Vista geral de registos

Este documento aborda os conceitos de registos no nível Enterprise do Security Command Center e explica como trabalhar com eles.

Vista geral

No Security Command Center, usa exemplos de utilização para obter detalhes sobre as descobertas, anexar manuais de procedimentos a alertas de descobertas, aplicar respostas automáticas a ameaças e acompanhar a remediação de problemas de segurança.

Uma descoberta é um registo de um problema de segurança gerado por um dos serviços de deteção. Num registo, as conclusões e outros problemas de segurança são apresentados como alertas, que são enriquecidos através de um manual de procedimentos que recolhe informações adicionais. Sempre que possível, o Security Command Center adiciona novos alertas a casos existentes, onde são agrupados com outros alertas relacionados. Para mais detalhes sobre registos, consulte a vista geral dos registos na documentação do Google SecOps.

Fluxo de resultados

No Security Command Center Enterprise, existem dois fluxos para resultados:

  1. As conclusões de ameaças do Security Command Center passam pelo módulo de gestão de eventos e informações de segurança (SIEM). Depois de acionar as regras do SIEM interno, as descobertas transformam-se em alertas.

    O conector recolhe os alertas e carrega-os para o módulo de orquestração, automatização e resposta de segurança (SOAR), onde os guias interativos processam e enriquecem os alertas agrupados em registos.

  2. Os resultados de combinações tóxicas e quaisquer resultados de vulnerabilidades e erros de configuração relacionados vão diretamente para o módulo SOAR. Depois de o SCC Enterprise - Urgent Posture Findings Connector carregar e agrupar as descobertas como alertas em registos, os manuais de procedimentos processam e enriquecem os alertas.

No Security Command Center Enterprise, a deteção do Security Command Center torna-se um alerta de registo.

Investigue registos

Durante a ingestão, as conclusões são agrupadas em casos para que os especialistas em segurança saibam o que triar.

Vários resultados com os mesmos parâmetros são agrupados num caso. Para saber mais sobre o mecanismo de agrupamento de resultados, consulte o artigo Agrupe resultados em registos. Se estiver a usar um sistema de pedidos, como o Jira ou o ServiceNow, é criado um pedido com base num registo, o que significa que existe um pedido para todas as conclusões num registo.

Estado de localização

Uma descoberta pode ter qualquer um dos seguintes estados:

  • Ativa: a descoberta está ativa.

  • Som desativado: a descoberta está ativa e com o som desativado. Se todas as conclusões num registo forem ignoradas, o registo é encerrado. Para saber mais sobre como ignorar resultados em registos, consulte o artigo Ignore resultados em registos.

  • Fechada: a descoberta está inativa.

O estado da deteção é apresentado no widget Estado da deteção do separador Vista geral do registo e no widget Resumo da deteção de um alerta.

Se fizer a integração com sistemas de emissão de bilhetes, ative as tarefas de sincronização para manter as informações sobre as conclusões e os respetivos estados atualizados automaticamente e sincronizar os dados dos registos com os registos relevantes. Para saber mais acerca da sincronização de dados de registos, consulte o artigo Ative a sincronização de dados de registos.

Determinar a gravidade em comparação com a prioridade do registo

Por predefinição, todas as conclusões contidas num registo têm a mesma severity propriedade. Pode configurar as definições de agrupamento para incluir conclusões com diferentes gravidades num único registo.

A prioridade do caso baseia-se na gravidade da descoberta mais elevada. Quando a gravidade da descoberta muda, o Security Command Center atualiza automaticamente a prioridade do registo para corresponder à propriedade de gravidade mais elevada entre todas as descobertas num registo. A desativação do som das descobertas não tem impacto na prioridade do registo. Se uma descoberta com o som desativado tiver a gravidade mais elevada, define a prioridade do registo.

No exemplo seguinte, a prioridade do Caso 1 é Crítica porque a gravidade da Descoberta 3 (embora desativada) está definida como Crítica:

  • Caso 1: prioridade: CRITICAL
    • Encontrar 1, ativo. Gravidade: HIGH
    • Encontrar 2, ativo. Gravidade: HIGH
    • A encontrar 3, som desativado. Gravidade: CRITICAL

No exemplo seguinte, a prioridade para o registo 2 é Elevada porque a gravidade mais elevada para todas as conclusões é Elevada:

  • Registo 2: prioridade: HIGH
    • Encontrar 1, ativo. Gravidade: HIGH
    • Encontrar 2, ativo. Gravidade: HIGH
    • A encontrar 3, som desativado. Gravidade: HIGH

Rever registos

Para rever um registo, siga estes passos:

  1. Na Google Cloud consola, aceda a Risco > Registos. A lista de registos é aberta.
  2. Selecione um registo para rever. A vista de registo é aberta, onde pode encontrar um resumo das conclusões, juntamente com todas as informações sobre um alerta ou a recolha de alertas agrupados num registo selecionado.
  3. Consulte o separador Case Wall para ver detalhes sobre a atividade realizada no registo e os alertas incluídos.
  4. Aceda ao separador Alerta para ver uma vista geral de uma descoberta.

    O separador Alerta contém as seguintes informações:

    • Lista de eventos de alerta.
    • Playbooks anexados ao alerta.
    • Uma vista geral das descobertas.
    • Informações sobre o recurso afetado.
    • Opcional: detalhes do pedido.

Integração com sistemas de emissão de bilhetes

Por predefinição, nenhum sistema de pedidos está integrado no Security Command Center Enterprise.

Os registos que contêm resultados de vulnerabilidades e erros de configuração só têm pedidos relacionados quando integra e configura o sistema de emissão de pedidos. Se integrar um sistema de pedidos de apoio técnico, o Security Command Center Enterprise cria pedidos de apoio técnico com base em registos de postura e encaminha todas as informações recolhidas pelos guias interativos para o sistema de pedidos de apoio técnico através da tarefa de sincronização.

Por predefinição, os registos que contêm resultados de ameaças não têm pedidos relacionados, mesmo quando integra o sistema de emissão de pedidos com a sua instância do Security Command Center Enterprise. Para usar pedidos para os seus casos de ameaças, personalize os manuais de procedimentos disponíveis adicionando uma ação ou crie novos manuais de procedimentos.

Pessoa atribuída ao registo versus pessoa atribuída ao pedido

Cada descoberta tem um único proprietário do recurso em qualquer momento. O proprietário do recurso é definido através de etiquetas, contactos essenciais ou o valor do parâmetro Fallback Owner configurado no SCC Enterprise - Urgent Posture Findings Connector. Google Cloud

Se integrar um sistema de pedidos, o proprietário do recurso é o responsável pelo pedido por predefinição. Para saber mais sobre a atribuição automática e manual de pedidos, consulte o artigo Atribua pedidos com base em registos de postura.

O responsável pelo pedido trabalha com as conclusões para as corrigir.

O responsável pela ocorrência trabalha com ocorrências no Security Command Center Enterprise e não tria nem mitiga as conclusões.

Por exemplo, um responsável do registo pode ser um gestor de ameaças ou outro especialista de segurança que colabora com um engenheiro (responsável do pedido) e verifica se todos os alertas num registo são resolvidos. O responsável pela registo nunca trabalha com sistemas de emissão de bilhetes.

O que se segue?

Para saber mais sobre os registos, consulte os seguintes recursos na documentação do Google SecOps: