סקירה כללית של בקשות התמיכה

במסמך הזה מוסברים המושגים שקשורים לכרטיסי מידע ברמת Enterprise של Security Command Center, ואיך עובדים איתם.

סקירה כללית

ב-Security Command Center, אתם יכולים להשתמש בתרחישי שימוש כדי לקבל פרטים על ממצאים, לצרף מדריכים להפעלת תגובה להתרעות על ממצאים, להחיל תגובות אוטומטיות לאיומים ולעקוב אחרי הטיפול בבעיות אבטחה.

ממצא הוא רשומה של בעיית אבטחה שנוצרת על ידי אחד משירותי הזיהוי. במקרה, הממצאים ובעיות אבטחה אחרות מוצגים כהתראות, שמועשרות באמצעות תוכנית פעולה שאוספת מידע נוסף. בכל הזדמנות אפשרית, Security Command Center מוסיף התראות חדשות לבקשות תמיכה קיימות, שם הן מקובצות עם התראות קשורות אחרות. פרטים נוספים על פניות זמינים במאמר סקירה כללית על פניות במסמכי התיעוד של Google SecOps.

תהליך העבודה עם ממצאים

ב-Security Command Center Enterprise יש שני תהליכים לממצאים:

  1. ממצאי האיומים של Security Command Center עוברים דרך מודול ניהול אבטחת מידע ואירועים (SIEM). אחרי הפעלת הכללים הפנימיים של SIEM, הממצאים הופכים להתראות.

    המחבר אוסף את ההתראות ומעביר אותן למודול SOAR (תיאום, אוטומציה ותגובה לאיומי אבטחה), שבו ה-Playbook מעבד את ההתראות ומוסיף להן מידע. ההתראות מקובצות לבקשות תמיכה.

  2. ממצאים לגבי שילובים רעילים וממצאים לגבי פגיעויות או הגדרות שגויות שקשורות אליהם מועברים ישירות למודול SOAR. אחרי ש-SCC Enterprise - Urgent Posture Findings Connector מעכל את הממצאים ומקבץ אותם כהתראות במקרים, ה-playbooks מעבדים את ההתראות ומוסיפים להן מידע.

ב-Security Command Center Enterprise, הממצא של Security Command Center הופך להתראה על אירוע.

חקירת מקרים

במהלך ההטמעה, הממצאים מקובצים למקרים כדי שמומחי האבטחה יוכלו לדעת מה צריך לתעדף.

ממצאים מרובים עם אותם פרמטרים מקובצים למקרה אחד. מידע נוסף על מנגנון הקיבוץ של הממצאים זמין במאמר קיבוץ ממצאים בתיקים. אם אתם משתמשים במערכת לניהול טיפולים, כמו Jira או ServiceNow, נוצר טיפול על סמך מקרה, כלומר יש טיפול אחד לכל הממצאים במקרה.

סטטוס ממצא

ממצא יכול להיות באחד מהסטטוסים הבאים:

  • פעיל: הממצא פעיל.

  • מושתק: הממצא פעיל ומושתק. אם כל הממצאים בפנייה מושתקים, הפנייה נסגרת. מידע נוסף על השתקת ממצאים בתיקים זמין במאמר השתקת ממצאים בתיקים.

  • נסגר: הממצא לא פעיל.

סטטוס הממצא מוצג בווידג'ט מצב הממצא בכרטיסייה סקירה כללית של האירוע ובווידג'ט סיכום הממצא בהתראה.

אם משלבים עם מערכות לניהול כרטיסים, מפעילים משימות סנכרון כדי לעדכן באופן אוטומטי את המידע על הממצאים והסטטוסים שלהם, ולסנכרן את נתוני המקרים עם כרטיסים רלוונטיים. מידע נוסף על סנכרון נתוני פניות זמין במאמר הפעלת סנכרון של נתוני פניות.

ההבדל בין רמת החומרה לבין סדר העדיפות של הבקשה

כברירת מחדל, לכל הממצאים שנכללים בתיק יש את אותה severity מאפיין. אתם יכולים להגדיר את הגדרות הקיבוץ כך שיכללו במקרה אחד ממצאים ברמות חומרה שונות.

העדיפות של בקשת התמיכה מבוססת על רמת החומרה הגבוהה ביותר של הממצא. כשחומרת הממצא משתנה, Security Command Center מעדכן באופן אוטומטי את העדיפות של הבקשה בהתאם לרמת החומרה הגבוהה ביותר מבין כל הממצאים בבקשה. השתקת ממצאים לא משפיעה על העדיפות של הפנייה – אם ממצא מושתק הוא בעל מידת החומרה הגבוהה ביותר, הוא מגדיר את העדיפות של הפנייה.

בדוגמה הבאה, העדיפות של בקשה מספר 1 היא קריטית כי חומרת הממצא מספר 3 (גם אם הוא מושתק) מוגדרת כקריטית:

  • בקשת תמיכה מספר 1: עדיפות: CRITICAL
    • ממצא 1 פעיל. מידת החוּמרה: HIGH
    • ממצא 2 פעיל. מידת החוּמרה: HIGH
    • מתבצע חיפוש של 3, מושתק. מידת החוּמרה: CRITICAL

בדוגמה הבאה, העדיפות של Case 2 היא High כי רמת החומרה הכי גבוהה של כל הממצאים היא High:

  • מקרה 2: עדיפות: HIGH
    • ממצא 1 פעיל. מידת החוּמרה: HIGH
    • ממצא 2 פעיל. מידת החוּמרה: HIGH
    • מתבצע חיפוש של 3, מושתק. מידת החוּמרה: HIGH

בדיקת פניות

כדי לבדוק בקשת תמיכה:

  1. במסוף Google Cloud , עוברים אל Risk > Cases (סיכונים > אירועים). נפתחת רשימת הפניות.
  2. בוחרים כרטיסייה לבדיקה. נפתח תצוגת המקרה, שבה אפשר למצוא סיכום של הממצאים וגם את כל המידע על התראה או על אוסף של התראות שקובצו למקרה שנבחר.
  3. בכרטיסייה Case Wall אפשר לראות פרטים על הפעילות שבוצעה בתיק ועל ההתראות שנכללות בו.
  4. כדי לראות סקירה כללית של ממצא, עוברים לכרטיסייה התראה.

    בכרטיסייה התראה מופיעים הפרטים הבאים:

    • רשימה של אירועים שקשורים להתראות.
    • ספרי ההפעלה שצורפו להתראה.
    • סקירה כללית של הממצאים.
    • מידע על הנכס שהושפע.
    • אופציונלי: פרטי הפנייה.

שילוב עם מערכות כרטוס

כברירת מחדל, לא משולבת מערכת כרטיסים עם Security Command Center Enterprise.

במקרים שכוללים ממצאים של נקודות חולשה וטעויות בהגדרות, יש כרטיסים קשורים רק אם משלבים ומגדירים את מערכת הכרטיסים. אם משלבים מערכת לניהול כרטיסים, מהדורת Security Command Center Enterprise יוצרת כרטיסים על סמך מקרים של מצב האבטחה ומעבירה את כל המידע שנאסף על ידי תוכניות הפעולה למערכת לניהול כרטיסים באמצעות משימת הסנכרון.

כברירת מחדל, לכרטיסים שמכילים ממצאים לגבי איומים לא משויכים כרטיסים קשורים, גם אם משלבים את מערכת הכרטוס עם המופע של Security Command Center Enterprise. כדי להשתמש בכרטיסים לטיפול במקרים של איומים, אפשר להתאים אישית את תוכניות הפעולה הזמינות על ידי הוספת פעולה או ליצור תוכניות פעולה חדשות.

למי מוקצה הפנייה לעומת למי מוקצה הכרטיס

לכל ממצא יש בעלים אחד של המשאב בכל זמן נתון. בעלי המשאבים מוגדרים באמצעות תגיות, אנשי קשר חיוניים או ערך הפרמטר Fallback Owner שהוגדר ב-SCC Enterprise - Urgent Posture Findings Connector. Google Cloud

אם משלבים מערכת כרטוס, בעל המשאב הוא ברירת המחדל של מקבל הכרטיס. מידע נוסף על הקצאת כרטיסים אוטומטית וידנית זמין במאמר הקצאת כרטיסים על סמך מקרים של חולשות אבטחה.

האחראי על הטיפול בכרטיס פועל עם הממצאים כדי לטפל בהם.

האחראי על הטיפול בפנייה עובד עם פניות ב-Security Command Center Enterprise, ולא ממיין או מצמצם את הממצאים.

לדוגמה, מי שמוקצה לטפל בפנייה יכול להיות מנהל איומים או מומחה אבטחה אחר שמשתף פעולה עם מהנדס (מי שהוקצה לטפל בכרטיס) ומוודא שכל ההתראות בפנייה מטופלות. האחראי על הטיפול בפנייה אף פעם לא עובד עם מערכות לניהול כרטיסים.

המאמרים הבאים

מידע נוסף על מקרים זמין במקורות המידע הבאים בתיעוד של Google SecOps: