Ce document présente les concepts des cas dans le niveau Enterprise de Security Command Center et explique comment les utiliser.
Présentation
Dans Security Command Center, vous utilisez des cas pour obtenir des informations sur les résultats, joindre des playbooks aux alertes de résultats, appliquer des réponses automatiques aux menaces et suivre la résolution des problèmes de sécurité.
Un résultat est un enregistrement d'un problème de sécurité généré par l'un des services de détection. Dans un cas, les résultats et autres problèmes de sécurité sont présentés sous forme d'alertes, qui sont enrichies à l'aide d'un playbook qui collecte des informations supplémentaires. Dans la mesure du possible, Security Command Center ajoute de nouvelles alertes aux demandes existantes, où elles sont regroupées avec d'autres alertes associées. Pour en savoir plus sur les demandes, consultez Présentation des demandes dans la documentation Google SecOps.
Flux des résultats
Dans Security Command Center Enterprise, il existe deux flux pour les résultats :
Les résultats de détection des menaces Security Command Center passent par le module SIEM (Security Information and Event Management). Une fois les règles SIEM internes déclenchées, les résultats se transforment en alertes.
Le connecteur collecte les alertes et les ingère dans le module SOAR (Security Orchestration, Automation, and Response), où les playbooks traitent et enrichissent les alertes regroupées dans des demandes.
Les résultats de combinaisons toxiques, ainsi que les résultats de failles et d'erreurs de configuration associés, sont directement envoyés au module SOAR. Une fois que le connecteur SCC Enterprise Urgent Posture Findings ingère et regroupe les résultats sous forme d'alertes dans des demandes, les playbooks traitent et enrichissent les alertes.
Dans Security Command Center Enterprise, le résultat Security Command Center devient une alerte d'incident.
Examiner les demandes
Lors de l'ingestion, les résultats sont regroupés dans des cas pour permettre aux spécialistes de la sécurité de savoir ce qu'ils doivent trier.
Plusieurs résultats avec les mêmes paramètres sont regroupés dans une même demande. Pour en savoir plus sur le mécanisme de regroupement des résultats, consultez Regrouper les résultats dans des cas. Si vous utilisez un système de gestion des demandes, tel que Jira ou ServiceNow, une demande est créée en fonction d'un cas. Cela signifie qu'il existe une demande pour tous les résultats d'un cas.
État des résultats
Un résultat peut avoir l'un des états suivants :
Actif : le résultat est actif.
Masqué : le résultat est actif et masqué. Si tous les résultats d'une fiche sont mis en sourdine, la fiche est fermée. Pour en savoir plus sur l'application des règles Ignorer dans les demandes, consultez Ignorer des résultats dans les demandes.
Fermé : le résultat est inactif.
L'état du résultat s'affiche dans le widget État du résultat de l'onglet Présentation du cas et dans le widget Résumé du résultat d'une alerte.
Si vous intégrez des systèmes de suivi des demandes, activez les jobs de synchronisation pour que les informations sur les résultats et leurs états soient automatiquement à jour, et synchronisez les données des demandes avec les tickets correspondants. Pour en savoir plus sur la synchronisation des données des demandes, consultez Activer la synchronisation des données des demandes.
Niveau de gravité du résultat par rapport à la priorité de la demande
Par défaut, tous les résultats contenus dans un dossier possèdent la même propriété severity. Vous pouvez configurer les paramètres de regroupement pour inclure les résultats de différentes gravités dans un même cas.
La priorité d'une demande est basée sur le niveau de gravité le plus élevé des résultats. Lorsque la gravité d'un résultat change, Security Command Center met automatiquement à jour la priorité de la demande pour qu'elle corresponde à la propriété de gravité la plus élevée parmi tous les résultats d'une demande. La désactivation des résultats n'a aucun impact sur la priorité du cas. Si un résultat désactivé présente la gravité la plus élevée, il définit la priorité du cas.
Dans l'exemple suivant, la priorité de la demande 1 est définie sur "Critique" car le niveau de gravité du résultat 3 (bien que désactivé) est défini sur "Critique" :
- Cas 1 : Priorité :
CRITICAL- Résultat 1, actif. Gravité :
HIGH - Résultat 2, actif. Gravité :
HIGH - Résultat 3, ignoré. Gravité :
CRITICAL
- Résultat 1, actif. Gravité :
Dans l'exemple suivant, la priorité du cas 2 est "Élevée" car la gravité la plus élevée pour tous les résultats est "Élevée" :
- Demande 2 : Priorité :
HIGH- Résultat 1, actif. Gravité :
HIGH - Résultat 2, actif. Gravité :
HIGH - Résultat 3, ignoré. Gravité :
HIGH
- Résultat 1, actif. Gravité :
Examiner les demandes
Pour examiner une demande, procédez comme suit :
- Dans la console Google Cloud , accédez à Risque > Demandes. La liste des demandes s'ouvre.
- Sélectionnez une demande à examiner. La vue Détails de la demande s'ouvre. Vous y trouverez un récapitulatif des conclusions, ainsi que toutes les informations sur une alerte ou sur l'ensemble des alertes regroupées dans une demande sélectionnée.
- Consultez l'onglet Mur des cas pour en savoir plus sur l'activité effectuée sur le cas et les alertes incluses.
Accédez à l'onglet Alerte pour obtenir un aperçu d'un résultat.
L'onglet Alerte contient les informations suivantes :
- Liste des événements d'alerte.
- Playbooks associés à l'alerte.
- Présentation des résultats
- Informations sur l'élément concerné.
- Facultatif : détails de la demande.
Intégrer des systèmes de suivi des demandes
Par défaut, aucun système de suivi des demandes n'est intégré à Security Command Center Enterprise.
Les demandes contenant des résultats de failles et de mauvaises configurations ne sont associées à des demandes que lorsque vous intégrez et configurez le système de suivi des demandes. Si vous intégrez un système de suivi des demandes, Security Command Center Enterprise crée des demandes en fonction des cas de posture et transmet toutes les informations collectées par les playbooks au système de suivi des demandes à l'aide du job de synchronisation.
Par défaut, les demandes contenant des résultats de menace n'ont aucun ticket associé, même si vous intégrez le système de gestion des demandes à votre instance Security Command Center Enterprise. Pour utiliser des tickets pour vos demandes de menace, personnalisez les playbooks disponibles en ajoutant une action ou créez des playbooks.
Différence entre l'attributé de la demande et l'attributé du ticket
Chaque résultat dispose d'un seul propriétaire de ressource à un moment donné. Le propriétaire de la ressource est défini à l'aide de balises Google Cloud , de contacts essentiels ou de la valeur du paramètre Propriétaire de secours configuré dans le connecteur SCC Enterprise Urgent Posture Findings.
Si vous intégrez un système de suivi des demandes, le propriétaire de la ressource est l'attributaire de la demande par défaut. Pour en savoir plus sur l'attribution automatique et manuelle des demandes, consultez Attribuer des demandes en fonction des cas de posture.
L'attributé de la demande travaille sur les résultats pour les corriger.
L'attributaire du cas travaille sur les cas dans Security Command Center Enterprise, mais ne trie ni n'atténue les résultats.
Par exemple, un responsable de cas peut être un responsable des menaces ou un autre spécialiste de la sécurité qui collabore avec un ingénieur (responsable du ticket) et vérifie que toutes les alertes d'un cas sont traitées. Le responsable de cas ne travaille jamais avec les systèmes de gestion des demandes.
Étapes suivantes
Pour en savoir plus sur les cas, consultez les ressources suivantes dans la documentation Google SecOps :
- Onglet "Vue d'ensemble des cas"
- Que trouve-t-on sur la page "Cas" ?
- Effectuer une action manuelle sur un cas
- Simuler des cas
- Utiliser les blocs de playbook