Atualização do caso de uso do Enterprise, junho de 2024

As atualizações estão disponíveis para os recursos de operações de segurança do nível Enterprise do Security Command Center. Para aplicar as atualizações, você precisa seguir os procedimentos nesta página.

O procedimento de atualização inclui estas etapas gerais:

  1. Preparar o sistema para atualização desativando um conector e excluindo determinados playbooks atuais.
  2. Instale a versão mais recente do caso de uso SCC Enterprise – Cloud Orchestration and Remediation.
  3. Valide a instalação e execute os playbooks atualizados.

Verifique se você tem os papéis necessários

Para concluir este procedimento, você precisa receber qualquer um dos seguintes papéis de SOC no console de Operações de Segurança:

  • Administrador
  • Gerenciador de vulnerabilidades
  • Gerenciador de ameaças

Para mais detalhes sobre os papéis do SOC no console de Operações de Segurança e as permissões necessárias para os usuários, consulte Controlar o acesso a recursos no console de Operações de Segurança.

Preparar o sistema para a atualização

Antes de atualizar o caso de uso, é necessário desativar o SCC Enterprise – Conector de descobertas de postura urgente e excluir os playbooks fornecidos pela versão do caso de uso atual.

Desativar o conector

Para evitar alertas sem playbooks anexados, desative o conector do SCC Enterprise – Conector de descobertas de postura urgente antes de excluir os playbooks. Quando você atualiza e ativa o conector, o Security Command Center processa as descobertas coletadas enquanto o conector está desativado.

Para desativar o conector, siga estas etapas:

  1. No console de Operações de Segurança, acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise: conector de descobertas de postura urgentes do SCC Enterprise.
  3. Alterne o botão para desativar o conector.
  4. Clique em Salvar.

Excluir playbooks

Para evitar a duplicação do playbook, exclua os playbooks padrão que você usa na versão atual do caso de uso. Excluir playbooks antes de fazer upgrade do caso de uso não afeta o gerenciamento do caso.

Para excluir playbooks padrão, conclua as etapas a seguir:

  1. No console de Operações de Segurança, acesse Resposta > Playbooks.
  2. Para filtrar playbooks de blocos na página Playbooks, altere o filtro do menu suspenso de Mostrar tudo para Playbooks.
  3. Selecione Siemplify Use Cases. A pasta contém os seguintes playbooks padrão:
    • Manual de resposta a ameaças da AWS
    • Manual de resposta a ameaças do GCP
    • Resposta do recomendador do IAM
    • Descobertas de postura – Genérica
    • Descobertas de postura com o Jira
    • Descobertas de postura com o ServiceNow
  4. Na página de navegação da página "playbooks", clique em Editar para selecionar vários itens.
  5. Ao lado de Siemplify Use Cases, clique em done_all Selecionar tudo para selecionar todos os playbooks na pasta.
  6. Na navegação da página Playbooks, clique no menu list > Delete. Uma janela será exibida solicitando que você confirme ou cancele a exclusão dos playbooks selecionados.

  7. Clique em Confirmar.

    Agora é possível atualizar a versão do caso de uso.

Instalar o caso de uso do Security Command Center Enterprise

Para instalar a versão mais recente do caso de uso do SCC Enterprise para a versão mais recente e verificar se todas as integrações fornecidas no caso de uso estão atualizadas.

Instalar o caso de uso mais recente

Para instalar a versão mais recente do caso de uso SCC Enterprise – Cloud Orchestration and Remediation, siga estas etapas:

  1. No console do console de Operações de segurança, acesse Marketplace > Casos de uso.
  2. Clique no ícone de filtro para abrir a caixa de diálogo Filtrar por categorias.
  3. Na caixa de diálogo Filtrar por categorias, digite SCC Enterprise. O caso de uso aparece na seção Casos de uso.

  4. Na descrição do caso de uso SCC Enterprise – Cloud Orchestrator and Remediation, verifique se há uma data.

    • Se a data for anterior à do caso de uso mais recente ou não houver data na descrição, exclua o caso de uso. O caso de uso mais recente aparece automaticamente no lugar do excluído.

    • Se a data no caso de uso SCC Enterprise – Cloud Orchestration and Remediation for a data esperada do caso de uso mais recente, confirme se os playbooks do caso de uso mais recente estão instalados concluindo as seguintes etapas:

      1. Clique no caso de uso para abrir o assistente de instalação.
      2. Expanda a categoria "playbooks" e anote todos os playbooks novos ou atualizados.
      3. Na página Resposta > Playbooks no console de operações de segurança, pesquise o playbook novo ou atualizado. Se você encontrar o playbook novo ou atualizado, a instalação do caso de uso já estará concluída.

  5. Para concluir a instalação do caso de uso, clique no caso de uso SCC Enterprise – Cloud Orchestrator and Remediation e siga as instruções no assistente de instalação.

Aplique e valide as configurações do novo caso de uso

É necessário confirmar se os vários recursos incluídos no caso de uso mais recente foram atualizados corretamente. Para determinados recursos, é necessário aplicar manualmente as atualizações do novo caso de uso.

Validar versões de integração no caso de uso

Para garantir que as integrações do caso de uso estejam atualizadas, siga estas etapas:

  1. No console de Operações de segurança, acesse Marketplace > Integrações.
  2. No campo Type, selecione All Integrations.
  3. No campo Status, selecione Upgrade disponível. Todas as integrações que exigem um upgrade são exibidas.
  4. Para fazer upgrade de uma integração, clique no ícone circular no cartão de integração e conclua o assistente de upgrade. É necessário fazer upgrade da integração do Security Command Center Enterprise.

Validar o job de sincronização

Depois de instalar a versão mais recente do caso de uso e validar as versões de integração, verifique se o job Sincronizar dados do SCC contém parâmetros atualizados.

Para validar o job de sincronização, siga estas etapas:

  1. No console de Operações de segurança, vá para Resposta > Agendador de jobs.
  2. Em GoogleSecurityCommandCenter, selecione Sincronizar dados do SCC.

  3. Na seção Parâmetros, verifique se os valores de parâmetro ID do projeto e ID do projeto de cota são os mesmos.

    Se os valores forem os mesmos, o job está atualizado. É possível continuar com a atualização dos widgets de visualização de casos.

    Se os valores forem diferentes, prossiga para a próxima seção.

Atualizar os parâmetros do job de sincronização

Se o job de sincronização não for atualizado automaticamente durante a atualização do caso de uso, será necessário inserir manualmente os valores dos parâmetros ID do projeto e ID do projeto de cota.

Para especificar os valores de parâmetro corretos, siga estas etapas:

  1. Acesse Configurações > Configurações do SOAR > Processamento > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise – Conector de descobertas de postura urgentes do SCC Enterprise.
  3. Na seção Parâmetros, copie o valor do parâmetro ID do projeto de cota.
  4. Acesse Resposta > Programador de jobs.
  5. Em GoogleSecurityCommandCenter, selecione Sincronizar dados do SCC.
  6. Na seção Parâmetros do job Sincronizar dados do SCC, insira o valor copiado nos campos ID do projeto e ID do projeto de cota.
  7. Clique em Salvar.

Atualizar widgets de visualização de casos

  1. No console de Operações de Segurança, acesse Settings > SOAR Settings > Case Data > Views.
  2. Selecione Visualização de caso padrão.
  3. Selecione a guia Predefinida.
  4. No painel Visualização de caso padrão, exclua os seguintes widgets:
    • Resumo das descobertas (configuração incorreta)
    • Resumo de descobertas (vulnerabilidade)
    • SCC: estado da descoberta
    • Próximas etapas do SCC
    • Informações sobre passagens

  5. Arraste os widgets da guia Predefinida para a Visualização de caso padrão na seguinte ordem recomendada:

    1. Resumo do caso
    2. Caminho de ataque de combinação tóxica
    3. Descobertas
    4. Investigação de IA/Resumo do Gemini
    5. Resumo dos resultados
    6. SCC: estado de descoberta
    7. Recursos afetados
    8. Recursos da AWS afetados
    9. Informações sobre passagens
    10. Ações pendentes
    11. Alertas
    12. Gráfico de entidades
    13. Destaques das entidades
    14. Atividade do mural de casos mais recentes
    15. Recomendações
    16. Estatísticas

  6. Clique em Salvar visualização.

Validar widgets

Para garantir que você receba as informações corretas, verifique se os widgets a seguir contêm a condição correta:

  • Caminho de ataque de combinação tóxica
  • Descoberta
  • Gráfico de entidades
  • Investigação de IA/Resumo do Gemini

Para validar os widgets, siga estas etapas:

  1. No console de Operações de Segurança, acesse Settings > SOAR Settings > Case Data > Views.
  2. Selecione Visualização de caso padrão.
  3. Para os widgets Caminho de ataque de combinação tóxica e Descoberta, clique em Configurações Configuração.
  4. Em Configurações avançadas, na seção Condições, a condição deve ser a seguinte: [Case.Tags] () Toxic Combination. Caso contrário, atualize a condição e clique em Salvar.
  5. Nos widgets Gráfico de entidades e Investigação de IA/Resumo do Gemini, clique em Configurações Configuração.
  6. Em Configurações avançadas, na seção Condições, a condição será a seguinte: [Case.Tags] !() Toxic Combination. Caso contrário, atualize a condição e clique em Salvar.

Criar uma regra de agrupamento de alertas

Para oferecer suporte às atualizações da versão mais recente do caso de uso, crie uma nova regra de agrupamento de alertas.

Para criar uma regra de alerta, siga estas etapas:

  1. No console de Operações de segurança, acesse Configurações > Configurações SOAR > Avançado > Agrupamento de alertas.
  2. Na seção Regras, clique em adicionar Adicionar. A janela Adicionar regra de agrupamento é aberta.
  3. No campo Categoria, selecione Fonte de dados.
  4. No campo Fonte de dados, selecione SCCEnterprise.
  5. No campo Agrupar por, selecione Identificador do agrupamento de origem.
  6. Clique em Criar.
  7. Na página Agrupamento de alertas, clique em Salvar.

Ativar playbooks

Para ativar um playbook para o processamento de vulnerabilidades e configurações incorretas, siga as etapas a seguir:

  1. No console de Operações de Segurança, acesse Resposta > Playbooks.

  2. Selecione a pasta Siemplify Use Cases.

    Se você não fez a integração com sistemas de tíquetes, verifique se o playbook Descobertas de postura – Genérica está ativado.

    Se você fez a integração com sistemas de tíquetes, siga estas etapas:

    1. Selecione o playbook Descobertas de postura – Genérica.
    2. Alterne o botão para desativá-la.
    3. Clique em Salvar.
    4. Se você fez a integração com o Jira, selecione o playbook Descobertas de postura com o Jira.
      1. Alterne o botão para ativar o playbook.
      2. Clique em Salvar.
    5. Se você fez a integração com o ServiceNow, selecione o manual Descobertas de postura com o ServiceNow.
      1. Alterne o botão para ativar o playbook.
      2. Clique em Salvar.

Executar playbooks novamente

Para aplicar os novos playbooks aos alertas existentes, execute-os novamente. A nova execução de um playbook não cria novos tíquetes para alertas existentes.

Para executar novamente um playbook, siga estas etapas:

  1. No console de Operações de Segurança, acesse Casos.
  2. Selecione um caso aberto.
  3. Em Visualização do caso, selecione um alerta para executar novamente um playbook.
  4. Na guia Playbooks, ao lado do nome do playbook, clique em Executar playbook novamente.

Atualizar o conector

Atualizar o caso de uso não atualiza o conector automaticamente. Para garantir que a ingestão de dados funcione conforme esperado após a atualização do caso de uso, atualize o conector.

Para atualizar o conector, siga estas etapas:

  1. No console de Operações de Segurança, acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise – Conector de descobertas de postura urgente.
  3. Clique em Atualizar em cache.
  4. Alterne o botão para ativar o conector.
  5. Clique em Salvar.

Verificar a configuração da atualização

Para garantir que todos os componentes do caso de uso sejam atualizados com êxito, teste o conector e o job.

Testar o conector

  1. No console de Operações de Segurança, acesse Configurações > Configurações SOAR > Ingestão > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise: conector de descobertas de postura urgentes do SCC Enterprise.
  3. Acesse a guia Testes.
  4. Clique em Executar conector uma vez. Se a configuração do conector estiver correta, uma marca de seleção aparecerá.

Testar o job

  1. No console de Operações de segurança, vá para Resposta > Programador de jobs.
  2. Em GoogleSecurityCommandCenter, selecione Sincronizar dados do SCC.
  3. Clique em Executar agora. Se o job funcionar como esperado, o status dele será Success.

Solução de problemas

  • No widget Resumo da descoberta, se a seção Próximas etapas de um alerta de descoberta estiver formatada incorretamente ou estiver ausente, execute o playbook novamente em um alerta do caso afetado.

  • O job Sincronizar dados do SCC exibe o seguinte erro:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Aguarde dez minutos e clique em Executar agora. Se o erro persistir, siga estas etapas:

    1. Na seção Parâmetros do job, exclua o valor do parâmetro ID da organização.
    2. Insira o valor do parâmetro ID da organização.
    3. Clique em Salvar.
    4. Clique em Executar agora.