Mettre à jour le cas d'utilisation Enterprise

La mise à jour du 10 juillet 2024 du rapport SCC Enterprise – Cloud Orchestration et Remédiation est maintenant disponible. Mettre à jour le cas d'utilisation dès que possible.

Ce cas d'utilisation met à jour les fonctionnalités d'opérations de sécurité du Niveau professionnel de Security Command Center. Pour appliquer les mises à jour, suivez les procédures décrites sur cette page.

La procédure de mise à jour comprend les grandes étapes suivantes:

  1. Préparer le système pour la mise à jour en désactivant un connecteur et en supprimant certains playbooks existants.
  2. Installez la dernière version de SCC Enterprise – Cloud d'orchestration et de remédiation.
  3. Validez l'installation et exécutez les playbooks mis à jour.

Confirmer que vous disposez des rôles requis

Pour terminer cette procédure, vous devez disposer de l'un des dans la console Opérations de sécurité:

  • Administrateur
  • Gestionnaire de failles
  • Gestionnaire de menaces

Pour en savoir plus sur les rôles SOC dans la console Opérations de sécurité et les autorisations requises pour les utilisateurs, consultez Contrôlez l'accès aux fonctionnalités dans la console Security Operations.

Préparer le système pour la mise à jour

Avant de mettre à jour le cas d'utilisation, vous devez désactiver SCC Enterprise – Connecteur de résultats de stratégie urgente et supprimer les playbooks fournis par la version actuelle du cas d'utilisation.

Désactiver le connecteur

Pour éviter d'avoir des alertes sans playbook associé, désactivez le Connecteur SCC Enterprise – Connecteur de résultats de stratégie urgente avant de supprimer des playbooks. Security Command Center ingère les résultats collectés alors que le connecteur est désactivé lorsque vous le mettez à jour et l'activez.

Pour désactiver le connecteur, procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à Paramètres > Paramètres SOAR. > Ingestion > Connecteurs.
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Connecteur de résultats de stratégie.
  3. Appuyez sur le bouton pour désactiver le connecteur.
  4. Cliquez sur Enregistrer.

Supprimer les playbooks

Pour éviter la duplication des playbooks, supprimez les playbooks par défaut que vous utilisez dans la version actuelle de votre cas d'utilisation. Suppression des playbooks avant le la mise à niveau du cas d'utilisation n'a aucune incidence sur la gestion des cas.

Pour supprimer les playbooks par défaut, procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à Réponse > Playbooks.
  2. Pour filtrer les playbooks en fonction des blocs sur la page Playbooks, modifiez le le filtre déroulant Tout afficher à Playbooks.
  3. Sélectionnez Siemplify Use Cases (Cas d'utilisation de Siemplify). Le dossier contient les éléments suivants : playbooks par défaut:
    • Playbook AWS Threat Response
    • Playbook GCP sur la réponse aux menaces
    • Réponse de l'outil de recommandation IAM
    • Résultats de la stratégie – Générique
    • Conclusions de la posture avec Jira
    • Conclusions de la stratégie avec ServiceNow
  4. Dans la barre de navigation des pages "Playbooks", cliquez sur Edit (Modifier) pour sélectionner plusieurs éléments.
  5. À côté de Siemplify Use Cases (Cas d'utilisation de Siemplify), cliquez sur done_all Tout sélectionner pour sélectionner tous les playbooks du dossier.
  6. Dans la navigation sur les pages Playbooks, cliquez sur Menu liste > Supprimer. Dans la fenêtre qui s'affiche, vous devez confirmer ou annuler la suppression des playbooks sélectionnés.

  7. Cliquez sur Confirmer.

    Vous pouvez maintenant mettre à jour la version de votre cas d'utilisation.

Installer le cas d'utilisation de Security Command Center Enterprise

Installer la dernière version du cas d'utilisation SCC Enterprise et vérifier que toutes les intégrations fournies dans le cas d'utilisation sont opérationnelles à ce jour.

Installer le dernier cas d'utilisation

Pour installer la dernière version de SCC Enterprise – Cloud d'orchestration et de remédiation, procédez comme suit:

  1. Dans la console Security Operations, accédez à Marketplace > Cas d'utilisation.
  2. Ouvrez la boîte de dialogue Filtrer par catégorie en cliquant sur l'icône Filtre,
  3. Dans la boîte de dialogue Filtrer par catégories, saisissez SCC Enterprise. La cas d'utilisation apparaît dans la section Cas d'utilisation.

  4. Dans la description du cours SCC Enterprise – Cloud et Remédiation, recherchez une date.

    • Si la date est antérieure au 10 juillet 2024 ou la description ne contient pas de date, supprimez le cas d'utilisation. Nouveautés apparaît automatiquement à la place du cas supprimé.

    • Si la date dans le tableau de bord SCC Enterprise – Cloud le cas d'utilisation d'orchestration et de remédiation est le 10 juillet 2024, confirmer que les playbooks sur le dernier cas d'utilisation procédez comme suit:

      1. Cliquez sur le cas d'utilisation pour ouvrir l'assistant d'installation.
      2. Développez la catégorie des playbooks et notez les nouveautés ou mises à jour playbooks.
      3. Sur la page Réponse > Playbooks de la console Security Operations recherchez le nouveau playbook ou celui mis à jour. Si vous trouvez le nouveau ou playbook mis à jour, l'installation du cas d'utilisation est déjà terminée.

  5. Pour terminer l'installation et accéder au cas d'utilisation, cliquez sur le lien SCC Enterprise – cas d'utilisation Cloud Orchestration et remédiation et suivez les de l'assistant d'installation.

Appliquer et valider des configurations à partir du nouveau cas d'utilisation

Vous devez vérifier que les différentes fonctionnalités incluses dans le les derniers cas d'utilisation sont correctement mis à jour. Pour certaines fonctionnalités, vous devez appliquer manuellement les mises à jour du nouveau cas d'utilisation.

Valider les versions d'intégration dans le cas d'utilisation

Pour vous assurer que les intégrations dans le cas d'utilisation sont à jour, procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à Marketplace > Intégrations.
  2. Dans le champ Type, sélectionnez All Integrations (Toutes les intégrations).
  3. Dans le champ État, sélectionnez Mise à niveau disponible. Toutes les les intégrations nécessitant une mise à niveau sont affichées.
  4. Pour mettre à niveau une intégration, cliquez sur l'icône de mise à niveau circulaire dans l'intégration puis suivez les instructions de l'assistant de mise à niveau. Mettre à niveau Security Command Center Une intégration d'entreprise est requise.

Valider le job de synchronisation

Après avoir installé la dernière version du cas d'utilisation et validé le d'intégration, vérifiez que le job Sync SCC Data (Synchroniser les données SCC) contient paramètres mis à jour.

Pour valider le job de synchronisation, procédez comme suit:

  1. Dans la console Security Operations, accédez à Réponse > Planificateur de jobs.
  2. Sous GoogleSecurityCommandCenter, sélectionnez Sync SCC Data (Synchroniser les données SCC).

  3. Dans la section Paramètres, vérifiez que l'ID du projet et Les valeurs du paramètre ID du projet de quota sont identiques.

    Si les valeurs sont identiques, le job est à jour. Vous pouvez continuer à la mise à jour des widgets de la vue de la demande.

    Si les valeurs diffèrent, passez à la section suivante.

Mettre à jour les paramètres du job de synchronisation

Si la tâche de synchronisation n'a pas pu être mise à jour automatiquement pendant le du cas d'utilisation, vous devez saisir manuellement les valeurs Paramètres ID du projet et ID du projet de quota.

Pour spécifier les valeurs de paramètre correctes, procédez comme suit:

  1. Accédez à Paramètres > Paramètres SOAR > Ingestion. > Connecteurs.
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Connecteur de résultats de stratégie.
  3. Dans la section Paramètres, copiez la valeur de l'ID du projet de quota. .
  4. Accédez à Réponse > Planificateur de tâches.
  5. Sous GoogleSecurityCommandCenter, sélectionnez Sync SCC Data (Synchroniser les données SCC).
  6. Dans la section Paramètres du job Synchroniser les données SCC, saisissez la valeur copiée dans les champs ID du projet et ID du projet de quota.
  7. Cliquez sur Enregistrer.

Mettre à jour les widgets d'affichage de la demande

  1. Dans la console Opérations de sécurité, accédez à Paramètres > SOAR. Paramètres > Données de cas > Vues.
  2. Sélectionnez Default Case View (Vue par défaut de la demande).
  3. Sélectionnez l'onglet Prédéfini.
  4. Dans le panneau Vue par défaut de la demande, supprimez les widgets suivants:
    • Récapitulatif des résultats (erreur de configuration)
    • Récapitulatif des résultats (faille)
    • SCC – État du résultat
    • Étapes suivantes de la certification SCC
    • Informations sur les billets

  5. Faites glisser les widgets de l'onglet Prédéfini vers la Vue par défaut de la demande. dans l'ordre recommandé suivant:

    1. Résumé du cas
    2. Chemin d'attaque de la combinaison toxique
    3. Résultats
    4. Investigation IA/Résumé Gemini
    5. Récapitulatif des résultats
    6. SCC – État du résultat
    7. Éléments concernés
    8. Éléments AWS concernés
    9. Informations sur les billets
    10. Actions en attente
    11. Alertes
    12. Graphique des entités
    13. Champs des entités mis en avant
    14. Dernière activité du mur des cas
    15. Recommandations
    16. Statistiques

  6. Cliquez sur Enregistrer la vue.

Valider les widgets

Pour vous assurer d'obtenir les informations correctes, vérifiez que les éléments suivants les widgets contiennent l'état correct:

  • Chemin d'attaque par combinaison toxique
  • Conclusion
  • Graphique des entités
  • Enquête IA/Résumé Gemini

Pour valider les widgets, procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à Paramètres > Paramètres SOAR > Données de cas > Vues.
  2. Sélectionnez Default Case View (Vue par défaut de la demande).
  3. Pour les widgets Chemin d'attaque par combinaison toxique et Finding, procédez comme suit : cliquez sur Paramètres. Configuration.
  4. Sous Paramètres avancés, dans la section Conditions, la condition doit se présenter comme suit: [Case.Tags] () Toxic Combination. Si ce n'est pas le cas, mettez à jour la condition, puis cliquez sur Enregistrer.
  5. pour le graphique des entités et pour l'investigation de l'IA/le résumé Gemini ; widgets, cliquez sur Paramètres Configuration.
  6. Sous Paramètres avancés, dans la section Conditions, doit être la suivante: [Case.Tags] !() Toxic Combination. Si ce n'est pas le cas, mettez à jour la condition, puis cliquez sur Enregistrer.

Créer une règle de regroupement des alertes

Pour prendre en charge les mises à jour de la dernière version de cas d'utilisation, créez une alerte. d'une règle de regroupement.

Pour créer une règle d'alerte, procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à Paramètres > Paramètres SOAR > Paramètres avancés > Regroupement des alertes.
  2. Dans la section Règles, cliquez sur add Ajouter. La La fenêtre Ajouter une règle de regroupement s'ouvre.
  3. Dans le champ Catégorie, sélectionnez Source de données.
  4. Dans le champ Source de données, sélectionnez SCCEnterprise.
  5. Dans le champ Grouper par, sélectionnez Identifiant de regroupement source.
  6. Cliquez sur Créer.
  7. Sur la page Regroupement des alertes, cliquez sur Enregistrer.

Activer les playbooks

Pour activer un playbook de traitement des failles et des erreurs de configuration, procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à Réponse > Playbooks.

  2. Sélectionnez le dossier Siemplify Use Cases (Cas d'utilisation de Siemplify).

    Si vous n'avez pas intégré les systèmes de billetterie, assurez-vous que le Le playbook Résultats de la stratégie – Générique est activé.

    Si vous avez intégré des systèmes de billetterie, procédez comme suit:

    1. Sélectionnez le playbook Posture Findings – Generic (Résultats de la posture – Générique).
    2. Appuyez sur le bouton pour la désactiver.
    3. Cliquez sur Enregistrer.
    4. Si vous avez intégré Jira, sélectionnez Posture Findings With Jira (Résultats de la stratégie avec Jira) playbook.
      1. Appuyez sur le bouton pour activer le playbook.
      2. Cliquez sur Enregistrer.
    5. Si vous avez intégré ServiceNow, sélectionnez l'option Posture Findings With Playbook de ServiceNow.
      1. Appuyez sur le bouton pour activer le playbook.
      2. Cliquez sur Enregistrer.

Réexécuter les playbooks

Pour appliquer les nouveaux playbooks aux alertes existantes, exécutez-les à nouveau. Réexécution... un playbook ne crée pas de nouvelles tickets pour les alertes existantes.

Pour réexécuter un playbook, procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à Demandes.
  2. Sélectionnez une demande en cours.
  3. Dans la vue de la demande, sélectionnez une alerte pour laquelle réexécuter un playbook.
  4. Dans l'onglet Playbooks (Playbooks), à côté du nom du playbook, cliquez sur Réexécuter le playbook.

Mettre à jour le connecteur

La mise à jour du cas d'utilisation n'entraîne pas automatiquement la mise à jour du connecteur. Pour vous assurer que l'ingestion des données fonctionne comme prévu après la mise à jour du cas d'utilisation, mettez à jour le connecteur.

Pour mettre à jour le connecteur, procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à Paramètres > SOAR. Paramètres > Ingestion > Connecteurs.
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Connecteur de résultats de recherche urgente.
  3. Cliquez sur Mettre à jour en cache.
  4. Appuyez sur le bouton pour activer le connecteur.
  5. Cliquez sur Enregistrer.

Vérifier la configuration de mise à jour

Pour vous assurer que tous les composants des cas d'utilisation sont correctement mis à jour, testez le connecteur et le job.

Tester le connecteur

  1. Dans la console Opérations de sécurité, accédez à Paramètres > Paramètres SOAR > Ingestion > Connecteurs.
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Connecteur de résultats de stratégie.
  3. Accédez à l'onglet Test.
  4. Cliquez sur Exécuter le connecteur une fois. Si la configuration du connecteur est correcte, la coche apparaît.

Tester le job

  1. Dans la console Opérations de sécurité, accédez à Réponse > Job Scheduler (Planificateur de tâches).
  2. Sous GoogleSecurityCommandCenter, sélectionnez Sync SCC Data (Synchroniser les données SCC).
  3. Cliquez sur Exécuter maintenant. Si la tâche fonctionne comme prévu, son état est Success.

Dépannage

  • Dans le widget Récapitulatif des résultats, si la section Étapes suivantes d'une l'alerte de résultat est mal formatée ou est manquante, réexécutez le playbook sur une alerte pour le cas concerné.

  • La tâche Sync SCC Data (Synchroniser les données SCC) affiche l'erreur suivante:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Patientez dix minutes, puis cliquez sur Exécuter. Si l'erreur persiste, terminez procédez comme suit:

    1. Dans la section Paramètres de la tâche, supprimez l'ID de l'organisation. .
    2. Saisissez la valeur du paramètre ID de l'organisation.
    3. Cliquez sur Enregistrer.
    4. Cliquez sur Exécuter maintenant.