Actualizar caso de uso de Enterprise, junio de 2024

Hay actualizaciones disponibles para las funciones de operaciones de seguridad del nivel Enterprise de Security Command Center. Para aplicar las actualizaciones, debes seguir los procedimientos que se indican en esta página.

El procedimiento de actualización incluye los siguientes pasos de alto nivel:

1. Inhabilita un conector y borra ciertas guías existentes a fin de preparar el sistema para la actualización.
2. Instala la versión más reciente del caso de uso de SCC Enterprise: organización y corrección en la nube.
3. Valida la instalación y ejecuta las guías actualizadas.

Confirma que tienes los roles necesarios

Para completar este procedimiento, debes tener alguna de las siguientes funciones de SOC en la consola de operaciones de seguridad:

• Administrador
• Administrador de vulnerabilidades
• Administrador de amenazas

Para obtener más detalles sobre las funciones de SOC en la consola de operaciones de seguridad y los permisos necesarios para los usuarios, consulta Controla el acceso a las funciones en la consola de operaciones de seguridad.

Prepara el sistema para la actualización

Antes de actualizar el caso de uso, debes inhabilitar SCC Enterprise – Urgent Posture Findings Connector y borrar las guías proporcionadas por la versión del caso de uso actual.

Inhabilitar el conector

Para evitar tener alertas sin guías adjuntas, inhabilita el conector de SCC Enterprise – Urgent Posture Findings Connector antes de borrar las guías. Security Command Center transfiere los resultados recopilados mientras el conector está inhabilitado cuando actualizas y habilitas el conector.

Para inhabilitar el conector, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
2. En SCCEnterprise, selecciona SCC Enterprise – Urgent Posture Findings Connector.
3. Mueve el botón de activación para inhabilitar el conector.
4. Haz clic en Guardar.

Borrar guías

Para evitar la duplicación de la guía, borra las guías predeterminadas que usas en la versión actual de tu caso de uso. Borrar las guías antes de actualizar el caso práctico no afecta su administración.

Para borrar las guías predeterminadas, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.
2. Para filtrar las guías de bloques en la página Guías, cambia el filtro desplegable de Mostrar todo a Guías.
3. Selecciona Casos de uso de Siemplify. La carpeta contiene las siguientes guías predeterminadas:
   • Guía de respuesta ante amenazas de AWS
   • Guía de respuesta ante amenazas de GCP
   • Respuesta del recomendador de IAM
   • Hallazgos de la postura: genéricos
   • Hallazgos de la postura con Jira
   • Hallazgos de la postura con ServiceNow
4. En la navegación de la página de las guías, haz clic en Editar para seleccionar varios elementos.
5. Junto a Casos de uso de Siemplify, haz clic en done_all Seleccionar todo para seleccionar todas las guías de la carpeta.
6. En la navegación de la página Guías, haz clic en el menú de lista > Borrar. Aparecerá una ventana en la que se requiere que confirmes o canceles la eliminación de las guías seleccionadas.

7. Haz clic en Confirm.

   Ahora puedes actualizar la versión de tu caso de uso.

Instala el caso de uso de Security Command Center Enterprise

Para instalar la última versión del caso de uso de SCC Enterprise y verificar que todas las integraciones proporcionadas en el caso de uso estén actualizadas.

Instala el caso de uso más reciente

Para instalar la versión más reciente del caso de uso de SCC Enterprise – Cloud Orchestration and Remediation, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Marketplace > Casos de uso.
2. Haz clic en el ícono de filtro para abrir el diálogo Filtrar por categorías.
3. En el diálogo Filtrar por categorías, escribe SCC Enterprise. El caso de uso aparece en la sección Casos prácticos.

4. En la descripción del caso de uso de SCC Enterprise: organización y corrección en la nube, busca una fecha.

   • Si la fecha es anterior a la del caso de uso más reciente o no hay fecha en la descripción, borra el caso de uso. El caso de uso más reciente aparece en lugar del que se borró automáticamente.

   • Si la fecha en el caso de uso de SCC Enterprise: organización y corrección en la nube es la fecha esperada del último caso de uso, confirma que las guías del caso de uso más reciente estén instaladas. Para ello, completa los siguientes pasos:

     1. Haz clic en el caso de uso para abrir el asistente de instalación.
     2. Expande la categoría de guías y toma nota de las guías nuevas o actualizadas.
     3. En la página Respuesta > Guías en la consola de operaciones de seguridad, busca la guía nueva o actualizada. Si encuentras la guía nueva o actualizada, la instalación del caso de uso ya está completa.

5. Para completar el caso de uso de instalación, haz clic en el caso de uso de SCC Enterprise: Cloud Orchestration and Remediation y sigue las instrucciones del asistente de instalación.

Aplica y valida las configuraciones a partir del nuevo caso de uso

Debes validar que las diversas funciones que se incluyen en el caso de uso más reciente se actualicen de forma correcta. Para ciertas funciones, debes aplicar las actualizaciones de un caso de uso nuevo de forma manual.

Valida las versiones de integración en el caso de uso

Para asegurarte de que las integraciones del caso de uso estén actualizadas, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Marketplace > Integraciones.
2. En el campo Tipo, selecciona Todas las integraciones.
3. En el campo Estado, selecciona Actualización disponible. Se muestran todas las integraciones que requieren una actualización.
4. Para actualizar una integración, haz clic en el ícono de actualización circular en la tarjeta de integración y completa el asistente de actualización. Debes actualizar la integración de Security Command Center Enterprise.

Valida el trabajo de sincronización

Después de instalar la versión más reciente del caso de uso y validar las versiones de integración, verifica que el trabajo Sync SCC Data contenga parámetros actualizados.

Para validar el trabajo de sincronización, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Respuesta > Programador de trabajos.
2. En GoogleSecurityCommandCenter, selecciona Sync SCC Data.

3. En la sección Parámetros, verifica que los valores de los parámetros ID del proyecto y ID del proyecto de cuota sean los mismos.

   Si los valores son iguales, el trabajo está actualizado. Puedes proceder a actualizar los widgets de la vista de casos.

   Si los valores difieren, continúa con la siguiente sección.

Actualiza los parámetros del trabajo de sincronización

Si el trabajo de sincronización no se actualizó automáticamente durante la actualización del caso de uso, debes ingresar de forma manual los valores para los parámetros Project ID y Quota Project ID.

Para especificar los valores de parámetro correctos, completa los siguientes pasos:

1. Ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
2. En SCCEnterprise, selecciona SCC Enterprise – Urgent Posture Findings Connector.
3. En la sección Parámetros, copia el valor del parámetro ID del proyecto de cuota.
4. Ve a Respuesta > Programador de trabajos.
5. En GoogleSecurityCommandCenter, selecciona Sync SCC Data.
6. En la sección Parámetros del trabajo Sincronizar datos de SCC, ingresa el valor copiado en los campos ID del proyecto y ID del proyecto de la cuota.
7. Haz clic en Guardar.

Actualiza los widgets de vista de casos

1. En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Datos del caso > Vistas.
2. Selecciona Default Case View.
3. Selecciona la pestaña Predefinido.
4. Desde el panel Default Case View, borra los siguientes widgets:
   • Resumen de resultados (configuración incorrecta)
   • Resumen de hallazgos (vulnerabilidad)
   • SCC: Estado del hallazgo
   • Próximos pasos de SCC
   • Información de la entrada

5. Arrastra los widgets de la pestaña Predefinido a la Vista de caso predeterminado en el siguiente orden recomendado:

   1. Resumen del caso
   2. Ruta de ataque de combinación tóxica
   3. Resultados
   4. Investigación de IA/Resumen de Gemini
   5. Resumen de resultados
   6. SCC: Estado del hallazgo
   7. Activos afectados
   8. Activos de AWS afectados
   9. Información de boleto
   10. Acciones pendientes
   11. Alertas
   12. Gráfico de entidades
   13. Aspectos destacados de las entidades
   14. Actividad más reciente del muro de casos
   15. Recomendaciones
   16. Estadísticas

6. Haz clic en Guardar vista.

Validar widgets

Para asegurarte de obtener la información correcta, verifica que los siguientes widgets contengan la condición correcta:

• Ruta de ataque de combinación tóxica
• Hallazgo
• Gráfico de entidades
• Investigación de IA/Resumen de Gemini

Para validar los widgets, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Datos del caso > Vistas.
2. Selecciona Default Case View.
3. Para los widgets Ruta de ataque de combinación tóxica y Búsqueda, haz clic en settings Configuración.
4. En Configuración avanzada, en la sección Condiciones, la condición debe ser la siguiente: [Case.Tags] () Toxic Combination. De lo contrario, actualiza la condición y haz clic en Guardar.
5. Para los widgets Gráfico de entidades y Investigación de IA/Resumen de Gemini, haz clic en settings Configuración.
6. En Configuración avanzada, en la sección Condiciones, la condición debe ser la siguiente: [Case.Tags] !() Toxic Combination. De lo contrario, actualiza la condición y haz clic en Guardar.

Crea una regla de agrupación de alertas

Para admitir actualizaciones de la última versión del caso de uso, crea una nueva regla de agrupación de alertas.

Para crear una regla de alerta, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Avanzado > Agrupación de alertas.
2. En la sección Reglas, haz clic en agregar Agregar. Se abrirá la ventana Agregar regla de agrupación.
3. En el campo Categoría, selecciona Fuente de datos.
4. En el campo Fuente de datos, selecciona SCCEnterprise.
5. En el campo Agrupar por, selecciona Identificador de agrupamiento de origen.
6. Haz clic en Crear.
7. En la página Agrupación de alertas, haz clic en Guardar.

Habilitar guías

Si deseas habilitar una guía para procesar vulnerabilidades y parámetros de configuración incorrectos, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.

2. Selecciona la carpeta Casos de uso de Siemplify.

   Si no te integraste a los sistemas de tickets, asegúrate de que la guía Posture Findings - Generic esté habilitada.

   Si integraste los sistemas de tickets, completa los siguientes pasos:

   1. Selecciona la guía Posture Findings – Generic.
   2. Mueve el botón de activación para inhabilitarlo.
   3. Haz clic en Guardar.
   4. Si realizaste la integración con Jira, selecciona la guía Posture Findings With Jira.
      1. Mueve el botón de activación para habilitar la guía.
      2. Haz clic en Guardar.
   5. Si integraste ServiceNow, selecciona la guía Posture Findings With ServiceNow.
      1. Mueve el botón de activación para habilitar la guía.
      2. Haz clic en Guardar.

Volver a ejecutar las guías

Para aplicar las guías nuevas a las alertas existentes, vuelve a ejecutarlas. Volver a ejecutar una guía no crea tickets nuevos para las alertas existentes.

Para volver a ejecutar una guía, completa los siguientes pasos:

1. En la consola de Operaciones de seguridad, ve a Casos.
2. Selecciona un caso abierto.
3. En la Vista de caso, selecciona una alerta para volver a ejecutar una guía.
4. En la pestaña Guías, junto al nombre de la guía, haz clic en Volver a ejecutar la guía.

Actualiza el conector

La actualización del caso de uso no actualiza el conector automáticamente. Para asegurarte de que la transferencia de datos funcione como se espera después de la actualización del caso de uso, actualiza el conector.

Para actualizar el conector, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
2. En SCCEnterprise, selecciona SCC Enterprise – Urgent Posture Findings Connector.
3. Haz clic en Actualizar almacenado en caché.
4. Mueve el botón de activación para habilitar el conector.
5. Haz clic en Guardar.

Verifica la configuración de actualización

Para asegurarte de que todos los componentes del caso de uso se actualicen de forma correcta, prueba el conector y el trabajo.

Prueba el conector

1. En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
2. En SCCEnterprise, selecciona SCC Enterprise – Urgent Posture Findings Connector.
3. Ve a la pestaña Pruebas.
4. Haz clic en Ejecutar conector una vez. Si la configuración del conector es correcta, aparecerá la marca de verificación.

Prueba el trabajo

1. En la consola de operaciones de seguridad, ve a Respuesta > Programador de trabajos.
2. En GoogleSecurityCommandCenter, selecciona Sync SCC Data.
3. Haz clic en Ejecutar ahora. Si el trabajo funciona como se espera, su estado es Success.

Soluciona problemas

• En el widget Finding Summary, si la sección Next steps de una alerta de resultado tiene un formato incorrecto o falta, vuelve a ejecutar la guía en una alerta del caso afectado.

• El trabajo Sync SCC Data muestra el siguiente error:

  TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)
  

  Espera diez minutos y haz clic en Ejecutar ahora. Si el error persiste, completa los siguientes pasos:

  1. En la sección Parámetros del trabajo, borra el valor del parámetro ID de organización.
  2. Ingresa el valor del parámetro ID de organización.
  3. Haz clic en Guardar.
  4. Haz clic en Ejecutar ahora.