סקירה כללית של בקשות התמיכה

במסמך הזה מוסברים המושגים שקשורים לכרטיסי מידע ברמת Enterprise של Security Command Center, ואיך עובדים איתם.

סקירה כללית

ב-Security Command Center, אפשר להשתמש בתרחישי שימוש כדי לקבל פרטים על ממצאים, לצרף מדריכים להתמודדות עם איומים להתראות על ממצאים, להחיל תגובות אוטומטיות לאיומים ולעקוב אחרי הטיפול בבעיות אבטחה.

ממצא הוא רשומה של בעיית אבטחה שנוצרת על ידי אחד משירותי הזיהוי. במקרה, הממצאים ובעיות אבטחה אחרות מוצגים כהתראות, שמועשרות באמצעות תוכנית פעולה שאוספת מידע נוסף. בכל הזדמנות אפשרית, Security Command Center מוסיף התראות חדשות לבקשות תמיכה קיימות, שבהן הן מקובצות עם התראות קשורות אחרות. פרטים נוספים על פניות זמינים במאמר סקירה כללית על פניות במסמכי התיעוד של Google SecOps.

תהליך הממצאים

ב-Security Command Center Enterprise יש שני תהליכים לממצאים:

1. ממצאי איומים ב-Security Command Center עוברים דרך המודול לניהול אירועים ופרטי אבטחה (SIEM). אחרי הפעלת הכללים הפנימיים של SIEM, הממצאים הופכים להתראות.

   המחבר אוסף את ההתראות ומעביר אותן למודול SOAR (תיאום, אוטומציה ותגובה לאבטחה), שבו ה-Playbook מעבד את ההתראות ומוסיף להן מידע. ההתראות מקובצות לבקשות תמיכה.

2. ממצאים לגבי שילובים רעילים וממצאים לגבי פגיעויות והגדרות שגויות שקשורים אליהם מועברים ישירות למודול SOAR. אחרי ש-SCC Enterprise - Urgent Posture Findings Connector מעכל את הממצאים ומקבץ אותם כהתראות במקרים, ה-playbooks מעבדים את ההתראות ומוסיפים להן מידע.

ב-Security Command Center Enterprise, הממצא של Security Command Center הופך להתראה על אירוע.

חקירת מקרים

במהלך ההטמעה, הממצאים מקובצים למקרים כדי שמומחי האבטחה יוכלו לדעת מה צריך לתעדף.

ממצאים מרובים עם אותם פרמטרים מקובצים למקרה אחד. מידע נוסף על מנגנון הקיבוץ של הממצאים זמין במאמר קיבוץ ממצאים בתיקים. אם אתם משתמשים במערכת אירועים, כמו Jira או ServiceNow, נוצר טיקט על סמך מקרה, כלומר יש טיקט אחד לכל הממצאים במקרה.

איפה אפשר לראות את הסטטוס

ממצא יכול להיות באחד מהסטטוסים הבאים:

• פעילה: הממצא פעיל.

• מושתק: הממצא פעיל ומושתק. אם כל הממצאים בפנייה מושתקים, הפנייה נסגרת. מידע נוסף על השתקת ממצאים בתיקים זמין במאמר השתקת ממצאים בתיקים.

• סגור: הממצא לא פעיל.

סטטוס הממצא מוצג בווידג'ט מצב הממצא בכרטיסייה סקירה כללית של האירוע ובווידג'ט סיכום הממצא בהתראה.

אם משלבים עם מערכות לניהול כרטיסים, מפעילים משימות סנכרון כדי שהמידע על הממצאים והסטטוס שלהם יהיה עדכני באופן אוטומטי, ומסנכרנים את נתוני הפניות עם הכרטיסים הרלוונטיים. מידע נוסף על סנכרון נתוני בקשות זמין במאמר הפעלת סנכרון של נתוני בקשות.

ההבדל בין חומרת ממצא לבין עדיפות בקשה

כברירת מחדל, לכל הממצאים שנכללים בתיק יש את אותה severity מאפיין. אתם יכולים להגדיר את הגדרות הקיבוץ כך שיכללו במקרה אחד ממצאים ברמות חומרה שונות.

העדיפות של בקשת התמיכה מבוססת על רמת החומרה הגבוהה ביותר של הממצא. כשחומרת הממצא משתנה, Security Command Center מעדכן באופן אוטומטי את העדיפות של בקשת התמיכה כך שתתאים לרמת החומרה הגבוהה ביותר מבין כל הממצאים בבקשת התמיכה. השתקת ממצאים לא משפיעה על העדיפות של הפנייה – אם לממצא מושתק יש את מידת החומרה הכי גבוהה, הוא מגדיר את העדיפות של הפנייה.

בדוגמה הבאה, העדיפות של בקשה 1 היא קריטית כי חומרת הממצא 3 (למרות שהוא מושתק) מוגדרת כקריטית:

• בקשת תמיכה מספר 1: עדיפות: CRITICAL
  • ממצא 1 פעיל. מידת החוּמרה: HIGH
  • ממצא 2 פעיל. מידת החוּמרה: HIGH
  • מתבצע חיפוש של 3, מושתק. מידת החוּמרה: CRITICAL

בדוגמה הבאה, העדיפות של Case 2 היא High כי רמת החומרה הכי גבוהה של כל הממצאים היא High:

• מקרה 2: עדיפות: HIGH
  • ממצא 1 פעיל. מידת החוּמרה: HIGH
  • ממצא 2 פעיל. מידת החוּמרה: HIGH
  • מתבצע חיפוש של 3, מושתק. מידת החוּמרה: HIGH

בדיקת פניות

כדי לבדוק בקשת תמיכה:

1. במסוף Google Cloud , עוברים אל Risk > Cases (סיכונים > אירועים). נפתחת רשימת הפניות.
2. בוחרים כרטיסייה לבדיקה. נפתח תצוגת הכרטיסייה Case, שבה אפשר למצוא סיכום של הממצאים וגם את כל המידע על התראה או על אוסף של התראות שקובצו בכרטיסייה שנבחרה.
3. בכרטיסייה Case Wall אפשר לראות פרטים על הפעילות שבוצעה בתיק ועל ההתראות שנכללות בו.

4. כדי לראות סקירה כללית של ממצא, עוברים לכרטיסייה התראה.

   בכרטיסייה התראה מופיעים הפרטים הבאים:

   • רשימה של אירועים שקשורים להתראות.
   • ספרי הפעולות שמצורפים להתראה.
   • סקירה כללית של הממצאים.
   • מידע על הנכס שהושפע.
   • אופציונלי: פרטי הפנייה.

שילוב עם מערכות כרטוס

כברירת מחדל, לא משולבת מערכת אירועים עם Security Command Center Enterprise.

במקרים שכוללים ממצאים של נקודות חולשה וטעויות בהגדרות, יש כרטיסים קשורים רק אם משלבים ומגדירים את מערכת אירועים. אם משלבים מערכת אירועים, Security Command Center Enterprise יוצר כרטיסים על סמך מקרים של מצב האבטחה ומעביר את כל המידע שנאסף על ידי תוכניות הפעולה למערכת אירועים באמצעות משימת הסנכרון.

כברירת מחדל, למקרים שמכילים ממצאים לגבי איומים לא משויכים כרטיסים קשורים, גם אם משלבים את מערכת אירועים עם המופע של Security Command Center Enterprise. כדי להשתמש בכרטיסים לטיפול במקרים של איומים, אפשר להתאים אישית את תוכניות הפעולה הזמינות על ידי הוספת פעולה או ליצור תוכניות פעולה חדשות.

למי מוקצה הפנייה לעומת למי מוקצה הכרטיס

לכל ממצא יש בעלים אחד של המשאב בכל רגע נתון. בעלי המשאבים מוגדרים באמצעות תגיות, אנשי קשר חיוניים או ערך הפרמטר Fallback Owner שהוגדר ב-SCC Enterprise - Urgent Posture Findings Connector. Google Cloud

אם משלבים מערכת אירועים, בעל המשאב הוא ברירת המחדל של מקבל הכרטיס. מידע נוסף על הקצאת כרטיסים אוטומטית וידנית זמין במאמר הקצאת כרטיסים על סמך מקרים של חולשות אבטחה.

האחראי על הטיפול בכרטיס פועל עם הממצאים כדי לתקן אותם.

האחראי על הטיפול בפנייה עובד עם פניות ב-Security Command Center Enterprise ולא ממיין או מצמצם את הממצאים.

לדוגמה, מי שהוקצה לטפל בפנייה יכול להיות מנהל איומים או מומחה אבטחה אחר שמשתף פעולה עם מהנדס (מי שהוקצה לטפל בכרטיס) ומוודא שכל ההתראות בפנייה טופלו. האחראי על הטיפול בפנייה אף פעם לא עובד עם מערכות לניהול כרטיסים.

המאמרים הבאים

מידע נוסף על מקרים זמין במקורות המידע הבאים במסמכי התיעוד של Google SecOps:

• הכרטיסייה 'סקירת מקרים'
• מה יש בדף 'פניות'?
• איך מבצעים פעולה ידנית בבקשה
• איך מדמים מקרים
• עבודה עם בלוקים במדריך