ケースの概要

このドキュメントでは、Security Command Center のエンタープライズティアにおけるケースのコンセプトを対象として、それを扱う方法について説明します。

概要

Security Command Center では、ユースケースで検出結果の詳細を取得、検出結果の警告にハンドブックをアタッチ、自動脅威レスポンスの適用、セキュリティ問題の修正を追跡します。

検出結果は、検出サービスの 1 つによって生成されるセキュリティ問題の記録です。場合によっては、検出結果や他のセキュリティの問題がアラートとして表示され、追加情報を収集するハンドブックを使用して拡充されます。可能な場合、Security Command Center は新しいアラートを既存のケースに追加し、関連する他のアラートとともにグループ化します。ケースの詳細については、Google SecOps ドキュメントのケースの概要をご覧ください。

検出結果のフロー

Security Command Center Enterprise では、検出結果に次の 2 つのフローがあります。

Security Command Center の脅威検出は、セキュリティ情報およびイベント管理（SIEM）モジュールを介して行われます。内部 SIEM ルールがトリガーされると、検出結果がアラートに変わります。

コネクタは、アラートを収集してセキュリティオーケストレーション、自動化、レスポンス（SOAR）モジュールに取り込みます。ここで、ハンドブックがケースにグループ化されたアラートを処理して拡充します。
有害な組み合わせの検出結果と、関連する脆弱性や構成ミスの検出結果は、SOAR モジュールに直接送信されます。SCC Enterprise - Urgent Posture Findings Connector が検出結果をアラートとしてケースに取り込んでグループ化すると、ハンドブックがアラートを処理して拡充します。

Security Command Center Enterprise では、Security Command Center の検出結果はケースアラートになります。

ケースの調査

取り込み中に、検出結果はケースにグループ化され、セキュリティスペシャリストが優先度を判断できるようにします。

同じパラメータを持つ複数の検出結果は、1 つのケースにグループ化されます。検出結果のグループ化メカニズムの詳細については、ケースの検出結果をグループ化するをご覧ください。Jira や ServiceNow などのチケット発行システムを使用している場合、チケットはケースに基づいて作成されます。つまり、1 つのケース内のすべての検出結果に対して 1 つのチケットが作成されます。

検出結果ステータス

検出結果は次のいずれかのステータスになります。

アクティブ: 検出結果はアクティブです。
ミュート: 検出結果はアクティブで、ミュートされています。ケース内のすべての検出結果がミュートされると、ケースは閉じられます。ケースの検出結果をミュートする方法については、ケースの検出結果をミュートするをご覧ください。
Closed: 検出結果は無効です。

検出結果のステータスは、[ケースの概要] タブの [検出結果の状態] ウィジェットと、アラートの [検出結果の概要] ウィジェットに表示されます。

チケット発行システムと統合する場合は、同期ジョブを有効にして、検出結果とそのステータスに関する情報を自動的に最新の状態に保ち、ケースデータを関連するチケットと同期します。ケースデータの同期の詳細については、ケースデータの同期を有効にするをご覧ください。

検出結果の重大度とケースの優先度

デフォルトでは、ケースに含まれるすべての検出結果には、同じ severity プロパティが含まれます。グループ化の設定を構成して、重大度の異なる検出結果を 1 つのケースに含めることができます。

ケースの優先度は、最も重大度の高い検出結果に基づきます。検出結果の重大度が変更されると、Security Command Center は、ケース内のすべての検出結果の中で最も高い重大度プロパティと一致するように、ケースの優先度を自動的に更新します。検出結果をミュートしても、ケースの優先度には影響しません。ミュートされた検出結果の重大度が最も高い場合、その重大度によってケースの優先度が決まります。

次の例では、検出結果 3 の重大度（ミュートされている）が「重大」に設定されているため、ケース 1 の優先度は「重大」になります。

ケース 1: 優先度: CRITICAL
- 検出結果 1、アクティブ。重要度: HIGH
- 検出結果 2、アクティブ。重要度: HIGH
- 検出結果 3、ミュート。重要度: CRITICAL

次の例では、すべての検出結果の重大度が「高」であるため、ケース 2 の優先度は「高」になります。

ケース 2: 優先度: HIGH
- 検出結果 1、アクティブ。重要度: HIGH
- 検出結果 2、アクティブ。重要度: HIGH
- 検出結果 3、ミュート。重要度: HIGH

ケースを確認する

ケースを確認する手順は次のとおりです。

Google Cloud コンソールで、[リスク] > [ケース] に移動します。 [ケースリスト] が開きます。
確認するケースを選択します。[ケースビュー] が開きます。ここでは、検出結果の概要と、選択したケースにグループ化されたアラートまたはアラートのコレクションに関するすべての情報を確認できます。
[Case Wall] タブで、ケースで実行されたアクティビティと含まれているアラートの詳細を確認します。
[アラート] タブに移動して、検出結果の概要を確認します。

[アラート] タブには、次の情報が含まれています。
- アラートイベントのリスト。
- アラートにアタッチされているハンドブック
- 検出結果の概要。
- 影響を受けるアセットに関する情報
- 省略可: チケットの詳細。

チケット発行システムとの統合

デフォルトでは、チケット発行システムは Security Command Center Enterprise と統合されていません。

脆弱性と構成ミスの検出結果を含むケースには、チケット発行システムを統合して構成した場合にのみ、関連するチケットがあります。チケット発行システムを統合すると、Security Command Center Enterprise はポスチャーケースに基づいてチケットを作成し、同期ジョブを使用して、ハンドブックによって収集されたすべての情報をチケット発行システムに転送します。

デフォルトでは、チケット発行システムを Security Command Center Enterprise インスタンスと統合しても、脅威の検出結果を含むケースに関連するチケットはありません。脅威ケースにチケットを使用するには、アクションを追加して利用可能なハンドブックをカスタマイズするか、新しいハンドブックを作成します。

ケース担当者とチケット担当者

どの時点でも、各検出結果には 1 人のリソースオーナーがいます。リソースオーナーは、 Google Cloud タグ、エッセンシャルコンタクト、または SCC エンタープライズ - Urgent Posture Findings コネクタ で構成された Fallback Owner パラメータ値を使用して定義されます。

チケット発行システムを統合すると、リソースオーナーはデフォルトでチケット担当者になります。チケットの自動割り当てと手動割り当ての詳細については、ポスチャーケースに基づいてチケットを割り当てるをご覧ください。

チケット担当者は、検出結果を処理して修正します。

ケース担当者は、Security Command Center Enterprise のケースで処理し、検出結果の優先順位付けや軽減は行いません。

たとえば、ケース担当者は脅威マネージャーやその他のセキュリティスペシャリストになることができ、エンジニア（チケット担当者）と連携して、ケース内のすべてのアラートが対処されていることを確認します。ケース担当者がチケット発行システムを使用することはありません。

次のステップ

ケースの詳細については、Google SecOps ドキュメントの次のリソースをご覧ください。