このドキュメントでは、Security Command Center の Enterprise ティアにおけるケースのコンセプトを対象として、それを扱う方法について説明します。
概要
Security Command Center では、ケースを使用して検出結果の詳細を取得し、検出結果のアラートにハンドブックを関連付け、自動脅威レスポンスを適用して、セキュリティ問題の修正を追跡します。
検出結果は、検出サービスの 1 つによって生成されるセキュリティ問題の記録です。場合によっては、検出結果や他のセキュリティの問題がアラートとして表示され、追加情報を収集するハンドブックを使用して拡充されます。可能な場合、Security Command Center は新しいアラートを既存のケースに追加し、関連する他のアラートとともにグループ化します。ケースの詳細については、Google SecOps ドキュメントのケースの概要をご覧ください。
検出結果のフロー
Security Command Center Enterprise では、検出結果に次の 2 つのフローがあります。
Security Command Center の脅威検出は、セキュリティ情報およびイベント管理(SIEM)モジュールを介して行われます。内部 SIEM ルールがトリガーされると、検出結果がアラートに変わります。
コネクタは、アラートを収集してセキュリティ オーケストレーション、自動化、レスポンス(SOAR)モジュールに取り込みます。ここで、ハンドブックがケースにグループ化されたアラートを処理して拡充します。
有害な組み合わせの検出結果と、関連する脆弱性や構成ミスの検出結果は、SOAR モジュールに直接送信されます。SCC Enterprise - Urgent Posture Findings Connector が検出結果をアラートとしてケースに取り込んでグループ化すると、ハンドブックがアラートを処理して拡充します。
Security Command Center Enterprise では、Security Command Center の検出結果はケースアラートになります。
ケースの調査
取り込み時に、検出結果はケースにグループ化され、セキュリティ スペシャリストが優先度を判断できるようにします。
同じパラメータを持つ複数の検出結果は 1 つのケースにグループ化されます。検出結果のグループ化メカニズムの詳細については、ケースの検出結果をグループ化するをご覧ください。Jira や ServiceNow などのチケット発行システムを使用している場合、ケースに基づいてチケットが作成されます。つまり、1 つのケース内のすべての検出結果に対して 1 つのチケットが作成されます。
検出ステータス
検出結果は、次のいずれかのステータスになります。
アクティブ: 知見はアクティブです。
ミュート: 検出結果はアクティブで、ミュートされています。ケース内のすべての検出結果がミュートされると、ケースはクローズされます。ケースの検出結果をミュートする方法については、ケースの検出結果をミュートするをご覧ください。
クローズ: 検出結果は無効です。
検出結果のステータスは、[ケースの概要] タブの [検出結果の状態] ウィジェットと、アラートの [検出結果の概要] ウィジェットに表示されます。
チケット発行システムと統合すると、同期ジョブを有効にして、検出結果とそのステータスに関する情報を自動的に最新の状態に保ち、ケースデータを関連するチケットと同期できます。ケースデータの同期の詳細については、ケースデータの同期を有効にするをご覧ください。
検出結果の重大度とケースの優先度
デフォルトでは、ケースに含まれるすべての検出結果には、同じ severity プロパティが含まれます。グループ化の設定を構成して、重大度の異なる検出結果を 1 つのケースに含めることができます。
ケースの優先度は、最も重大度の高い検出結果に基づきます。検出結果の重大度が変更されると、Security Command Center は、ケース内のすべての検出結果の中で最も高い重大度プロパティと一致するように、ケースの優先度を自動的に更新します。検出結果をミュートしても、ケースの優先度には影響しません。ミュートされた検出結果の重大度が最も高い場合、その重大度がケースの優先度を定義します。
次の例では、検出結果 3 の重大度(ミュートされている)が重大に設定されているため、ケース 1 の優先度は重大になります。
- ケース 1: 優先度:
CRITICAL- 検出結果 1、アクティブ。重要度:
HIGH - 検出結果 2、アクティブ。重要度:
HIGH - 検出結果 3、ミュート。重要度:
CRITICAL
- 検出結果 1、アクティブ。重要度:
次の例では、すべての検出結果の重大度が「高」であるため、ケース 2 の優先度は「高」になります。
- ケース 2: 優先度:
HIGH- 検出結果 1、アクティブ。重要度:
HIGH - 検出結果 2、アクティブ。重要度:
HIGH - 検出結果 3、ミュート。重要度:
HIGH
- 検出結果 1、アクティブ。重要度:
ケースを確認する
ケースを確認する手順は次のとおりです。
- Google Cloud コンソールで、[リスク] > [ケース] に移動します。[ケースリスト] が開きます。
- 確認するケースを選択します。[ケースビュー] が開きます。ここでは、アラートまたは選択したケースにグループ化されたアラートのコレクションに関するすべての情報とともに、検出結果の概要を確認できます。
- [Case Wall] タブで、ケースで実行されたアクティビティと含まれているアラートの詳細を確認します。
[アラート] タブに移動して、検出結果の概要を確認します。
[アラート] タブには、次の情報が含まれています。
- アラート イベントのリスト。
- アラートにアタッチされているハンドブック。
- 検出結果の概要。
- 影響を受けるアセットに関する情報。
- 省略可: チケットの詳細。
チケット発行システムとの統合
デフォルトでは、チケット発行システムは Security Command Center Enterprise と統合されていません。
脆弱性と構成ミスの検出結果を含むケースには、チケット発行システムを統合して構成した場合にのみ、関連するチケットがあります。チケット発行システムを統合すると、Security Command Center Enterprise は体制ケースに基づいてチケットを作成し、同期ジョブを使用して、ハンドブックによって収集されたすべての情報をチケット発行システムに転送します。
デフォルトでは、チケット発行システムを Security Command Center Enterprise インスタンスと統合しても、脅威の検出結果を含むケースに関連するチケットはありません。脅威ケースにチケットを使用するには、アクションを追加して利用可能なハンドブックをカスタマイズするか、新しいハンドブックを作成します。
ケースの割当先とチケットの割当先
どの時点でも、すべての検出結果には単一のリソース オーナーが存在します。リソース オーナーは、 Google Cloud タグ、エッセンシャル コンタクト、または SCC エンタープライズ - Urgent Posture Findings コネクタ で構成された Fallback Owner パラメータ値を使用して定義されます。
チケット発行システムを統合すると、リソース オーナーはデフォルトでチケットの割り当て先になります。チケットの自動割り当てと手動割り当ての詳細については、ポスチャー ケースに基づいてチケットを割り当てるをご覧ください。
チケットの割り当て先は、検出結果と協力して修正します。
ケースの割り当て先は、Security Command Center Enterprise のケースで作業し、検出結果の優先順位付けや軽減は行いません。
たとえば、ケースの割り当て先は、エンジニア(チケットの割り当て先)と連携して、ケース内のすべてのアラートが対処されていることを確認する脅威マネージャーや他のセキュリティ スペシャリストにできます。ケースの割り当て先がチケット発行システムを使用することはありません。
次のステップ
ケースの詳細については、Google SecOps ドキュメントの次のリソースをご覧ください。