen zum Ausblenden von Ergebnissen in Fällen finden Sie unter Ergebnisse in Fällen ausblenden.
Geschlossen: Das Ergebnis ist inaktiv.
Der Ergebnisstatus wird im Widget Ergebnisstatus auf dem Tab Fallübersicht und im Widget Ergebnisübersicht einer Benachrichtigung angezeigt.
Wenn Sie eine Einbindung in Ticketsysteme vornehmen, aktivieren Sie Synchronisierungsjobs, um die Informationen zu Ergebnissen und deren Status automatisch auf dem neuesten Stand zu halten und Falldaten mit relevanten Tickets zu synchronisieren. Weitere Informationen zur Synchronisierung von Falldaten finden Sie unter Synchronisierung von Falldaten aktivieren.
Ergebnisschweregrad im Vergleich zur Fallpriorität
Standardmäßig haben alle Ergebnisse in einem Fall dieselbe severity
Property. Sie können
die Gruppierungseinstellungen
so konfigurieren, dass
Ergebnisse mit unterschiedlichen Schweregraden in einem Fall zusammengefasst werden.
Die Fallpriorität basiert auf dem höchsten Ergebnisschweregrad. Wenn sich der Ergebnisschweregrad ändert, aktualisiert Security Command Center automatisch die Fallpriorität entsprechend der höchsten Schweregrad-Property aller Ergebnisse in einem Fall. Das Ausblenden von Ergebnissen hat keine Auswirkungen auf die Fallpriorität. Wenn ein ausgeblendetes Ergebnis den höchsten Schweregrad hat, bestimmt es die Priorität des Falls.
Im folgenden Beispiel ist die Priorität für Fall 1 „Kritisch“, da der Schweregrad von Ergebnis 3 (obwohl ausgeblendet) auf „Kritisch“ festgelegt ist:
- Fall 1: Priorität:
CRITICAL- Ergebnis 1, aktiv. Schweregrad:
HIGH - Ergebnis 2, aktiv. Schweregrad:
HIGH - Ergebnis 3, ausgeblendet. Schweregrad:
CRITICAL
- Ergebnis 1, aktiv. Schweregrad:
Im nächsten Beispiel ist die Priorität für Fall 2 „Hoch“, da der höchste Schweregrad für alle Ergebnisse „Hoch“ ist:
- Fall 2: Priorität:
HIGH- Ergebnis 1, aktiv. Schweregrad:
HIGH - Ergebnis 2, aktiv. Schweregrad:
HIGH - Ergebnis 3, ausgeblendet. Schweregrad:
HIGH
- Ergebnis 1, aktiv. Schweregrad:
Fälle überprüfen
So überprüfen Sie einen Fall:
- Rufen Sie in der Google Cloud Console Risiko > Fälle auf. Die Liste der Fälle wird geöffnet.
- Wählen Sie einen Fall aus, um ihn zu überprüfen. Die Fallansicht wird geöffnet. Dort finden Sie eine Ergebnisübersicht sowie alle Informationen zu einer Benachrichtigung oder der Sammlung von Benachrichtigungen, die in einem ausgewählten Fall gruppiert sind.
- Auf dem Tab Fallwand finden Sie Details zu den Aktivitäten, die für den Fall und die enthaltenen Benachrichtigungen ausgeführt wurden.
Auf dem Tab Benachrichtigung finden Sie eine Übersicht über ein Ergebnis.
Der Tab Benachrichtigung enthält die folgenden Informationen:
- Liste der Benachrichtigungsereignisse.
- An die Benachrichtigung angehängte Playbooks.
- Eine Ergebnisübersicht.
- Informationen zum betroffenen Asset.
- Optional: Ticketdetails.
Einbindung in Ticketsysteme
Standardmäßig ist kein Ticketsystem in Security Command Center Enterprise eingebunden.
Fälle mit Ergebnissen zu Sicherheitslücken und Fehlkonfigurationen haben nur dann zugehörige Tickets, wenn Sie das Ticketsystem einbinden und konfigurieren. Wenn Sie ein Ticketsystem einbinden, erstellt Security Command Center Enterprise Tickets basierend auf Fällen zur Sicherheitskonfiguration und leitet alle von Playbooks erfassten Informationen über den Synchronisierungsjob an das Ticketsystem weiter.
Standardmäßig haben Fälle mit Bedrohungsergebnissen keine zugehörigen Tickets, auch wenn Sie das Ticketsystem in Ihre Security Command Center Enterprise-Instanz einbinden. Wenn Sie Tickets für Ihre Bedrohungsfälle verwenden möchten, passen Sie die verfügbaren Playbooks an, indem Sie eine Aktion hinzufügen oder erstellen Sie neue Playbooks.
Zuständige Person für Fall im Vergleich zur zuständigen Person für Ticket
Jedes Ergebnis hat zu jedem Zeitpunkt einen einzelnen Ressourceninhaber. Der Ressourceninhaber wird mit Google Cloud Tags, wichtigen Kontakten oder dem Fallback Owner Parameterwert definiert, der im SCC Enterprise - Urgent Posture Findings Connector konfiguriert ist.
Wenn Sie ein Ticketsystem einbinden, ist der Ressourceninhaber standardmäßig die zuständige Person für das Ticket. Weitere Informationen zur automatischen und manuellen Ticketzuweisung finden Sie unter Tickets basierend auf Fällen zur Sicherheitskonfiguration zuweisen.
Die zuständige Person für das Ticket arbeitet mit Ergebnissen, um sie zu beheben.
Die zuständige Person für den Fall arbeitet mit Fällen in Security Command Center Enterprise und priorisiert oder behebt keine Ergebnisse.
Ein Fallbearbeiter kann beispielsweise ein Threat Manager oder ein anderer Sicherheitsexperte sein, der mit einem Techniker (zuständige Person für das Ticket) zusammenarbeitet und überprüft, ob alle Benachrichtigungen in einem Fall bearbeitet wurden. Die zuständige Person für den Fall arbeitet nie mit Ticketsystemen.
Nächste Schritte
Weitere Informationen zu Fällen finden Sie in der Google SecOps-Dokumentation unter:
- Tab „Fallübersicht“
- Was ist auf der Seite „Fälle“ zu sehen?
- Anleitung: Manuelle Maßnahme für einen Fall ausführen
- Fälle simulieren
- Mit Playbook-Blöcken arbeiten