Das Update vom 9. Oktober 2024 für den Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation ist jetzt verfügbar. Bitte aktualisieren Sie den Anwendungsfall so bald wie möglich.
Dieser Anwendungsfall enthält Aktualisierungen der Security Operations-Funktionen des Enterprise-Stufe von Security Command Center. So wenden Sie die Aktualisierungen an: die Verfahren auf dieser Seite.
Das Update umfasst die folgenden allgemeinen Schritte:
- Bereiten Sie das System auf die Aktualisierung vor, indem Sie einen Connector deaktivieren und bestimmte vorhandene Playbooks löschen.
- Installieren Sie die neueste Version des SCC Enterprise – Cloud Orchestration and Remediation-Verwendungsfalls.
- Validieren Sie die Installation und führen Sie die aktualisierten Playbooks aus.
Prüfen, ob Sie die erforderlichen Rollen haben
Um diesen Vorgang abzuschließen, Sie benötigen eines der folgenden Sicherheitscenter Rollen in der Security Operations-Konsole:
- Administrator
- Vulnerability Manager
- Threat Manager
Weitere Informationen zu SOC-Rollen in der Security Operations Console und zu den für Nutzer erforderlichen Berechtigungen finden Sie unter Zugriff auf Funktionen in der Security Operations Console steuern.
System auf das Update vorbereiten
Bevor Sie den Anwendungsfall aktualisieren, müssen Sie die Funktion SCC Enterprise – Urgent Posture Findings Connector und Löschen Sie die Playbooks, die von der aktuellen Version des Anwendungsfalls bereitgestellt werden.
Connector deaktivieren
Um zu vermeiden, dass Benachrichtigungen ohne angehängte Playbooks angezeigt werden, deaktivieren Sie die SCC Enterprise – Urgent Posture Findings Connector-Connector bevor Sie Playbooks löschen. Wenn Sie den Connector aktualisieren und aktivieren, werden Ergebnisse, die erfasst wurden, während der Connector deaktiviert war, in Security Command Center aufgenommen.
So deaktivieren Sie den Connector:
- Gehen Sie in der Security Operations-Konsole zu Settings > SOAR Settings (SOAR-Einstellungen). > Datenaufnahme > Connectors.
- Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Urgent Posture Findings Connector aus.
- Stellen Sie den Schalter auf „Aus“, um den Anschluss zu deaktivieren.
- Klicken Sie auf Speichern.
Playbooks löschen
Löschen Sie Standard-Playbooks, die Sie in der aktuellen Version Ihres Anwendungsfalls verwenden, um Duplikate zu vermeiden. Playbooks werden gelöscht vor dem Das Upgrade des Anwendungsfalls hat keine Auswirkungen auf die Fallverwaltung.
So löschen Sie Standard-Playbooks:
Klicken Sie in der Security Operations Console auf Response > Playbooks. Der Drop-down-Filter ist standardmäßig auf Alle anzeigen gesetzt.
Wählen Sie den Ordner Siemplify Use Cases aus. Dieser Ordner enthält die folgenden Standard-Playbooks:
- AWS Threat Response Playbook
- Playbook zur GCP-Bedrohungsabwehr
- IAM Recommender-Antwort
- Ergebnisse zur Haltung – allgemein
- Ergebnisse zur Sicherheit – allgemein – VM Manager
- Sicherheitsstatusergebnisse mit Jira
- Ergebnisse zur Sicherheitsposition mit ServiceNow
- Google Cloud – Ausführung – Kryptomining
- Google Cloud – Ausführung – Binär oder Bibliothek geladen Ausgeführt
- Google Cloud – Ausführung – Schadhaftes URL-Script oder Shell-Prozess
- Google Cloud – Persistenz – Verdächtiges Verhalten
- Google Cloud – Persistence – IAM Anomalous Grant
- Posture – Playbook zu schädlichen Kombinationen
- Vorabversion – Azure Threat Response Playbook
Klicken Sie auf der Seite Playbooks auf Bearbeiten, um mehrere Elemente auszuwählen.
Klicken Sie neben Use Cases vereinfachen auf done_all „Alle auswählen“, um alle Playbooks und Blöcke im Ordner auszuwählen.
Klicken Sie auf der Seite Playbooks auf das Listen-Menü > Löschen. In einem Fenster müssen Sie das Löschen der ausgewählten Playbooks bestätigen oder abbrechen.
Klicken Sie auf Bestätigen.
Sie können jetzt die Version Ihres Anwendungsfalls aktualisieren.
Anwendungsfall für Security Command Center Enterprise installieren
Zum Installieren der neuesten Version des SCC Enterprise-Anwendungsfalls auf die neueste Version Prüfen Sie, ob alle im Anwendungsfall bereitgestellten Integrationen aktiviert sind. bis heute.
Aktuellen Anwendungsfall installieren
So installieren Sie die neueste Version des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation:
- Klicken Sie in der Security Operations-Konsole auf Marketplace >. Anwendungsfälle.
- Klicken Sie auf das Filtersymbol , um das Dialogfeld Nach Kategorien filtern zu öffnen.
- Geben Sie im Dialogfeld Nach Kategorien filtern den Wert
SCC Enterprise
ein. Der Anwendungsfall wird im Abschnitt Anwendungsfälle angezeigt. In der Beschreibung von SCC Enterprise – Cloud Orchestration und Abhilfe, suchen Sie nach einem Datum.
- Wenn das Datum vor dem 10. Juli 2024 liegt oder in der Beschreibung kein Datum angegeben ist, löschen Sie den Anwendungsfall. Der neueste Anwendungsfall wird automatisch anstelle des gelöschten Anwendungsfalls angezeigt.
Wenn das Datum im Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation der 10. Juli 2024 oder später ist, prüfen Sie, ob die Playbooks im neuesten Anwendungsfall installiert sind. Führen Sie dazu die folgenden Schritte aus:
- Klicken Sie auf den Anwendungsfall, um den Installationsassistenten zu öffnen.
- Maximieren Sie die Kategorie „Playbooks“ und notieren Sie sich neue oder aktualisierte Playbooks.
- In der Antwort > Playbooks in der Security Operations Console suchen Sie nach dem neuen oder aktualisierten Playbook. Wenn Sie das neue oder Playbook aktualisiert haben, ist die Installation des Anwendungsfalls bereits abgeschlossen.
Klicken Sie zum Abschließen der Installation des Anwendungsfalls auf den Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation (SCC Enterprise – Cloud Orchestration and Remediation) und folgen Sie der Anleitung im Installationsassistenten.
Konfigurationen aus dem neuen Anwendungsfall anwenden und validieren
Sie müssen überprüfen, ob die verschiedenen Funktionen, die in der aktuellen Anwendungsfall korrekt aktualisiert. Bei bestimmten Funktionen müssen Sie die Änderungen aus dem neuen Anwendungsfall manuell anwenden.
Integrationsversionen im Anwendungsfall validieren
Die neuen Versionen der im Anwendungsfall enthaltenen Integrationen sind jede Woche verfügbar. Aktualisieren Sie die Integrationen so bald wie möglich auf ihre neuesten Versionen Komfort zu bieten.
Die neuen Versionen der Integrationen umfassen u. a. folgende Updates: Fehlerkorrekturen, neue Widgets und Aktionen, Änderungen an vorhandenen Widgets und Aktionen, Verbesserungen bei der Verarbeitung von Benachrichtigungen und Verbesserungen der Verarbeitungslogik für die Erkennung und Workflow-Mapping.
So wenden Sie die Updates für Integrationen an:
- Gehen Sie in der Security Operations Console zu Marketplace > Integrationen.
- Wählen Sie im Feld Typ die Option Alle Integrationen aus.
- Wählen Sie im Feld Status die Option Verfügbares Upgrade aus. Alle Integrationen, für die ein Upgrade erforderlich ist, werden angezeigt.
- Um eine Integration zu aktualisieren, klicken Sie auf Upgrade auf Version VERSION.
- Wenn das Dialogfeld INTEGRATION wird aktualisiert klicken Sie auf Bestätigen.
- Klicken Sie im Dialogfeld Bestätigung auf Genehmigen.
- Wählen Sie im Dialogfeld Überschreibung der Zuordnung bestätigen die Option Neue Ontologiekonfiguration installieren und vorhandene überschreiben aus und klicken Sie dann auf Bestätigen.
Es ist erforderlich, die SCC Enterprise-Integration zu aktualisieren und die neue Ontologiekonfiguration für alle aktualisierten Integrationen zu installieren.
Cloud Storage-Einbindung konfigurieren
Um die Ergebnisse zu ACLs für öffentliche Bucket zu beheben, wird im Update vom 9. Oktober 2024 des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation eine zusätzliche Integration eingeführt: die Cloud Storage-Integration.
Damit die Playbooks den PUBLIC BUCKET ACL
-Ergebnisbereich ergänzen und beheben können, müssen Sie die Cloud Storage-Einbindung konfigurieren. Gehen Sie dazu so vor:
- Konfigurieren Sie die Integrationsparameter.
- Aktivieren Sie die Abhilfe für öffentliche Buckets für Playbooks.
Integrationsparameter konfigurieren
So konfigurieren Sie die Parameter für die Cloud Storage-Integration:
- Gehen Sie in der Security Operations Console zu Marketplace > Integrationen.
- Geben Sie
Storage
in das Feld Suchen ein. Die Karte „Cloud Storage-Integration“ wird angezeigt. - Klicken Sie auf der Integrationskarte auf Konfigurieren. Dialogfeld „Konfiguration“ wird geöffnet.
- Konfigurieren Sie die Parameter Workload Identity-E-Mail-Adresse, Projekt-ID und Kontingentprojekt-ID. Sie können Parameterwerte aus jedem beliebigen andere Google Cloud-Einbindungen, z. B. die Cloud Asset Inventory-Integration.
- Klicken Sie auf Speichern.
- Klicken Sie auf Testen, um die Konfiguration zu testen.
Abhilfe für öffentliche Buckets für Playbooks aktivieren
Informationen zum Aktivieren der Korrektur für öffentliche Buckets für die Playure-Ergebnisse finden Sie unter Öffentlichen Bucket aktivieren und Abhilfe schaffen.
Fallansichts-Widgets aktualisieren
- Klicken Sie in der Security Operations Console auf Einstellungen > SOAR-Einstellungen > Falldaten > Ansichten.
- Wählen Sie Standardansicht für Anfragen aus.
- Wählen Sie den Tab Vordefiniert aus.
Ziehen Sie die Widgets vom Tab Vordefiniert in die Standardansicht für Anfragen. in der folgenden empfohlenen Reihenfolge:
- Zusammenfassung der Anfrage
- Angriffspfad zu schädlichen Kombinationen
- Ergebnisse
- KI-Untersuchung/Gemini-Zusammenfassung
- Ergebniszusammenfassung
- SCC – Ergebnisstatus
- Betroffene Assets
- Ticketinformationen
- Ausstehende Aktionen
- Entitätendiagramm
- Wichtige Felder der Entitäten
Klicken Sie auf Ansicht speichern.
Widgets validieren
Damit Sie die richtigen Informationen erhalten, prüfen Sie, ob die folgenden Widgets die richtige Bedingung enthalten:
- Angriffspfad für schädliche Kombinationen
- Ergebnisse
- Grafik zur Entität
- KI-Prüfung/Zusammenfassung für Gemini
- Ergebniszusammenfassung
- Betroffene Ressourcen
- SCC – Status der Prüfung
- Betroffene Assets
- Betroffene AWS-Assets
So validierst du die Widgets:
Klicken Sie in der Security Operations Console auf Einstellungen > SOAR-Einstellungen > Falldaten > Ansichten.
Wähle Standardmäßige Fallansicht aus.
Klicken Sie sowohl für das Widget Angriffspfad zu schädlichen Kombinationen als auch für das Widget Ergebnis auf Einstellungen Konfiguration.
Unter Erweiterte Einstellungen im Bereich Bedingungen wird die Bedingung sollte so aussehen:
[Case.Tags] () Toxic Combination
. Falls nicht, aktualisieren Sie die Bedingung aus und klicken Sie dann auf Speichern.Für Entities Graph und AI Investigation/Gemini-Zusammenfassung klicken Sie auf Einstellungen Konfiguration.
Unter Erweiterte Einstellungen im Abschnitt Bedingungen sollte die Bedingung so lauten:
[Case.Tags] !() Toxic Combination
. Ist dies nicht der Fall, aktualisieren Sie die Bedingung und klicken Sie dann auf Speichern.Klicken Sie für das Widget Suchergebnisse – Zusammenfassung auf EinstellungenKonfiguration.
Unter Erweiterte Einstellungen im Bereich Bedingungen sollten die folgenden Bedingungen gelten:
[Case.Tags] () SCC-TICKET-INFO
[Case.Tags] !() Toxic Combination
[Case.Tags] !() CIEM
[Event.parentDisplayName] !() VM Manager
Falls nicht, aktualisieren Sie die Bedingungen und klicken Sie dann auf Speichern.
Klicken Sie im Widget Betroffene Ressourcen auf settings-Konfiguration:
Unter Erweiterte Einstellungen im Abschnitt Bedingungen sollte die Bedingung so lauten:
[Case.Tags] () Toxic Combination
. Falls nicht, aktualisieren Sie die Bedingung und klicken Sie dann auf Speichern.Klicken Sie beim Widget SCC – Finding State auf Löschen. Wenn der Parameter Bestätigungsdialogfeld geöffnet. Klicken Sie auf Ja.
Um das Widget SCC – Ergebnisstatus zu installieren, das für die neueste Anwendungsfallversion verwenden, ziehen Sie das Widget SCC – Ergebnisstatus aus dem Tab Vordefiniert in der Standardansicht für Fälle.
Klicken Sie im Widget Betroffene Assets auf Löschen. Klicken Sie im Bestätigungsdialogfeld auf Ja.
Wenn Sie das für die neueste Version des Anwendungsfalls konfigurierte Widget Betroffene Assets installieren möchten, ziehen Sie es vom Tab Vordefiniert in die Standardansicht für den Fall.
Klicken Sie für das Widget Betroffene AWS-Assets auf Löschen. Wenn der Parameter Bestätigungsdialogfeld geöffnet. Klicken Sie auf Ja.
Klicken Sie auf Ansicht speichern.
Playbooks aktivieren
Um Playbooks für die Verarbeitung von Sicherheitslücken und Fehlkonfigurationen zu ermöglichen, führen Sie die folgenden Schritte aus:
- Gehen Sie in der Security Operations-Konsole zu Antwort > Playbooks.
Wählen Sie den Ordner Siemplify Use Cases aus.
Wenn Sie das Ticketing-System nicht integriert haben, Statusergebnisse – Allgemein ist aktiviert. Das Playbook Posture Findings – Generic – VM Manager kann optional aktiviert werden.
Wenn Sie eine Ticketsystem-Integration vorgenommen haben, führen Sie die folgenden Schritte aus:
- Wählen Sie das Playbook Posture Findings – Generic aus.
- Deaktivieren Sie die Funktion, indem Sie den Schalter auf „Aus“ stellen.
- Klicken Sie auf Speichern.
- Wählen Sie das Playbook Posture Findings – Generic – VM Manager aus.
- Deaktivieren Sie die Funktion, indem Sie den Schalter auf „Aus“ stellen.
- Klicken Sie auf Speichern.
- Wenn Sie Jira eingebunden haben, wählen Sie das Playbook Posture-Ergebnisse mit Jira aus.
- Stellen Sie die Ein/Aus-Schaltfläche auf „Ein“, um das Playbook zu aktivieren.
- Klicken Sie auf Speichern.
- Wenn Sie ServiceNow integriert haben, wählen Sie die Option Statusergebnisse mit
ServiceNow-Playbook lesen.
- Stellen Sie die Ein/Aus-Schaltfläche auf „Ein“, um das Playbook zu aktivieren.
- Klicken Sie auf Speichern.
Connectors aktualisieren
Durch das Aktualisieren des Anwendungsfalls werden vorhandene Connectors nicht automatisch aktualisiert. Um sicherzustellen, dass die Datenaufnahme nach der Aktualisierung des Anwendungsfalls wie erwartet funktioniert, SCC Enterprise – Urgent Posture Findings Connector und Google Chronicle – Chronicle Alerts Connector.
So aktualisieren Sie SCC Enterprise – Urgent Posture Findings Connector führen Sie die folgenden Schritte aus:
- Klicken Sie in der Security Operations Console auf Einstellungen > SOAR-Einstellungen > Datenaufnahme > Verbindungen.
- Wählen Sie unter SCCEnterprise SCC Enterprise – Urgent Posture Findings Connector Die Seite mit den Konfigurationsparametern für den Connector wird geöffnet.
- Klicken Sie auf im Cache Aktualisieren.
- Legen Sie für den Parameter Run Every den Wert „1 Minute“ fest.
- Stellen Sie die Ein/Aus-Schaltfläche auf „Ein“, um den Connector zu aktivieren.
- Klicken Sie auf Speichern.
So aktualisieren Sie den Connector Google Chronicle – Chronicle Alerts Connector:
- Klicken Sie in der Security Operations Console auf Einstellungen > SOAR-Einstellungen > Datenaufnahme > Verbindungen.
- Wählen Sie unter Google Chronicle die Option Google Chronicle – Chronicle Alerts Connector aus. Die Konfigurationsseite für die Connector-Parameter wird geöffnet.
- Klicken Sie auf Im Cache gespeichert Aktualisieren.
- Legen Sie für den Parameter Run Every den Wert „1 Minute“ fest.
- Geben Sie im Parameterfeld Product Field Name (Produktfeldname)
SCCE
ein. - Stellen Sie die Ein/Aus-Schaltfläche auf „Ein“, um den Connector zu aktivieren.
- Klicken Sie auf Speichern.
Updatekonfiguration prüfen
Testen Sie die Connector und Job.
Anschluss testen
- Klicken Sie in der Security Operations Console auf Einstellungen > SOAR-Einstellungen > Datenaufnahme > Verbindungen.
- Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Dringend aus. Status-Connector für Ergebnisse.
- Rufen Sie den Tab Testen auf.
- Klicken Sie auf Connector einmal ausführen. Wenn die Connector-Konfiguration korrekt ist, erscheint das Häkchen.
Job testen
- Gehen Sie in der Security Operations-Konsole zu Antwort > Jobplaner.
- Wählen Sie unter GoogleSecurityCommandCenter die Option SCC-Daten synchronisieren aus.
- Klicken Sie auf Jetzt ausführen. Wenn der Job wie erwartet funktioniert, lautet der Jobstatus
Success
.
Fehlerbehebung
Der Job SCC-Daten synchronisieren zeigt folgenden Fehler an:
TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)
Warten Sie zehn Minuten und klicken Sie auf Jetzt ausführen. Wenn der Fehler weiterhin auftritt, führen Sie die folgenden Schritte aus:
- Löschen Sie im Abschnitt Parameter des Jobs die Organisations-ID. Parameterwert eingeben.
- Geben Sie den Parameterwert Organisations-ID ein.
- Klicken Sie auf Speichern.
- Klicken Sie auf Jetzt ausführen.
Der Job SCC-Daten synchronisieren zeigt einen Authentifizierungsfehler an, wenn er während der Aktualisierung des Use-Cases nicht automatisch aktualisiert wurde. So korrigieren Sie die Synchronisierung: Jobproblem manuell hinzufügen, geben Sie die Werte für Projekt-ID und Kontingent manuell ein. Projekt-ID-Parameter.
So geben Sie die richtigen Parameterwerte an:
- Gehen Sie zu Einstellungen > SOAR-Einstellungen > Datenaufnahme > Verbindungen.
- Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Urgent Posture Findings Connector aus.
- Kopieren Sie im Abschnitt Parameters (Parameter) den Wert von Quota Project ID (Kontingentprojekt-ID). .
- Klicken Sie auf Antwort > Job-Scheduler.
- Wählen Sie unter SCCEnterprise die Option SCC-Daten synchronisieren aus.
- Geben Sie im Abschnitt Parameters des Jobs Sync SCC Data (SCC-Daten synchronisieren) Folgendes ein: den kopierten Wert in den Feldern Projekt-ID und Kontingentprojekt-ID.
- Klicken Sie auf Speichern.
Nach der Aktualisierung des Anwendungsfalls werden neue Playbooks nicht mehr auf vorhandene Benachrichtigungen angewendet.
Um die neuen Playbooks auf vorhandene Benachrichtigungen anzuwenden und die Benachrichtigung noch einmal zu rendern schließen Sie den Fall und warten Sie, bis der Connector die Benachrichtigungen die angehängten neuen Playbooks.