Pembaruan kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation pada 9 Oktober 2024 kini tersedia. Perbarui kasus penggunaan sesegera mungkin.
Kasus penggunaan ini memberikan update pada fitur operasi keamanan dari paket Enterprise Security Command Center. Untuk menerapkan update, ikuti prosedur di halaman ini.
Prosedur update mencakup langkah-langkah tingkat tinggi berikut:
- Siapkan sistem untuk diupdate dengan menonaktifkan konektor dan menghapus playbook tertentu yang ada.
- Instal kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation versi terbaru.
- Validasi penginstalan dan jalankan playbook yang diperbarui.
Pastikan Anda memiliki peran yang diperlukan
Untuk menyelesaikan prosedur ini, Anda harus diberi salah satu peran SOC berikut di konsol Security Operations:
- Administrator
- Pengelola Kerentanan
- Threat Manager
Untuk mengetahui detail selengkapnya tentang peran SOC di konsol Security Operations dan izin yang diperlukan untuk pengguna, lihat Mengontrol akses ke fitur di konsol Security Operations.
Menyiapkan sistem untuk update
Sebelum memperbarui kasus penggunaan, Anda harus menonaktifkan SCC Enterprise – Urgent Posture Findings Connector dan menghapus playbook yang disediakan oleh versi kasus penggunaan saat ini.
Menonaktifkan konektor
Untuk menghindari notifikasi tanpa playbook yang terlampir, nonaktifkan konektor SCC Enterprise – Urgent Posture Findings Connector sebelum menghapus playbook. Security Command Center menyerap temuan yang dikumpulkan saat konektor dinonaktifkan saat Anda mengupdate dan mengaktifkan konektor.
Untuk menonaktifkan konektor, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Settings > SOAR Settings > Ingestion > Connectors.
- Di bagian SCCEnterprise, pilih SCC Enterprise – Urgent Posture Findings Connector.
- Alihkan tombol untuk menonaktifkan konektor.
- Klik Simpan.
Menghapus playbook
Untuk menghindari duplikasi playbook, hapus playbook default yang Anda gunakan dalam versi kasus penggunaan saat ini. Menghapus playbook sebelum mengupgrade kasus penggunaan tidak akan memengaruhi pengelolaan kasus.
Untuk menghapus playbook default, selesaikan langkah-langkah berikut:
Di konsol Security Operations, buka Respons > Playbook. Filter drop-down disetel ke Tampilkan Semua secara default.
Pilih folder Siemplify Use Cases. Folder ini berisi playbook default berikut:
- Playbook Respons Ancaman AWS
- Playbook Respons Ancaman GCP
- Respons Pemberi Rekomendasi IAM
- Temuan Postur – Umum
- Posture Findings – Generic – VM Manager
- Temuan Postur dengan Jira
- Temuan Postur dengan ServiceNow
- Google Cloud – Eksekusi – Penambangan Mata Uang Kripto
- Google Cloud – Eksekusi – Biner atau Library Dimuat Dijalankan
- Google Cloud – Eksekusi – Skrip URL atau Proses Shell Berbahaya
- Google Cloud – Persistence – Suspicious Behaviour
- Google Cloud – Persistence – IAM Anomalous Grant
- Postur – Playbook Kombinasi Toksik
- Pratinjau – Playbook Respons Ancaman Azure
Di navigasi halaman Playbook, klik Edit untuk memilih beberapa item.
Di samping Sederhanakan Kasus Penggunaan, klik done_all Pilih semua untuk memilih semua playbook dan blok di folder.
Di navigasi halaman Playbook, klik list Menu > Delete. Jendela akan muncul yang mengharuskan Anda mengonfirmasi atau membatalkan penghapusan playbook yang dipilih.
Klik Konfirmasi.
Sekarang Anda dapat memperbarui versi kasus penggunaan.
Menginstal kasus penggunaan Security Command Center Enterprise
Untuk menginstal kasus penggunaan SCC Enterprise versi terbaru ke versi terbaru dan memeriksa apakah semua integrasi yang disediakan dalam kasus penggunaan sudah yang terbaru.
Menginstal kasus penggunaan terbaru
Untuk menginstal kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation versi terbaru, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Marketplace > Use Cases.
- Buka dialog Filter menurut kategori dengan mengklik ikon filter, .
- Pada dialog Filter menurut kategori, ketik
SCC Enterprise
. Kasus penggunaan akan muncul di bagian Kasus Penggunaan. Dalam deskripsi kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation, periksa tanggal.
- Jika tanggalnya lebih awal dari 10 Juli 2024, atau tidak ada tanggal dalam deskripsi, hapus kasus penggunaan tersebut. Kasus penggunaan terbaru akan otomatis muncul sebagai pengganti kasus penggunaan yang dihapus.
Jika tanggal dalam kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation adalah 10 Juli 2024 atau yang lebih baru, konfirmasi bahwa playbook dalam kasus penggunaan terbaru diinstal dengan menyelesaikan langkah-langkah berikut:
- Klik kasus penggunaan untuk membuka wizard penginstalan.
- Luaskan kategori playbook dan catat playbook baru atau yang diperbarui.
- Di halaman Response > Playbooks di konsol Security Operations, telusuri playbook baru atau yang diperbarui. Jika Anda menemukan playbook baru atau yang diperbarui, penginstalan kasus penggunaan sudah selesai.
Untuk menyelesaikan penginstalan kasus penggunaan, klik kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation, lalu ikuti petunjuk di wizard penginstalan.
Menerapkan dan memvalidasi konfigurasi dari kasus penggunaan baru
Anda perlu memvalidasi bahwa berbagai fitur yang disertakan dalam kasus penggunaan terbaru telah diperbarui dengan benar. Untuk fitur tertentu, Anda perlu menerapkan update dari kasus penggunaan baru secara manual.
Memvalidasi versi integrasi dalam kasus penggunaan
Versi baru integrasi yang disertakan dalam kasus penggunaan tersedia setiap minggu. Update integrasi ke versi terbarunya sesegera mungkin.
Versi baru integrasi memperkenalkan update termasuk, tetapi tidak terbatas pada, perbaikan masalah, widget dan tindakan baru, perubahan pada widget dan tindakan yang ada, peningkatan penanganan pemberitahuan, dan peningkatan logika pemrosesan deteksi serta pemetaan alur kerja.
Untuk menerapkan update untuk integrasi, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Marketplace > Integrations.
- Di kolom Type, pilih All Integrations.
- Di kolom Status, pilih Upgrade Tersedia. Semua integrasi yang memerlukan upgrade akan ditampilkan.
- Untuk mengupgrade integrasi, klik Upgrade ke versi VERSION di kartu integrasi.
- Jika dialog Memperbarui INTEGRATION muncul, klik Konfirmasi.
- Jika dialog Konfirmasi muncul, klik Setujui.
- Pada dialog Confirm Overwrite Mapping, pilih opsi berikut: Install the new ontology configuration and override the existing one, lalu klik Confirm.
Anda harus mengupgrade integrasi SCC Enterprise dan menginstal konfigurasi ontologia baru untuk semua integrasi yang diupgrade.
Mengonfigurasi integrasi Cloud Storage
Untuk memperbaiki temuan ACL bucket publik, update pada 9 Oktober 2024 kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation memperkenalkan integrasi tambahan, yaitu integrasi Cloud Storage.
Agar playbook dapat memperkaya dan memperbaiki jenis temuan PUBLIC BUCKET ACL
, konfigurasikan integrasi Cloud Storage dengan menyelesaikan langkah-langkah berikut:
- Konfigurasikan parameter integrasi.
- Aktifkan perbaikan bucket publik untuk playbook.
Mengonfigurasi parameter integrasi
Untuk mengonfigurasi parameter integrasi Cloud Storage, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Marketplace > Integrations.
- Di kolom Telusuri, masukkan
Storage
. Kartu integrasi Cloud Storage akan muncul. - Di kartu integrasi, klik Konfigurasi. Dialog konfigurasi akan terbuka.
- Konfigurasikan parameter Workload Identity Email, Project ID, dan Quota Project ID. Anda dapat menyalin parameter value dari integrasi Google Cloud lainnya, seperti integrasi Cloud Asset Inventory.
- Klik Simpan.
- Klik Uji untuk menguji konfigurasi.
Mengaktifkan perbaikan bucket publik untuk playbook
Untuk mengaktifkan perbaikan bucket publik untuk playbook temuan postur, lihat Mengaktifkan perbaikan bucket publik.
Memperbarui widget tampilan kasus
- Di konsol Security Operations, buka Settings > SOAR Settings > Case Data > Views.
- Pilih Tampilan Kasus Default.
- Pilih tab Standar.
Tarik widget dari tab Standar ke Tampilan Kasus Default dalam urutan yang direkomendasikan berikut:
- Ringkasan Kasus
- Jalur serangan kombinasi toksik
- Temuan
- Ringkasan Penyelidikan AI/Gemini
- Ringkasan Temuan
- SCC – Status Temuan
- Aset yang Terpengaruh
- Informasi Tiket
- Tindakan Tertunda
- Grafik Entity
- Sorotan Entity
Klik Simpan Tampilan.
Memvalidasi widget
Untuk memastikan Anda mendapatkan informasi yang benar, validasikan bahwa widget berikut berisi kondisi yang benar:
- Jalur serangan kombinasi toksik
- Menemukan
- Grafik Entitas
- Investigasi AI/Ringkasan Gemini
- Ringkasan Penemuan
- Resource yang Terkena Dampak
- SCC – Menemukan Status
- Aset yang Terpengaruh
- Aset AWS yang Terpengaruh
Untuk memvalidasi widget, selesaikan langkah-langkah berikut:
Di konsol Security Operations, buka Settings > SOAR Settings > Case Data > Views.
Pilih Tampilan Kasus Default.
Untuk widget Jalur serangan kombinasi toksik dan Menemukan, klik setelan Konfigurasi.
Di bagian Setelan Lanjutan, di bagian Kondisi, kondisinya harus sebagai berikut:
[Case.Tags] () Toxic Combination
. Jika tidak, perbarui kondisi, lalu klik Simpan.Untuk widget Entities Graph dan AI Investigation/Gemini Summary, klik settings Configuration.
Di bagian Setelan Lanjutan, di bagian Kondisi, kondisinya harus sebagai berikut:
[Case.Tags] !() Toxic Combination
. Jika tidak, perbarui kondisi, lalu klik Simpan.Untuk widget Ringkasan Penemuan, klik setelanKonfigurasi.
Di bagian Setelan Lanjutan, di bagian Kondisi, kondisinya harus sebagai berikut:
[Case.Tags] () SCC-TICKET-INFO
[Case.Tags] !() Toxic Combination
[Case.Tags] !() CIEM
[Event.parentDisplayName] !() VM Manager
Jika tidak, perbarui kondisi, lalu klik Simpan.
Untuk widget Resource yang Terpengaruh, klik setelan Konfigurasi.
Di bagian Setelan Lanjutan, di bagian Kondisi, kondisinya harus sebagai berikut:
[Case.Tags] () Toxic Combination
. Jika tidak, perbarui kondisi, lalu klik Simpan.Untuk widget SCC – Finding State, klik Hapus. Saat dialog konfirmasi terbuka, klik Ya.
Untuk menginstal widget SCC – Finding State yang dikonfigurasi untuk versi kasus penggunaan terbaru, tarik widget SCC – Finding State dari tab Predefined ke Default Case View.
Untuk widget Aset yang Terpengaruh, klik Hapus. Saat dialog konfirmasi terbuka, klik Ya.
Untuk menginstal widget Aset yang Terpengaruh yang dikonfigurasi untuk versi kasus penggunaan terbaru, tarik widget Aset yang Terpengaruh dari tab Standar ke Tampilan Kasus Default.
Untuk widget Aset AWS yang Terpengaruh, klik Hapus. Saat dialog konfirmasi terbuka, klik Ya.
Klik Simpan Tampilan.
Mengaktifkan playbook
Untuk mengaktifkan playbook guna memproses kerentanan dan kesalahan konfigurasi, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Respons > Playbook.
Pilih folder Siemplify Use Cases.
Jika Anda tidak berintegrasi dengan sistem penjualan tiket, pastikan Posture Findings – Generic diaktifkan. Mengaktifkan playbook Posture Findings – Generic – VM Manager bersifat opsional.
Jika Anda berintegrasi dengan sistem penjualan tiket, selesaikan langkah-langkah berikut:
- Pilih playbook Posture Findings – Generic.
- Alihkan tombol untuk menonaktifkannya.
- Klik Simpan.
- Pilih playbook Posture Findings – Generic – VM Manager.
- Alihkan tombol untuk menonaktifkannya.
- Klik Simpan.
- Jika Anda berintegrasi dengan Jira, pilih playbook Posture Findings With Jira.
- Alihkan tombol untuk mengaktifkan playbook.
- Klik Simpan.
- Jika Anda berintegrasi dengan ServiceNow, pilih playbook Posture Findings With
ServiceNow.
- Alihkan tombol untuk mengaktifkan playbook.
- Klik Simpan.
Mengupdate konektor
Mengupdate kasus penggunaan tidak akan otomatis mengupdate konektor yang ada. Untuk memastikan proses transfer data berfungsi seperti yang diharapkan setelah pembaruan kasus penggunaan, perbarui konektor SCC Enterprise – Urgent Posture Findings Connector dan Google Chronicle – Chronicle Alerts Connector.
Untuk mengupdate konektor SCC Enterprise – Urgent Posture Findings Connector, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Settings > SOAR Settings > Ingestion > Connectors.
- Di bagian SCCEnterprise, pilih SCC Enterprise – Urgent Posture Findings Connector. Halaman konfigurasi parameter konektor akan terbuka.
- Klik di-cache Perbarui.
- Tetapkan parameter Jalankan Setiap ke 1 menit.
- Alihkan tombol untuk mengaktifkan konektor.
- Klik Simpan.
Untuk mengupdate konektor Google Chronicle – Chronicle Alerts Connector, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Settings > SOAR Settings > Ingestion > Connectors.
- Di bagian GoogleChronicle, pilih Google Chronicle – Konektor Pemberitahuan Chronicle. Halaman konfigurasi parameter konektor akan terbuka.
- Klik di-cache Perbarui.
- Tetapkan parameter Jalankan Setiap ke 1 menit.
- Di kolom parameter Nama Kolom Produk, masukkan
SCCE
. - Alihkan tombol untuk mengaktifkan konektor.
- Klik Simpan.
Memverifikasi konfigurasi update
Untuk memastikan semua komponen kasus penggunaan berhasil diperbarui, uji konektor dan tugas.
Menguji konektor
- Di konsol Security Operations, buka Settings > SOAR Settings > Ingestion > Connectors.
- Di bagian SCCEnterprise, pilih SCC Enterprise – Urgent Posture Findings Connector.
- Buka tab Pengujian.
- Klik Run connector once. Jika konfigurasi konektor sudah benar, tanda centang akan muncul.
Menguji tugas
- Di konsol Security Operations, buka Response > Job Scheduler.
- Di bagian GoogleSecurityCommandCenter, pilih Sinkronkan Data SCC.
- Klik Jalankan Sekarang. Jika tugas berfungsi seperti yang diharapkan, status tugasnya adalah
Success
.
Pemecahan masalah
Tugas Sync SCC Data menampilkan error berikut:
TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)
Tunggu selama sepuluh menit, lalu klik Jalankan Sekarang. Jika error berlanjut, selesaikan langkah-langkah berikut:
- Di bagian Parameter tugas, hapus nilai parameter Organization ID.
- Masukkan nilai parameter Organization ID.
- Klik Simpan.
- Klik Jalankan Sekarang.
Tugas Sync SCC Data menampilkan error autentikasi saat gagal diupdate secara otomatis selama update kasus penggunaan. Untuk memperbaiki masalah tugas sinkronisasi, masukkan nilai untuk parameter Project ID dan Quota Project ID secara manual.
Untuk menentukan nilai parameter yang benar, selesaikan langkah-langkah berikut:
- Buka Setelan > Setelan SOAR > Proses Transfer > Konektor.
- Di bagian SCCEnterprise, pilih SCC Enterprise – Urgent Posture Findings Connector.
- Di bagian Parameters, salin nilai parameter Quota Project ID.
- Buka Response > Job Scheduler.
- Di bagian SCCEnterprise, pilih Sinkronkan Data SCC.
- Di bagian Parameters pada tugas Sync SCC Data, masukkan nilai yang disalin di kolom Project ID dan Quota Project ID.
- Klik Simpan.
Setelah kasus penggunaan diperbarui, playbook baru tidak berlaku untuk pemberitahuan yang ada.
Untuk menerapkan playbook baru ke pemberitahuan yang ada dan merender ulang widget Pemberitahuan, tutup kasus dan tunggu hingga konektor menyerap pemberitahuan lagi dengan playbook baru yang dilampirkan.