SCC 企业版 - 云端编排和修复用例的 2024 年 10 月 9 日更新现已发布。请尽快更新使用情形。
此用例介绍了 Security Command Center 企业版的安全运营功能的更新。如需应用更新,请按照此页面上的步骤操作。
更新流程包括以下高级步骤:
- 停用连接器并删除某些现有 Playbook,为系统做好更新准备。
- 安装最新版本的 SCC Enterprise - Cloud Orchestration and Remediation 用例。
- 验证安装并运行更新后的 Playbook。
确认您具有所需的角色
若要完成此过程,您必须在安全运营控制台中被授予以下任一 SOC 角色:
- 管理员
- 漏洞管理器
- 威胁管理器
如需详细了解安全运营控制台中的 SOC 角色以及用户所需的权限,请参阅控制对安全运营控制台中功能的访问权限。
为系统进行更新做好准备
在更新使用情形之前,您需要停用 SCC Enterprise - Urgent Posture Findings 连接器,并删除当前使用情形版本提供的 Playbook。
停用连接器
为避免出现未附加 Playbook 的提醒,请先停用 SCC Enterprise - Urgent Posture Findings Connector 连接器,然后再删除 Playbook。当您更新并启用连接器时,Security Command Center 会提取在连接器处于停用状态时收集的发现结果。
如需停用连接器,请完成以下步骤:
- 在安全运营控制台中,依次选择设置 > SOAR 设置 > 提取 > 连接器。
- 在 SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings Connector。
- 切换开关以停用连接器。
- 点击保存。
删除 Playbook
为避免 playbook 重复,请删除您在当前版本的用例中使用的默认 playbook。在升级用例之前删除 Playbook 对支持请求管理没有影响。
如需删除默认的 Playbook,请完成以下步骤:
在安全运营控制台中,依次选择响应 > 预设响应方案。 下拉式过滤条件默认设置为全部显示。
选择 Siemplify Use Cases 文件夹。此文件夹包含以下默认 Playbook:
- AWS 威胁响应手册
- GCP 威胁响应手册
- IAM Recommender 响应
- 安全状况调查结果 - 常规
- 状况发现结果 - 通用 - 虚拟机管理器
- 通过 Jira 查看安全状况发现结果
- 使用 ServiceNow 生成的状况发现结果
- Google Cloud - 执行 - 挖矿
- Google Cloud - 执行 - 加载的二进制文件或库已执行
- Google Cloud - 执行 - 恶意网址脚本或 Shell 进程
- Google Cloud - 持久性 - 可疑行为
- Google Cloud - 持久性 - IAM 异常授予
- 姿势 - 危险组合手册
- 预览版 - Azure 威胁响应手册
在游戏大本营网页导航栏中,点击 Edit(修改)以选择多个项目。
点击“简化用例”旁边的 done_all 全选,以选择该文件夹中的所有 Playbook 和块。
在游戏大本营网页导航栏中,依次点击列表菜单 > 删除。系统会显示一个窗口,要求您确认或取消删除所选的 Playbook。
点击确认。
现在,您可以更新用例版本了。
安装 Security Command Center Enterprise 用例
将最新版 SCC 企业版用例安装到最新版本,并检查用例中提供的所有集成是否是最新的。
安装最新的用例
如需安装最新版本的 SCC 企业版 - 云端编排和修复用例,请完成以下步骤:
- 在安全运营控制台中,依次选择市场 > 用例。
- 点击过滤条件图标 ,打开按类别过滤对话框。
- 在按类别过滤对话框中,输入
SCC Enterprise
。该用例会显示在用例部分中。 在 SCC Enterprise - Cloud Orchestration and Remediation 用例的说明中,检查日期。
- 如果日期早于 2024 年 7 月 10 日,或者说明中没有日期,请删除相应用例。最新的用例会自动显示,取代已删除的用例。
如果 SCC Enterprise - 云端编排和修复用例中的日期为 2024 年 7 月 10 日或之后,请完成以下步骤,确认最新用例中的 Playbook 已安装:
- 点击相应用例以打开安装向导。
- 展开“Playbook”类别,并记下所有新的或更新的 Playbook。
- 在安全运营控制台中,依次前往响应 > 预设响应方案页面,搜索新建或更新的预设响应方案。如果您找到了新的或更新版 Playbook,则表示用例安装已完成。
如需完成使用情形的安装,请点击 SCC Enterprise - Cloud Orchestration and Remediation 使用情形,然后按照安装向导中的说明操作。
应用并验证新用例中的配置
您需要验证最新用例中包含的各种功能是否已正确更新。对于某些功能,您需要手动应用新用例中的更新。
验证用例中的集成版本
该用例中包含的集成每周都会推出新版本。请尽早将集成更新到最新版本。
新版集成引入了更新,包括但不限于问题修复、新的微件和操作、对现有微件和操作的更改、对提醒处理的增强以及对检测处理逻辑和工作流映射的改进。
如需应用集成更新,请完成以下步骤:
- 在安全运营控制台中,依次选择市场 > 集成。
- 在类型字段中,选择所有集成。
- 在状态字段中,选择可用升级。系统会显示所有需要升级的集成。
- 如需升级集成,请点击集成卡片中的 Upgrade to version VERSION(升级到版本 VERSION)。
- 如果系统显示 Updating INTEGRATION 对话框,请点击 Confirm。
- 如果出现确认对话框,请点击批准。
- 在 Confirm Overwrite Mapping 对话框中,选择以下选项:Install the new ontology configuration and override the existing one,然后点击 Confirm。
您必须升级 SCC Enterprise 集成,并为所有升级后的集成安装新的元语言配置。
配置 Cloud Storage 集成
为了修复公开存储桶 ACL 发现的问题,SCC 企业版 - 云端编排和修复用例的 2024 年 10 月 9 日更新引入了额外的集成:Cloud Storage 集成。
如需让 Playbook 丰富和修复 PUBLIC BUCKET ACL
发现结果类型,请完成以下步骤来配置 Cloud Storage 集成:
- 配置集成参数。
- 为 Playbook 启用公开存储桶修复措施。
配置集成参数
如需配置 Cloud Storage 集成参数,请完成以下步骤:
- 在安全运营控制台中,依次选择市场 > 集成。
- 在搜索字段中,输入
Storage
。系统随即会显示 Cloud Storage 集成卡片。 - 在集成卡片上,点击配置。系统随即会打开配置对话框。
- 配置 Workload Identity 电子邮件地址、项目 ID 和 配额项目 ID 参数。您可以从任何其他 Google Cloud 集成(例如 Cloud Asset Inventory 集成)复制参数值。
- 点击保存。
- 点击测试以测试配置。
为 Playbook 启用公开存储桶修复
如需为态势发现 Playbook 启用公开存储桶修复措施,请参阅启用公开存储桶修复措施。
更新了支持请求视图微件
- 在安全运营控制台中,依次选择设置 > SOAR 设置 > 支持请求数据 > 视图。
- 选择默认支持请求视图。
- 选择预定义标签页。
按照以下建议顺序,将预定义标签页中的微件拖动到默认支持请求视图中:
- 支持请求摘要
- 恶意组合攻击路径
- 发现结果
- AI 调查/Gemini 摘要
- 发现结果摘要
- SCC - 发现结果状态
- 受影响的资产
- 票券信息
- 待处理的操作
- 实体图
- 实体的突出显示字段
点击 Save View。
验证微件
为确保您获得正确的信息,请验证以下 widget 是否包含正确的条件:
- 恶意组合攻击路径
- 发现
- 实体图
- AI 调查/Gemini 摘要
- 发现结果摘要
- 受影响的资源
- SCC - 发现状态
- 受影响的素材资源
- 受影响的 AWS 资源
如需验证微件,请完成以下步骤:
在安全运营控制台中,依次选择设置 > SOAR 设置 > 支持请求数据 > 视图。
选择默认支持请求视图。
对于恶意组合攻击路径和发现结果 widget,请点击设置 配置。
在高级设置下的条件部分,条件应如下所示:
[Case.Tags] () Toxic Combination
。如果没有,请更新条件,然后点击保存。对于实体图和 AI 调查/Gemini 摘要 widget,请点击 settings 配置。
在高级设置下的条件部分,条件应如下所示:
[Case.Tags] !() Toxic Combination
。如果没有,请更新条件,然后点击保存。对于发现摘要微件,请点击设置配置。
在高级设置下的条件部分,条件应如下所示:
[Case.Tags] () SCC-TICKET-INFO
[Case.Tags] !() Toxic Combination
[Case.Tags] !() CIEM
[Event.parentDisplayName] !() VM Manager
如果没有,请更新条件,然后点击保存。
对于受影响的资源微件,请点击设置 配置。
在高级设置下的条件部分,条件应如下所示:
[Case.Tags] () Toxic Combination
。如果没有,请更新条件,然后点击保存。对于 SCC - 查找状态微件,请点击删除。当确认对话框打开时,点击是。
如需安装为最新用例版本配置的 SCC - 发现状态 widget,请将 SCC - 发现状态 widget 从预定义标签页拖动到默认案例视图。
对于受影响的素材资源 widget,请点击删除。当确认对话框打开时,点击是。
如需安装为最新用例版本配置的受影响的资产微件,请将受影响的资产微件从预定义标签页拖动到默认案例视图。
对于受影响的 AWS 资产微件,点击删除。当确认对话框打开时,点击是。
点击 Save View。
启用 Playbook
如需启用用于处理漏洞和配置错误的 Playbook,请完成以下步骤:
- 在安全运营控制台中,依次选择响应 > 预设响应方案。
选择 Siemplify Use Cases 文件夹。
如果您未与服务工单系统集成,请确保启用态势发现 - 常规。启用态势发现 - 通用 - 虚拟机管理器 Playbook 是可选操作。
如果您已与票务系统集成,请完成以下步骤:
- 选择 Posture Findings - Generic 手册。
- 切换开关以停用该功能。
- 点击保存。
- 选择 Posture Findings – Generic – VM Manager 剧本。
- 切换开关以停用该功能。
- 点击保存。
- 如果您已与 Jira 集成,请选择 Posture Findings With Jira 手册。
- 切换开关以启用该 Playbook。
- 点击保存。
- 如果您已与 ServiceNow 集成,请选择 Posture Findings With ServiceNow 手册。
- 切换开关以启用该 Playbook。
- 点击保存。
更新连接器
更新用例不会自动更新现有连接器。为确保在更新用例后数据注入能按预期运行,请更新 SCC Enterprise - Urgent Posture Findings Connector 和 Google Chronicle - Chronicle Alerts Connector 连接器。
如需更新 SCC Enterprise - Urgent Posture Findings 连接器,请完成以下步骤:
- 在安全运营控制台中,依次选择设置 > SOAR 设置 > 提取 > 连接器。
- 在 SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings Connector。系统会打开连接器参数配置页面。
- 点击缓存 更新。
- 将 Run Every(运行间隔时间)参数设置为 1 分钟。
- 切换开关以启用连接器。
- 点击保存。
如需更新 Google Chronicle - Chronicle Alerts Connector 连接器,请完成以下步骤:
- 在安全运营控制台中,依次选择设置 > SOAR 设置 > 提取 > 连接器。
- 在 GoogleChronicle 下,选择 Google Chronicle - Chronicle Alerts 连接器。系统会打开连接器参数配置页面。
- 点击缓存 更新。
- 将 Run Every(运行间隔时间)参数设置为 1 分钟。
- 在 Product Field Name 参数字段中,输入
SCCE
。 - 切换开关以启用连接器。
- 点击保存。
验证更新配置
为确保所有用例组件都成功更新,请测试连接器和作业。
测试连接器
- 在安全运营控制台中,依次选择设置 > SOAR 设置 > 提取 > 连接器。
- 在 SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings Connector。
- 前往测试标签页。
- 点击运行连接器一次。如果连接器配置正确,系统会显示对勾标记。
测试作业
- 在安全运营控制台中,依次选择响应 > 作业调度程序。
- 在 GoogleSecurityCommandCenter 下,选择 Sync SCC Data。
- 点击立即运行。如果作业按预期运行,其状态为
Success
。
问题排查
Sync SCC Data 作业会显示以下错误:
TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)
等待 10 分钟,然后点击立即运行。如果错误仍然存在,请完成以下步骤:
- 在作业的参数部分中,删除 Organization ID 参数值。
- 输入组织 ID 参数值。
- 点击保存。
- 点击立即运行。
如果 Sync SCC Data 作业在用例更新期间未能自动更新,则会显示身份验证错误。如需解决同步作业问题,请手动输入项目 ID 和配额项目 ID 参数的值。
如需指定正确的参数值,请完成以下步骤:
- 依次前往设置 > SOAR 设置 > 提取 > 连接器。
- 在 SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings 连接器。
- 在参数部分,复制配额项目 ID 参数的值。
- 依次选择响应 > 作业调度程序。
- 在 SCCEnterprise 下,选择 Sync SCC Data(同步 SCC 数据)。
- 在同步 SCC 数据作业的参数部分,在项目 ID 和配额项目 ID 字段中输入复制的值。
- 点击保存。
更新使用情形后,新的 Playbook 不会应用于现有提醒。
如需将新 playbook 应用于现有提醒并重新渲染 Alert widget,请关闭一个支持请求,然后等待连接器再次提取附加了新 playbook 的提醒。