Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

案件總覽

本文將介紹 Security Command Center Enterprise 層級的案件概念，並說明如何處理案件。

總覽

在 Security Command Center 中，您可以透過案件取得有關發現項目的詳細資料、將應對手冊附加至發現項目快訊、套用自動威脅回應，以及追蹤安全性問題的修復情況。

「發現項目」是偵測服務產生的安全性問題記錄。在案件中，調查結果和其他安全性問題會以快訊形式呈現，並透過收集額外資訊的應對手冊進行強化。Security Command Center 會盡可能將新快訊新增至現有案件，並與其他相關快訊歸類在一起。如要進一步瞭解案件，請參閱 Google SecOps 說明文件中的「案件總覽」。

發現項目流程

在 Security Command Center Enterprise 中，發現項目有兩種流程：

Security Command Center 威脅發現項目會經過安全資訊與事件管理 (SIEM) 模組。觸發內部 SIEM 規則後，調查結果會變成快訊。

這個連結器會收集警報，並將警報匯入自動化安全性調度管理和應變 (SOAR) 模組，由應對手冊處理警報，並將警報歸入案件。
有害組合發現項目和任何相關安全漏洞與設定錯誤發現項目，都會直接傳送至 SOAR 模組。SCC Enterprise - Urgent Posture Findings Connector 擷取並將發現結果歸類為案件中的快訊後，應對手冊會處理並擴充快訊。

在 Security Command Center Enterprise 中，Security Command Center 發現項目會變成案件快訊。

調查案件

在擷取期間，系統會將發現項目歸類為案件，讓安全專家瞭解要優先處理哪些項目。

如果多項發現的參數相同，系統會將這些發現歸納為一個案件。如要進一步瞭解調查結果分組機制，請參閱在案件中將調查結果分組。如果您使用 Jira 或 ServiceNow 等票證系統，系統會根據案件建立票證，也就是說，一個案件的所有發現事項會對應一張票證。

發現項目狀態

發現項目可能處於下列任一狀態：

有效：發現項目有效。
已忽略：發現項目處於有效狀態，但已遭忽略。如果案件中的所有發現項目都遭到忽略，案件就會結案。如要進一步瞭解如何忽略案件中的發現項目，請參閱「忽略案件中的發現項目」。
已關閉：發現項目無效。

發現項目的狀態會顯示在「案件總覽」分頁的「發現項目狀態」小工具，以及警報的「發現項目摘要」小工具中。

如果整合票證系統，請啟用同步處理作業，自動更新調查結果和狀態資訊，並將案件資料與相關票證同步處理。如要進一步瞭解案件資料同步處理，請參閱「啟用案件資料同步處理」。

發現項目的嚴重性與案件優先順序

根據預設，案件中的所有發現項目都具有相同的 severity 屬性。您可以設定分組設定，將嚴重程度不同的發現項目納入同一個案件。

案件優先順序取決於最高嚴重程度的發現項目。發現項目的嚴重程度變更時，Security Command Center 會自動更新案件優先順序，以符合案件中所有發現項目最高的嚴重程度屬性。將發現項目設為靜音不會影響案件優先順序，如果設為靜音的發現項目嚴重程度最高，案件優先順序就會依此決定。

在下列範例中，案件 1 的優先順序為「重大」，因為發現 3 的嚴重程度 (雖然已設為靜音) 設為「重大」：

情境 1：優先順序：CRITICAL
- 發現項目 1，有效。嚴重程度：HIGH
- 發現項目 2，有效。嚴重程度：HIGH
- 發現項目 3 (已忽略)。嚴重程度：CRITICAL

在下一個範例中，案件 2 的優先順序為「高」，因為所有發現項目的最高嚴重程度為「高」：

案件 2：優先順序：HIGH
- 發現項目 1，有效。嚴重程度：HIGH
- 發現項目 2，有效。嚴重程度：HIGH
- 發現項目 3 (已忽略)。嚴重程度：HIGH

查看案件

如要查看案件，請按照下列步驟操作：

在 Google Cloud 控制台，依序前往「風險」>「案件」。系統會開啟「案件清單」。
選取要查看的案件，系統會開啟「案件檢視」，其中包含調查結果摘要，以及所選案件中所有警示或警示集合的相關資訊。
如要查看案件和相關快訊的活動詳細資料，請前往「案件牆」分頁。
前往「Alert」(快訊) 分頁，查看調查結果總覽。

「快訊」分頁包含下列資訊：
- 快訊事件清單。
- 附加至警告的應對手冊。
- 調查結果總覽。
- 受影響資產的相關資訊。
- 選填：支援單詳細資料。

與支援單處理系統整合

根據預設，Security Command Center Enterprise 不會整合任何支援單處理系統。

只有在整合及設定支援單處理系統後，含有安全漏洞和錯誤設定結果的案件才會產生相關支援單。如果整合支援單處理系統，Security Command Center Enterprise 會根據安全狀態案件建立支援單，並使用同步作業將劇本收集的所有資訊轉送至支援單處理系統。

根據預設，即使您將支援單處理系統與 Security Command Center Enterprise 執行個體整合，含有威脅發現項目的案件也不會有相關支援單。如要為威脅案件使用支援單，請新增動作自訂可用的劇本，或建立新劇本。

案件指派對象與服務單指派對象

每個發現項目在任何時間點都只有一位資源擁有者。資源擁有者是使用 Google Cloud 標記、重要聯絡人或在 SCC Enterprise - Urgent Posture Findings Connector 中設定的備援擁有者參數值定義。

如果整合支援單處理系統，資源擁有者預設為支援單指派對象。如要進一步瞭解自動和手動指派單據，請參閱「根據姿勢案例指派單據」。

票證指派對象會根據調查結果進行補救。

案件指派對象會在 Security Command Center Enterprise 中處理案件，但不會分類或減輕發現項目。

舉例來說，案件指派對象可以是威脅管理員或其他安全專家，他們會與工程師 (案件指派對象) 合作，確認案件中的所有快訊都已處理完畢。案件指派對象絕不會使用票證系統。

後續步驟

如要進一步瞭解案件，請參閱 Google SecOps 說明文件中的下列資源：