Enterprise のユースケースを更新する

SCC Enterprise - Cloud Orchestration and Remediation のユースケースの 2024 年 10 月 9 日の更新が利用可能になりました。ユースケースをできるだけ早く更新してください。

このユースケースでは、Security Command Center の Enterprise ティアのセキュリティ運用機能を更新します。更新を適用するには、このページの手順に従ってください。

更新手順の概要は次のとおりです。

  1. コネクタを無効にして、特定の既存のハンドブックを削除することで、システムを更新する準備をします。
  2. SCC Enterprise - Cloud Orchestration and Remediation のユースケースの最新バージョンをインストールします。
  3. インストールを検証し、更新されたハンドブックを実行します。

必要なロールがあることを確認する

この手順を完了するには、セキュリティ運用コンソールで次の SOC ロールのいずれかが付与されている必要があります。

  • 管理者
  • 脆弱性マネージャー
  • 脅威マネージャー

セキュリティ運用コンソールの SOC のロールとユーザーに必要な権限の詳細については、セキュリティ運用コンソールで機能へのアクセスを制御するをご覧ください。

更新に向けてシステムを準備する

ユースケースを更新する前に、SCC Enterprise - Urgent Posture Findings Connector を無効にし、現在のユースケース バージョンで提供されているハンドブックを削除する必要があります。

コネクタを無効にする

ハンドブックが添付されていないアラートが発生しないようにするには、ハンドブックを削除する前に SCC Enterprise - Urgent Posture Findings Connector コネクタを無効にします。コネクタを更新して有効にすると、コネクタが無効になっている間に収集された検出結果が Security Command Center によって取り込まれます。

コネクタを無効にするには、次の手順を行います。

  1. セキュリティ運用コンソールで、[設定] > [SOAR 設定] > [取り込み] > [コネクタ] に移動します。
  2. [SCCEnterprise] で、[SCC Enterprise – Urgent Posture Findings Connector] を選択します。
  3. スイッチを切り替えて、コネクタを無効にします。
  4. [保存] をクリックします。

ハンドブックを削除する

ハンドブックの重複を回避するには、ユースケースの現在のバージョンで使用するデフォルトのハンドブックを削除します。ユースケースをアップグレードする前にハンドブックを削除しても、ケースの管理には影響しません。

デフォルトのハンドブックを削除するには、次の手順を行います。

  1. セキュリティ運用コンソールで、[レスポンス] > [ハンドブック] に移動します。 プルダウン フィルタはデフォルトで [すべて表示] に設定されています。

  2. [Siemplify のユースケース] フォルダを選択します。 このフォルダには、次のデフォルト ハンドブックが含まれています。

    • AWS Threat Respponse ハンドブック
    • GCP Threat Response ハンドブック
    • IAM Recommender レスポンス
    • 体制の検出結果 - 一般
    • 体制の検出結果 - 一般 - VM Manager
    • Jira による体制の検出結果
    • ServiceNow による体制の検出結果
    • Google Cloud - 実行 - クリプトマイニング
    • Google Cloud - 実行 - バイナリまたはライブラリの読み込みの実行
    • Google Cloud - 実行 - 悪意のある URL スクリプトまたはシェルプロセス
    • Google Cloud - 永続性 - 不審な動作
    • Google Cloud - 永続性 - IAM の異常な付与
    • 体制 - 有害な組み合わせのハンドブック
    • プレビュー版 - Azure Threat Response ハンドブック
  3. [ハンドブック] ページのナビゲーションで、 [編集] をクリックして複数の項目を選択します。

  4. [Siemplify のユースケース] の横にある [done_all すべて選択] をクリックして、フォルダ内のすべてのハンドブックとブロックを選択します。

  5. [ハンドブック] ページのナビゲーションで、list [メニュー] > [削除] をクリックします。ウィンドウが表示され、選択したハンドブックの削除を確認またはキャンセルするよう求められます。

  6. [確認] をクリックします。

    これで、ユースケースのバージョンを更新できるようになりました。

Security Command Center Enterprise ユースケースをインストールする

SCC Enterprise ユースケースの最新バージョンを最新バージョンにインストールし、ユースケースで提供されるすべての統合が最新であることを確認します。

最新のユースケースをインストールする

SCC Enterprise - Cloud Orchestration and Remediation ユースケースの最新バージョンをインストールするには、次の手順を行います。

  1. セキュリティ運用コンソールで、[Marketplace] > [ユースケース] に移動します。
  2. フィルタ アイコン をクリックして [カテゴリでフィルタ] ダイアログを開きます。
  3. [カテゴリでフィルタ] ダイアログで「SCC Enterprise」と入力します。ユースケースが [ユースケース] セクションに表示されます。
  4. SCC Enterprise - クラウド オーケストレーションと修復のユースケースの説明で、日付を確認します。

    • 日付が 2024 年 7 月 10 日より前の場合、または説明に日付がない場合、ユースケースを削除します。削除されたユースケースの代わりに、最新のユースケースが自動的に表示されます。
    • SCC Enterprise - Cloud Orchestration and Remediation ユースケースの日付が 2024 年 7 月 10 日以降の場合は、次の手順に沿って、最新のユースケースのハンドブックがインストールされていることを確認します。

      1. ユースケースをクリックして、インストール ウィザードを開きます。
      2. ハンドブック カテゴリを開き、新しいハンドブックや更新されたハンドブックを確認します。
      3. セキュリティ運用コンソールの [レスポンス] > [ハンドブック] ページで、新規または更新されたハンドブックを検索します。新しいまたは更新されたハンドブックが見つかった場合、ユースケースのインストールはすでに完了しています。
  5. ユースケースのインストールを完了するには、[SCC Enterprise - Cloud Orchestration and Remediation] ユースケースをクリックし、インストール ウィザードの指示に従います。

新しいユースケースの構成を適用して検証する

最新のユースケースに含まれるさまざまな機能が正しく更新されていることを確認する必要があります。特定の機能については、新しいユースケースの更新を手動で適用する必要があります。

ユースケース内の統合バージョンを検証する

ユースケースに含まれる統合の新しいバージョンは毎週利用可能になります。できるだけ早く統合を最新バージョンに更新してください。

新しいバージョンの統合には、問題の修正、新しいウィジェットとアクション、既存のウィジェットとアクションの変更、アラート処理の強化、検出処理ロジックとワークフロー マッピングの改善など、さまざまな更新が導入されています。

統合の更新を適用するには、次の手順を行います。

  1. セキュリティ運用コンソールで、[Marketplace] > [統合] に移動します。
  2. [タイプ] フィールドで [すべての統合] を選択します。
  3. [ステータス] フィールドで [利用可能なアップグレード] を選択します。アップグレードが必要なすべての統合が表示されます。
  4. 統合をアップグレードするには、統合カードの [バージョン VERSION にアップグレード] をクリックします。
  5. [INTEGRATION の更新] ダイアログが表示されたら、[確認] をクリックします。
  6. [確認] ダイアログが表示されたら、[承認] をクリックします。
  7. [上書きマッピングを確認] ダイアログで、[新しいオントロジー構成をインストールし既存のものをオーバーライド] オプションを選択し、[確認] をクリックします。

SCC Enterprise 統合をアップグレードし、アップグレードされたすべての統合に新しいオントロジー構成をインストールする必要があります。

Cloud Storage の統合を構成する

パブリック バケット ACL の検出結果を修正するために、SCC Enterprise - Cloud Orchestration and Remediation ユースケースの 2024 年 10 月 9 日の更新では、追加の統合である Cloud Storage 統合が導入されています。

ハンドブックで PUBLIC BUCKET ACL 検出結果の種類を拡充して修復できるようにするには、次の手順で Cloud Storage の統合を構成します。

  1. 統合パラメータを構成します。
  2. ハンドブックの一般公開バケットの修復を有効にします。
統合パラメータを構成する

Cloud Storage 統合パラメータを構成する手順は次のとおりです。

  1. セキュリティ運用コンソールで、[Marketplace] > [統合] に移動します。
  2. 検索フィールドに「Storage」と入力します。 Cloud Storage 統合カードが表示されます。
  3. [統合] カードで [構成] をクリックします。構成ダイアログが開きます。
  4. [Workload Identity Email]、[プロジェクトト ID]、[割り当てプロジェクト ID] パラメータを構成します。Cloud Asset Inventory の統合などの他の Google Cloud 統合からパラメータ値をコピーできます。
  5. [保存] をクリックします。
  6. [Test] をクリックして構成をテストします。
ハンドブックの一般公開バケットの修復を有効にする

体制の検出結果ハンドブック用の一般公開バケットの修復を有効にするには、一般公開バケットの修復を有効にするをご覧ください。

ケースビュー ウィジェットを更新する

  1. セキュリティ運用コンソールで、[設定] > [SOAR 設定] > [ケースデータ] > [ビュー] に移動します。
  2. [デフォルト ケースビュー] を選択します。
  3. [事前定義] タブを選択します。
  4. ウィジェットを [事前定義] タブから [デフォルト ケースビュー] にドラッグします。推奨される順序は次のとおりです。

    1. ケースの概要
    2. 有害な組み合わせの攻撃パス
    3. 検出
    4. AI 調査 / Gemini の概要
    5. 検出結果の概要
    6. SCC - 検出結果の状態
    7. 影響を受けるアセット
    8. チケット情報
    9. 保留中のアクション
    10. エンティティ グラフ
    11. エンティティ ハイライト
  5. [Save View] をクリックします。

ウィジェットを検証する

正しい情報を取得するには、次のウィジェットに正しい条件が含まれていることを確認します。

  • 有害な組み合わせの攻撃パス
  • 検索中
  • エンティティ グラフ
  • AI 調査 / Gemini の概要
  • 検出結果の概要
  • 影響を受けるリソース
  • SCC - 検出結果の状態
  • 影響を受けるアセット
  • 影響を受ける AWS アセット

ウィジェットを検証するには、次の操作を行います。

  1. セキュリティ運用コンソールで、[設定] > [SOAR 設定] > [ケースデータ] > [ビュー] に移動します。

  2. [デフォルト ケースビュー] を選択します。

  3. [有害な組み合わせによる攻撃パス] ウィジェットと [検出結果] ウィジェットの両方で、[settings 構成] をクリックします。

    [詳細設定] の [条件] セクションで、条件は [Case.Tags] () Toxic Combination になります。そうでない場合は、条件を更新し、[保存] をクリックします。

  4. [エンティティ グラフ] ウィジェットと [AI 調査 / Gemini の概要] ウィジェットの両方で、[settings 構成] をクリックします。

    [詳細設定] の [条件] セクションで、条件は [Case.Tags] !() Toxic Combination になります。そうでない場合は、条件を更新し、[保存] をクリックします。

  5. [検出結果の概要] ウィジェットで [settings 構成] をクリックします。

    [詳細設定] の [条件] セクションで、条件は次のようになります。

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    そうでない場合は、条件を更新し、[保存] をクリックします。

  6. [影響を受けるリソース] ウィジェットで [設定 構成] をクリックします。

    [詳細設定] の [条件] セクションで、条件は [Case.Tags] () Toxic Combination になります。そうでない場合は、条件を更新し、[保存] をクリックします。

  7. [SCC - 検出結果の状態] ウィジェットで、[削除] をクリックします。確認ダイアログが開いたら、[はい] をクリックします。

    最新のユースケース バージョン用に構成された [SCC - 検出結果の状態] ウィジェットをインストールするには、[事前定義] タブから [デフォルト ケースビュー] に、[SCC - 検出結果の状態] ウィジェットをドラッグします。

  8. [影響を受けるアセット] ウィジェットで、[削除] をクリックします。確認ダイアログが開いたら、[はい] をクリックします。

    最新のユースケース バージョン用に構成された [影響を受けるアセット] ウィジェットをインストールするには、[事前定義] タブから [デフォルトのケースビュー] に、[影響を受けるアセット] ウィジェットをドラッグします。

  9. [影響を受ける AWS アセット] ウィジェットで、[削除] をクリックします。確認ダイアログが開いたら、[はい] をクリックします。

  10. [Save View] をクリックします。

ハンドブックを有効にする

ハンドブックで脆弱性と構成ミスを処理できるようにするには、次の手順を行います。

  1. セキュリティ運用コンソールで、[レスポンス] > [ハンドブック] に移動します。
  2. [Siemplify のユースケース] フォルダを選択します。

    チケット発行システムと統合していない場合は、[体制の検出結果 - 一般] が有効になっていることを確認します。体制の検出結果 - 一般 - VM Manager ハンドブックの有効化は任意です。

    チケット発行システムと統合した場合は、次の手順を行います。

    1. [体制の検出結果 – 一般] ハンドブックを選択します。
    2. スイッチを切り替えて無効にします。
    3. [保存] をクリックします。
    4. [体制の検出結果 - 一般 - VM Manager] ハンドブックを選択します。
    5. スイッチを切り替えて無効にします。
    6. [保存] をクリックします。
    7. Jira と統合した場合は、[Jira による体制の検出結果] ハンドブックを選択します。
      1. スイッチを切り替えて、ハンドブックを有効にします。
      2. [保存] をクリックします。
    8. ServiceNow と統合した場合は、[ServiceNow による体制の検出結果] ハンドブックを選択します。
      1. スイッチを切り替えて、ハンドブックを有効にします。
      2. [保存] をクリックします。

コネクタの更新

ユースケースを更新しても、既存のコネクタは自動的に更新されません。ユースケースの更新後にデータの取り込みが想定どおりに機能するように、SCC Enterprise – Urgent Posture Findings ConnectorGoogle Chronicle – Chronicle Alarts Connector のコネクタを更新します。

SCC Enterprise - Urgent Posture Findings Connector コネクタを更新するには、次の手順を行います。

  1. セキュリティ運用コンソールで、[設定] > [SOAR 設定] > [取り込み] > [コネクタ] に移動します。
  2. [SCCEnterprise] で、[SCCEnterprise – Urgent Posture Findings Connector] を選択します。コネクタ パラメータの構成ページが開きます。
  3. cached [更新] をクリックします。
  4. [Run Every] パラメータを 1 分に設定します。
  5. スイッチを切り替えて、ハンドブックを有効にします。
  6. [保存] をクリックします。

Google Chronicle – Chronicle Alerts Connector コネクタを更新する手順は次のとおりです。

  1. セキュリティ運用コンソールで、[設定] > [SOAR 設定] > [取り込み] > [コネクタ] に移動します。
  2. [GoogleChronicle] で [GoogleChronicle - Chronicle Alerts Connector] を選択します。コネクタ パラメータの構成ページが開きます。
  3. cached [更新] をクリックします。
  4. [Run Every] パラメータを 1 分に設定します。
  5. [Product Field Name] パラメータ フィールドに「SCCE」と入力します。
  6. スイッチを切り替えて、ハンドブックを有効にします。
  7. [保存] をクリックします。

更新の構成を確認する

すべてのユースケース コンポーネントが正常に更新されたことを確認するには、コネクタとジョブをテストします。

コネクタをテストする

  1. セキュリティ運用コンソールで、[設定] > [SOAR 設定] > [取り込み] > [コネクタ] に移動します。
  2. [SCCEnterprise] で、[SCC Enterprise – Urgent Posture Findings Connector] を選択します。
  3. [テスト] タブに移動します。
  4. [コネクタを 1 回実行] をクリックします。コネクタ構成が正しい場合は、チェックマークが表示されます。

ジョブをテストする

  1. セキュリティ運用コンソールで、[レスポンス] > [ジョブ スケジューラ] に移動します。
  2. [GoogleSecurityCommandCenter] で、[SCC データを同期] を選択します。
  3. [今すぐ実行] をクリックします。ジョブが想定どおりに動作する場合、ジョブのステータスは Success になります。

トラブルシューティング

  • [SCC データを同期] ジョブで次のエラーが表示されます。

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)
    

    10 分待ってから、[今すぐ実行] をクリックします。エラーが解決しない場合は、次の手順を完了します。

    1. ジョブの [パラメータ] セクションで、[組織 ID] パラメータ値を削除します。
    2. [組織 ID] パラメータ値を入力します。
    3. [保存] をクリックします。
    4. [今すぐ実行] をクリックします。
  • ユースケースの更新中に自動更新に失敗すると、[SCC データを同期] ジョブに認証エラーが表示されます。同期ジョブの問題を解決するには、[プロジェクト ID] パラメータと [割り当てプロジェクト ID] パラメータの値を手動で入力します。

    正しいパラメータ値を指定するには、次の手順を行います。

    1. [設定] > [SOAR 設定] > [取り込み] > [コネクタ] に移動します。
    2. [SCCEnterprise] で、[SCC Enterprise – Urgent Posture Findings Connector] を選択します。
    3. [パラメータ] セクションで、[割り当てプロジェクト ID] パラメータの値をコピーします。
    4. [レスポンス] > [ジョブ スケジューラ] に移動します。
    5. [SCCEnterprise] で、[SCC データを同期] を選択します。
    6. [SCC データを同期] ジョブの [パラメータ] セクションで、コピーした値を [プロジェクト ID] と [割り当てプロジェクト ID ] フィールドに入力します。
    7. [保存] をクリックします。
  • ユースケースの更新後、新しいハンドブックは既存のアラートに適用されません。

    新しいハンドブックを既存のアラートに適用し、[アラート] ウィジェットを再レンダリングするには、ケースを閉じて、新しいハンドブックがアタッチされたアラートをコネクタが再度取り込むまで待ちます。