更新 Enterprise 用例

SCC 企业 - 云编排的 2024 年 7 月 10 日更新 和修复用例现已推出。更新用例 。

此用例提供对 Google Cloud 和 App Engine 的 Security Command Center 的企业层级。如需应用更新，请按照 执行本页中的程序。

更新过程包括以下简要步骤：

1. 停用连接器并删除，使系统做好更新准备 某些现有策略方案。
2. 安装最新版本的 SCC Enterprise – Cloud 编排和修复用例。
3. 验证安装并运行更新后的 playbook。

确认您拥有所需的角色

要完成此过程 您必须被授予以下任一 SOC Security Operations 控制台中的角色：

• 管理员
• 漏洞管理器
• 威胁管理器

如需详细了解安全操作控制台中的 SOC 角色和 用户所需的权限，请参阅 控制对 Security Operations 控制台中功能的访问权限。

使系统做好更新准备

在更新用例之前，您需要停用 SCC Enterprise – Urgent Posture Findings Connector 和 删除当前用例版本提供的 playbook。

停用连接器

为避免出现未附加 playbook 的提醒，请停用 SCC Enterprise – Urgent Posture Findings Connector 连接器 然后再删除 playbook。Security Command Center 注入收集的发现结果 。

要停用该连接器，请完成以下步骤：

1. 在 Security Operations 控制台中，转到 Settings > SOAR Settings > 提取 > 连接器。
2. 在 SCCEnterprise 下，选择 SCC Enterprise - 紧急 Posture Findings Connector。
3. 切换切换开关以停用连接器。
4. 点击保存。

删除 playbook

为避免 playbook 重复，请删除您使用的默认 playbook 应用场景的当前版本。在以下日期之前删除 playbook 升级用例不会影响支持请求管理。

如需删除默认 playbook，请完成以下步骤：

1. 在 Security Operations 控制台中，转到响应 > playbook。
2. 如需在 Playbook 页面上从块中过滤 playbook，请将 下拉过滤器从全部显示改为playbook。
3. 选择简化使用场景。该文件夹包含以下内容 默认 playbook：
   • AWS 威胁响应指南
   • GCP 威胁响应指南
   • IAM Recommender 响应
   • 状况发现结果 - 通用
   • 使用 Jira 发现安全状况
   • 使用 ServiceNow 发现状况
4. 在 playbook 网页导航栏中，点击修改以选择多项内容。
5. 在简化用例旁边，点击 done_all 全选 选择文件夹中的所有 playbook。
6. 在 Playbook 网页导航栏中，点击 list 菜单 > 删除。这时会出现一个窗口，要求您确认或取消 删除所选 playbook。

7. 点击确认。

   现在，您可以更新用例版本了。

安装 Security Command Center Enterprise 用例

将最新版本的 SCC Enterprise 用例安装到最新版本 并检查用例中提供的所有集成是否均正常运行 功能。

安装最新用例

要安装最新版本的 SCC Enterprise - Cloud 编排和修复用例时，请完成以下步骤：

1. 在 Security Operations 控制台中，转到 Marketplace > 使用场景。
2. 点击过滤器图标，打开按类别过滤对话框。 。
3. 在按类别过滤对话框中，输入 SCC Enterprise。通过 用例部分中显示了相应用例。

4. 在 SCC 企业 - 云编排 和修复用例，请查看日期。

   • 如果日期早于 2024 年 7 月 10 日，或者 说明中没有日期，请删除相应用例。最新 自动替换为已删除的用例。

   • 如果 SCC Enterprise - Cloud 上的日期 编排和修复用例为 2024 年 7 月 10 日， 确认最新用例中的策略方案 安装步骤：

     1. 点击用例以打开安装向导。
     2. 展开 Playbook 类别，并记下任何新增或更新 playbook。
     3. 在 Response >Playbook 页面。 搜索新的或更新的 playbook。如果您发现新的 更新后的 playbook，则用例安装已完成。

5. 要完成用例的安装，请点击 SCC Enterprise – Cloud 编排和修复用例，并遵循 安装向导中的说明。

在新用例中应用并验证配置

您需要验证 正确更新。对于某些功能，您需要 手动应用新用例中的更新。

验证用例中的集成版本

为了确保用例中的集成处于最新状态， 请完成以下步骤：

1. 在 Security Operations 控制台中，转到 Marketplace > Integrations（集成）。
2. 在 Type（类型）字段中，选择 All Integrations（所有集成）。
3. 在状态字段中，选择可用升级。所有 系统会显示需要升级的集成。
4. 如需升级集成，请点击集成中的圆形升级图标 然后完成升级向导。升级 Security Command Center 必须提供企业集成。

验证同步作业

安装最新的用例版本并验证 集成版本，请检查 Sync SCC Data 作业是否包含 更新后的参数。

如需验证同步作业，请完成以下步骤：

1. 在 Security Operations 控制台中，转到响应 > 作业调度程序。
2. 在 GoogleSecurityCommandCenter 下，选择同步 SCC 数据。

3. 在参数部分，检查项目 ID 和 配额项目 ID 参数值相同。

   如果值相同，则表示作业是最新的。您可以继续 更新案例视图微件。

   如果这些值不同，请继续阅读下一部分。

更新同步作业参数

如果同步作业在 您需要手动输入 Project ID 和 Quota Project ID 参数。

如需指定正确的参数值，请完成以下步骤：

1. 依次前往设置 > SOAR 设置 > 提取 > 连接器。
2. 在 SCCEnterprise 下，选择 SCC Enterprise - 紧急 Posture Findings Connector。
3. 在参数部分中，复制配额项目 ID 的值 参数。
4. 转到响应 > 作业调度程序。
5. 在 GoogleSecurityCommandCenter 下，选择同步 SCC 数据。
6. 在同步 SCC 数据作业的参数部分中，输入 项目 ID 和配额项目 ID 字段中复制的值。
7. 点击保存。

更新案例视图 widget

1. 在 Security Operations 控制台中，转到 Settings > SOAR “Settings”（设置）>“Case Data”（支持请求数据）>“Views”（视图）。
2. 选择 Default Case View（默认案例视图）。
3. 选择预定义标签页。
4. 在 Default Case View 面板中，删除以下微件：
   • 发现结果摘要（配置错误）
   • 发现结果摘要（漏洞）
   • SCC - 发现结果状态
   • SCC 后续步骤
   • 票务信息

5. 将微件从 Predefinition（预定义）标签页拖动到 Default Case View（默认案例视图）中 并按以下建议顺序排列

   1. 支持请求摘要
   2. 恶意组合攻击路径
   3. 发现结果
   4. AI 调查/Gemini 摘要
   5. 发现结果摘要
   6. SCC - 发现结果状态
   7. 受影响的资产
   8. 受影响的 AWS 资产
   9. 票务信息
   10. 待处理的操作
   11. 提醒
   12. 实体图
   13. 实体的突出显示字段
   14. 最新案例墙活动
   15. 建议
   16. 统计信息

6. 点击 Save View。

验证 widget

为确保您能获得正确的信息，请确认以下内容： 微件包含正确的使用情况：

• 恶意组合攻击路径
• 发现
• 实体图
• AI 调查/Gemini 摘要

如需验证 widget，请完成以下步骤：

1. 在 Security Operations 控制台中，转到设置 > SOAR 设置 > 案例数据 > 视图。
2. 选择 Default Case View（默认案例视图）。
3. 对于恶意组合攻击路径和查找 widget， 点击设置 配置。
4. 在高级设置下的条件部分中，选择条件 应如下所示：[Case.Tags] () Toxic Combination。如果不是，请更新 条件，然后点击保存。
5. 对于实体图和 AI 调查/Gemini 摘要 小程序，点击设置 配置。
6. 在高级设置下的条件部分中， 条件应为：[Case.Tags] !() Toxic Combination。 如果没有，请更新条件，然后点击保存。

创建提醒分组规则

如需支持最新用例版本的更新，请创建新提醒 分组规则。

如需创建提醒规则，请完成以下步骤：

1. 在 Security Operations 控制台中，转到设置 > SOAR 设置 > 高级 > 提醒分组。
2. 在规则部分中，点击 add 添加。通过 系统会打开添加分组规则窗口。
3. 在类别字段中，选择数据源。
4. 在数据源字段中，选择 SCCEnterprise。
5. 在 Group By 字段中，选择 Source Grouping Identifier。
6. 点击创建。
7. 在提醒分组页面中，点击保存。

启用 Playbook

如需启用 playbook 以处理漏洞和错误配置， 请完成以下步骤：

1. 在 Security Operations 控制台中，转到响应 > playbook。

2. 选择 Siemplify Use Cases 文件夹。

   如果您没有与工单系统集成，请确保 已启用 Posture Findings - Generic playbook。

   如果您已与票务系统集成，请完成以下步骤：

   1. 选择 Posture Findings - Generic playbook。
   2. 切换切换开关即可停用该功能。
   3. 点击保存。
   4. 如果您已与 Jira 集成，请选择 Posture Findings With Jira playbook。
      1. 切换切换开关以启用 Playbook。
      2. 点击保存。
   5. 如果您已与 ServiceNow 集成，请选择安全状况发现结果 ServiceNow 指南。
      1. 切换切换开关以启用 Playbook。
      2. 点击保存。

重新运行 playbook

如需将新的 playbook 应用于现有提醒，请重新运行 playbook。正在重新运行 playbook 不会为现有提醒创建新的工单。

如需重新运行 playbook，请完成以下步骤：

1. 在 Security Operations 控制台中，前往案例。
2. 选择一个未结支持请求。
3. 在案例视图中，选择要重新运行 playbook 的提醒。
4. 在 Playbook 标签页中，点击 playbook 名称旁边的 重新运行 Playbook。

更新连接器

更新用例不会自动更新连接器。为确保 确保数据注入在用例更新后按预期运行； 更新连接器。

要更新连接器，请完成以下步骤：

1. 在 Security Operations 控制台中，转到 Settings > SOAR 设置 > 提取 > 连接器。
2. 在 SCCEnterprise 下，选择 SCC Enterprise - Urgent Posture Findings Connector。
3. 点击缓存 更新。
4. 切换切换开关以启用连接器。
5. 点击保存。

验证更新配置

为了确保所有用例组件都已成功更新，请测试 连接器和作业。

测试连接器

1. 在 Security Operations 控制台中，转到设置 > SOAR 设置 > 提取 > Connectors。
2. 在 SCCEnterprise 下，选择 SCC Enterprise - 紧急 Posture Findings Connector。
3. 转到测试标签页。
4. 点击运行连接器一次。如果连接器配置正确， 复选标记。

测试作业

1. 在 Security Operations 控制台中，前往 响应 > 作业调度程序。
2. 在 GoogleSecurityCommandCenter 下，选择同步 SCC 数据。
3. 点击立即运行。如果作业按预期运行，则作业状态为 Success。

问题排查

• 在 Finding Summary（查找摘要）微件中，如果 发现结果提醒的格式有误或缺失，请在以下位置重新运行手册： 一条提醒。

• 同步 SCC 数据作业会显示以下错误：

  TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)
  

  等待十分钟，然后点击立即运行。如果错误仍然存在，请完成 执行下列步骤：

  1. 在作业参数部分，删除组织 ID 参数值。
  2. 输入 Organization ID 参数值。
  3. 点击保存。
  4. 点击立即运行。