更新企业应用场景

SCC 企业版 - 云端编排和修复用例的 2024 年 10 月 9 日更新现已发布。请尽快更新使用情形。

此用例介绍了 Security Command Center 企业版的安全运营功能的更新。如需应用更新,请按照此页面上的步骤操作。

更新流程包括以下高级步骤:

  1. 停用连接器并删除某些现有 Playbook,为系统做好更新准备。
  2. 安装最新版本的 SCC Enterprise - Cloud Orchestration and Remediation 用例。
  3. 验证安装并运行更新后的 Playbook。

确认您具有所需的角色

若要完成此过程,您必须在安全运营控制台中被授予以下任一 SOC 角色:

  • 管理员
  • 漏洞管理器
  • 威胁管理器

如需详细了解安全运营控制台中的 SOC 角色以及用户所需的权限,请参阅控制对安全运营控制台中功能的访问权限

为系统进行更新做好准备

在更新使用情形之前,您需要停用 SCC Enterprise - Urgent Posture Findings 连接器,并删除当前使用情形版本提供的 Playbook。

停用连接器

为避免出现未附加 Playbook 的提醒,请先停用 SCC Enterprise - Urgent Posture Findings Connector 连接器,然后再删除 Playbook。当您更新并启用连接器时,Security Command Center 会提取在连接器处于停用状态时收集的发现结果。

如需停用连接器,请完成以下步骤:

  1. 在安全运营控制台中,依次选择设置 > SOAR 设置 > 提取 > 连接器
  2. SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings Connector
  3. 切换开关以停用连接器。
  4. 点击保存

删除 Playbook

为避免 playbook 重复,请删除您在当前版本的用例中使用的默认 playbook。在升级用例之前删除 Playbook 对支持请求管理没有影响。

如需删除默认的 Playbook,请完成以下步骤:

  1. 在安全运营控制台中,依次选择响应 > 预设响应方案。 下拉式过滤条件默认设置为全部显示

  2. 选择 Siemplify Use Cases 文件夹。此文件夹包含以下默认 Playbook:

    • AWS 威胁响应手册
    • GCP 威胁响应手册
    • IAM Recommender 响应
    • 安全状况调查结果 - 常规
    • 状况发现结果 - 通用 - 虚拟机管理器
    • 通过 Jira 查看安全状况发现结果
    • 使用 ServiceNow 生成的状况发现结果
    • Google Cloud - 执行 - 挖矿
    • Google Cloud - 执行 - 加载的二进制文件或库已执行
    • Google Cloud - 执行 - 恶意网址脚本或 Shell 进程
    • Google Cloud - 持久性 - 可疑行为
    • Google Cloud - 持久性 - IAM 异常授予
    • 姿势 - 危险组合手册
    • 预览版 - Azure 威胁响应手册
  3. 游戏大本营网页导航栏中,点击 Edit(修改)以选择多个项目。

  4. 点击“简化用例”旁边的 done_all 全选,以选择该文件夹中的所有 Playbook 和块。

  5. 游戏大本营网页导航栏中,依次点击列表菜单 > 删除。系统会显示一个窗口,要求您确认或取消删除所选的 Playbook。

  6. 点击确认

    现在,您可以更新用例版本了。

安装 Security Command Center Enterprise 用例

将最新版 SCC 企业版用例安装到最新版本,并检查用例中提供的所有集成是否是最新的。

安装最新的用例

如需安装最新版本的 SCC 企业版 - 云端编排和修复用例,请完成以下步骤:

  1. 在安全运营控制台中,依次选择市场 > 用例
  2. 点击过滤条件图标 ,打开按类别过滤对话框。
  3. 按类别过滤对话框中,输入 SCC Enterprise。该用例会显示在用例部分中。
  4. SCC Enterprise - Cloud Orchestration and Remediation 用例的说明中,检查日期。

    • 如果日期早于 2024 年 7 月 10 日,或者说明中没有日期,请删除相应用例。最新的用例会自动显示,取代已删除的用例。
    • 如果 SCC Enterprise - 云端编排和修复用例中的日期为 2024 年 7 月 10 日或之后,请完成以下步骤,确认最新用例中的 Playbook 已安装:

      1. 点击相应用例以打开安装向导。
      2. 展开“Playbook”类别,并记下所有新的或更新的 Playbook。
      3. 在安全运营控制台中,依次前往响应 > 预设响应方案页面,搜索新建或更新的预设响应方案。如果您找到了新的或更新版 Playbook,则表示用例安装已完成。
  5. 如需完成使用情形的安装,请点击 SCC Enterprise - Cloud Orchestration and Remediation 使用情形,然后按照安装向导中的说明操作。

应用并验证新用例中的配置

您需要验证最新用例中包含的各种功能是否已正确更新。对于某些功能,您需要手动应用新用例中的更新。

验证用例中的集成版本

该用例中包含的集成每周都会推出新版本。请尽早将集成更新到最新版本。

新版集成引入了更新,包括但不限于问题修复、新的微件和操作、对现有微件和操作的更改、对提醒处理的增强以及对检测处理逻辑和工作流映射的改进。

如需应用集成更新,请完成以下步骤:

  1. 在安全运营控制台中,依次选择市场 > 集成
  2. 类型字段中,选择所有集成
  3. 状态字段中,选择可用升级。系统会显示所有需要升级的集成。
  4. 如需升级集成,请点击集成卡片中的 Upgrade to version VERSION(升级到版本 VERSION)。
  5. 如果系统显示 Updating INTEGRATION 对话框,请点击 Confirm
  6. 如果出现确认对话框,请点击批准
  7. Confirm Overwrite Mapping 对话框中,选择以下选项:Install the new ontology configuration and override the existing one,然后点击 Confirm

您必须升级 SCC Enterprise 集成,并为所有升级后的集成安装新的元语言配置。

配置 Cloud Storage 集成

为了修复公开存储桶 ACL 发现的问题,SCC 企业版 - 云端编排和修复用例的 2024 年 10 月 9 日更新引入了额外的集成:Cloud Storage 集成。

如需让 Playbook 丰富和修复 PUBLIC BUCKET ACL 发现结果类型,请完成以下步骤来配置 Cloud Storage 集成:

  1. 配置集成参数。
  2. 为 Playbook 启用公开存储桶修复措施。
配置集成参数

如需配置 Cloud Storage 集成参数,请完成以下步骤:

  1. 在安全运营控制台中,依次选择市场 > 集成
  2. 搜索字段中,输入 Storage。系统随即会显示 Cloud Storage 集成卡片。
  3. 在集成卡片上,点击配置。系统随即会打开配置对话框。
  4. 配置 Workload Identity 电子邮件地址项目 ID配额项目 ID 参数。您可以从任何其他 Google Cloud 集成(例如 Cloud Asset Inventory 集成)复制参数值。
  5. 点击保存
  6. 点击测试以测试配置。
为 Playbook 启用公开存储桶修复

如需为态势发现 Playbook 启用公开存储桶修复措施,请参阅启用公开存储桶修复措施

更新了支持请求视图微件

  1. 在安全运营控制台中,依次选择设置 > SOAR 设置 > 支持请求数据 > 视图
  2. 选择默认支持请求视图
  3. 选择预定义标签页。
  4. 按照以下建议顺序,将预定义标签页中的微件拖动到默认支持请求视图中:

    1. 支持请求摘要
    2. 恶意组合攻击路径
    3. 发现结果
    4. AI 调查/Gemini 摘要
    5. 发现结果摘要
    6. SCC - 发现结果状态
    7. 受影响的资产
    8. 票券信息
    9. 待处理的操作
    10. 实体图
    11. 实体的突出显示字段
  5. 点击 Save View

验证微件

为确保您获得正确的信息,请验证以下 widget 是否包含正确的条件:

  • 恶意组合攻击路径
  • 发现
  • 实体图
  • AI 调查/Gemini 摘要
  • 发现结果摘要
  • 受影响的资源
  • SCC - 发现状态
  • 受影响的素材资源
  • 受影响的 AWS 资源

如需验证微件,请完成以下步骤:

  1. 在安全运营控制台中,依次选择设置 > SOAR 设置 > 支持请求数据 > 视图

  2. 选择默认支持请求视图

  3. 对于恶意组合攻击路径发现结果 widget,请点击设置 配置

    高级设置下的条件部分,条件应如下所示:[Case.Tags] () Toxic Combination。如果没有,请更新条件,然后点击保存

  4. 对于实体图AI 调查/Gemini 摘要 widget,请点击 settings 配置

    高级设置下的条件部分,条件应如下所示:[Case.Tags] !() Toxic Combination。如果没有,请更新条件,然后点击保存

  5. 对于发现摘要微件,请点击设置配置

    高级设置下的条件部分,条件应如下所示:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    如果没有,请更新条件,然后点击保存

  6. 对于受影响的资源微件,请点击设置 配置

    高级设置下的条件部分,条件应如下所示:[Case.Tags] () Toxic Combination。如果没有,请更新条件,然后点击保存

  7. 对于 SCC - 查找状态微件,请点击删除。当确认对话框打开时,点击

    如需安装为最新用例版本配置的 SCC - 发现状态 widget,请将 SCC - 发现状态 widget 从预定义标签页拖动到默认案例视图

  8. 对于受影响的素材资源 widget,请点击删除。当确认对话框打开时,点击

    如需安装为最新用例版本配置的受影响的资产微件,请将受影响的资产微件从预定义标签页拖动到默认案例视图

  9. 对于受影响的 AWS 资产微件,点击删除。当确认对话框打开时,点击

  10. 点击 Save View

启用 Playbook

如需启用用于处理漏洞和配置错误的 Playbook,请完成以下步骤:

  1. 在安全运营控制台中,依次选择响应 > 预设响应方案
  2. 选择 Siemplify Use Cases 文件夹。

    如果您未与服务工单系统集成,请确保启用态势发现 - 常规。启用态势发现 - 通用 - 虚拟机管理器 Playbook 是可选操作。

    如果您已与票务系统集成,请完成以下步骤:

    1. 选择 Posture Findings - Generic 手册。
    2. 切换开关以停用该功能。
    3. 点击保存
    4. 选择 Posture Findings – Generic – VM Manager 剧本。
    5. 切换开关以停用该功能。
    6. 点击保存
    7. 如果您已与 Jira 集成,请选择 Posture Findings With Jira 手册。
      1. 切换开关以启用该 Playbook。
      2. 点击保存
    8. 如果您已与 ServiceNow 集成,请选择 Posture Findings With ServiceNow 手册。
      1. 切换开关以启用该 Playbook。
      2. 点击保存

更新连接器

更新用例不会自动更新现有连接器。为确保在更新用例后数据注入能按预期运行,请更新 SCC Enterprise - Urgent Posture Findings ConnectorGoogle Chronicle - Chronicle Alerts Connector 连接器。

如需更新 SCC Enterprise - Urgent Posture Findings 连接器,请完成以下步骤:

  1. 在安全运营控制台中,依次选择设置 > SOAR 设置 > 提取 > 连接器
  2. SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings Connector。系统会打开连接器参数配置页面。
  3. 点击缓存 更新
  4. Run Every(运行间隔时间)参数设置为 1 分钟。
  5. 切换开关以启用连接器。
  6. 点击保存

如需更新 Google Chronicle - Chronicle Alerts Connector 连接器,请完成以下步骤:

  1. 在安全运营控制台中,依次选择设置 > SOAR 设置 > 提取 > 连接器
  2. GoogleChronicle 下,选择 Google Chronicle - Chronicle Alerts 连接器。系统会打开连接器参数配置页面。
  3. 点击缓存 更新
  4. Run Every(运行间隔时间)参数设置为 1 分钟。
  5. Product Field Name 参数字段中,输入 SCCE
  6. 切换开关以启用连接器。
  7. 点击保存

验证更新配置

为确保所有用例组件都成功更新,请测试连接器和作业。

测试连接器

  1. 在安全运营控制台中,依次选择设置 > SOAR 设置 > 提取 > 连接器
  2. SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings Connector
  3. 前往测试标签页。
  4. 点击运行连接器一次。如果连接器配置正确,系统会显示对勾标记。

测试作业

  1. 在安全运营控制台中,依次选择响应 > 作业调度程序
  2. GoogleSecurityCommandCenter 下,选择 Sync SCC Data
  3. 点击立即运行。如果作业按预期运行,其状态为 Success

问题排查

  • Sync SCC Data 作业会显示以下错误:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)
    

    等待 10 分钟,然后点击立即运行。如果错误仍然存在,请完成以下步骤:

    1. 在作业的参数部分中,删除 Organization ID 参数值。
    2. 输入组织 ID 参数值。
    3. 点击保存
    4. 点击立即运行
  • 如果 Sync SCC Data 作业在用例更新期间未能自动更新,则会显示身份验证错误。如需解决同步作业问题,请手动输入项目 ID配额项目 ID 参数的值。

    如需指定正确的参数值,请完成以下步骤:

    1. 依次前往设置 > SOAR 设置 > 提取 > 连接器
    2. SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings 连接器
    3. 参数部分,复制配额项目 ID 参数的值。
    4. 依次选择响应 > 作业调度程序
    5. SCCEnterprise 下,选择 Sync SCC Data(同步 SCC 数据)。
    6. 同步 SCC 数据作业的参数部分,在项目 ID配额项目 ID 字段中输入复制的值。
    7. 点击保存
  • 更新使用情形后,新的 Playbook 不会应用于现有提醒。

    如需将新 playbook 应用于现有提醒并重新渲染 Alert widget,请关闭一个支持请求,然后等待连接器再次提取附加了新 playbook 的提醒。