Actualiza el caso de uso de Enterprise

La actualización del 10 de julio de 2024 del módulo SCC Enterprise – Cloud Orchestration y solución ya está disponible. Actualiza el caso de uso lo antes posible.

Este caso de uso proporciona actualizaciones a las funciones de operaciones de seguridad de la Nivel empresarial de Security Command Center. Para aplicar las actualizaciones, sigue los procedimientos de esta página.

El procedimiento de actualización incluye los siguientes pasos de alto nivel:

1. Prepara el sistema para la actualización inhabilitando un conector y borrando ciertas guías existentes.
2. Instala la última versión del SCC Enterprise – Cloud de organización y corrección.
3. Valida la instalación y ejecuta las guías actualizadas.

Confirma que tienes los roles necesarios

Para completar el procedimiento, se te debe otorgar cualquiera de los siguientes SOC roles en la consola de operaciones de seguridad:

• Administrador
• Administrador de vulnerabilidades
• Administrador de amenazas

Para más detalles sobre los roles del SOC en la consola de operaciones de seguridad y los permisos necesarios para los usuarios, consulta Controla el acceso a las funciones en la consola de operaciones de seguridad.

Prepara el sistema para la actualización

Antes de actualizar el caso de uso, debes inhabilitar el SCC Enterprise: Conector de hallazgos urgentes de la postura y puede borrar las guías proporcionadas por la versión del caso de uso actual.

Inhabilitar el conector

Para evitar alertas sin guías adjuntas, inhabilita el Conector SCC Enterprise – Urgent Posture Findings Connector antes de borrar las guías. Security Command Center transfiere los resultados recopilados mientras el conector está inhabilitado cuando actualizas y habilitas el conector.

Para inhabilitar el conector, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
2. En SCCEnterprise, selecciona SCC Enterprise – Urgent. Conector de hallazgos de postura.
3. Mueve el botón de activación para inhabilitar el conector.
4. Haz clic en Guardar.

Borrar guías

Para evitar la duplicación de la guía, borra las guías predeterminadas que usas. en la versión actual de tu caso de uso. Borra las guías antes de actualizar el caso de uso no afecta su administración.

Para borrar las guías predeterminadas, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.
2. Para filtrar las guías de bloques en la página Guías, cambia el filtro desplegable de Mostrar todo a Guías.
3. Selecciona Casos de uso de Siemplify. La carpeta contiene los siguientes elementos: guías predeterminadas:
   • Guía de respuesta ante amenazas de AWS
   • Guía de respuesta ante amenazas de GCP
   • Respuesta del recomendador de IAM
   • Hallazgos de la postura: genéricos
   • Hallazgos de la postura con Jira
   • Hallazgos de la postura con ServiceNow
4. En la navegación de la página de las guías, haz clic en Editar para seleccionar varios elementos.
5. Junto a Casos de uso de Siemplify, haz clic en done_all Seleccionar todo para seleccionar todas las guías en la carpeta.
6. En la navegación de la página Guías, haz clic en list Menú > Borrar Aparecerá una ventana en la que deberás confirmar o cancelar el o borrar las guías seleccionadas.

7. Haz clic en Confirmar.

   Ahora puedes actualizar la versión de tu caso de uso.

Instala el caso de uso de Security Command Center Enterprise

Para instalar la versión más reciente del caso de uso de SCC Enterprise, sigue estos pasos: y compruebe que todas las integraciones proporcionadas en el caso de uso estén funcionando hasta la fecha.

Instala el caso de uso más reciente

Para instalar la última versión del SCC Enterprise – Cloud de organización y corrección, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Marketplace > Casos de uso.
2. Abre el diálogo Filtrar por categorías. Para ello, haz clic en el ícono de filtro. .
3. En el diálogo Filtrar por categorías, escribe SCC Enterprise. El caso de uso en la sección Casos de uso.

4. En la descripción de SCC Enterprise – Cloud Orchestration y corrección, busca una fecha.

   • Si la fecha es anterior al 10 de julio de 2024 o no hay fecha en la descripción, borra el caso de uso. Novedades caso de uso en lugar del que se borró.

   • Si la fecha en la página SCC Enterprise – Cloud El caso de uso de organización y corrección es el 10 de julio de 2024, confirmar que las guías en el último caso de uso se instalan siguiendo estos pasos:

     1. Haz clic en el caso de uso para abrir el asistente de instalación.
     2. Expande la categoría de las guías y toma nota de las novedades o actualizaciones. y manuales de tácticas.
     3. En el campo Response > Guías en la consola de Operaciones de seguridad busca la guía nueva o actualizada. Si encuentras los nuevos de la guía actualizada, la instalación del caso de uso ya está completa.

5. Para completar la instalación del caso de uso, haz clic en el vínculo SCC Enterprise – de Google Cloud Orchestration and Remediation y sigue las instrucciones del asistente de instalación.

Aplica y valida las configuraciones a partir del nuevo caso de uso

Debes validar que los distintos atributos que se incluyen en el el caso de uso más reciente se actualicen correctamente. Para ciertas funciones, debes aplicar las actualizaciones de un caso de uso nuevo de forma manual.

Valida las versiones de integración en el caso de uso

Para garantizar que las integraciones en el caso de uso estén actualizadas, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Marketplace >. Integraciones.
2. En el campo Tipo, selecciona Todas las integraciones.
3. En el campo Estado, selecciona Actualización disponible. Todas las se muestran las integraciones que requieren una actualización.
4. Para actualizar una integración, haz clic en el ícono de actualización circular en la integración. y completa el asistente de actualización. Actualiza Security Command Center Se requiere integración empresarial.

Valida el trabajo de sincronización

Luego de instalar la versión más reciente del caso de uso y validar el de integración, comprueba que el trabajo Sync SCC Data contenga parámetros actualizados.

Para validar el trabajo de sincronización, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Respuesta > Programador de trabajos.
2. En GoogleSecurityCommandCenter, selecciona Sync SCC Data.

3. En la sección Parámetros, verifica que el ID del proyecto y el Los valores del parámetro ID del proyecto de cuota son los mismos.

   Si los valores son iguales, el trabajo está actualizado. Puedes continuar para actualizar los widgets de la vista de casos.

   Si los valores difieren, continúa con la siguiente sección.

Actualiza los parámetros del trabajo de sincronización

Si el trabajo de sincronización no se actualizó automáticamente durante la actualización de caso de uso, deberás ingresar manualmente los valores del Parámetros ID del proyecto y ID del proyecto de cuota

Para especificar los valores de parámetro correctos, completa los siguientes pasos:

1. Ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
2. En SCCEnterprise, selecciona SCC Enterprise – Urgent. Conector de hallazgos de postura.
3. En la sección Parámetros, copia el valor del ID del proyecto de cuota. parámetro.
4. Ve a Respuesta > Programador de trabajos.
5. En GoogleSecurityCommandCenter, selecciona Sync SCC Data.
6. En la sección Parámetros del trabajo Sincronizar datos de SCC, ingresa el valor copiado en los campos Project ID y Quota Project ID.
7. Haz clic en Guardar.

Actualiza los widgets de vista de casos

1. En la consola de operaciones de seguridad, ve a Configuración > SOAR Configuración > Datos del caso > Vistas.
2. Selecciona Default Case View.
3. Selecciona la pestaña Predefinido.
4. Desde el panel Default Case View, borra los siguientes widgets:
   • Resumen de resultados (configuración incorrecta)
   • Resumen de hallazgos (vulnerabilidad)
   • SCC: Estado del hallazgo
   • Próximos pasos de SCC
   • Información de la entrada

5. Arrastra los widgets de la pestaña Predefinido a la vista de casos predeterminados. en el siguiente orden recomendado:

   1. Resumen del caso
   2. Ruta de ataque de combinación tóxica
   3. Resultados
   4. Investigación de IA/Resumen de Gemini
   5. Resumen de resultados
   6. SCC: Estado del hallazgo
   7. Activos afectados
   8. Activos de AWS afectados
   9. Información de boleto
   10. Acciones pendientes
   11. Alertas
   12. Gráfico de entidades
   13. Lo más destacado de las entidades
   14. Actividad más reciente en el muro de casos
   15. Recomendaciones
   16. Estadísticas

6. Haz clic en Guardar vista.

Validar widgets

Para asegurarte de obtener la información correcta, valida lo siguiente: los widgets contienen la condición correcta:

• Ruta de ataque de combinación tóxica
• Hallazgo
• Gráfico de entidades
• Investigación de IA/Resumen de Gemini

Para validar los widgets, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Datos del caso > Vistas.
2. Selecciona Default Case View.
3. Para los widgets de ruta de ataque de combinación tóxica y hallazgo, haz lo siguiente: Haz clic en Configuración. Configuración.
4. En Configuración avanzada, en la sección Condiciones, selecciona la condición debe ser la siguiente: [Case.Tags] () Toxic Combination. Si no es así, actualízala la condición y haz clic en Guardar.
5. Para el Gráfico de entidades y el Resumen de la investigación de IA/Gemini widgets, haz clic en Configuración. Configuración.
6. En Configuración avanzada, en la sección Condiciones, el ícono debe ser la siguiente: [Case.Tags] !() Toxic Combination. De lo contrario, actualiza la condición y haz clic en Guardar.

Crea una regla de agrupación de alertas

Para admitir actualizaciones de la versión más reciente del caso de uso, crea una alerta nueva regla de agrupación.

Para crear una regla de alerta, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Avanzada > Agrupación de alertas.
2. En la sección Reglas, haz clic en agregar Agregar. El Se abrirá la ventana Agregar regla de agrupación.
3. En el campo Categoría, selecciona Fuente de datos.
4. En el campo Fuente de datos, selecciona SCCEnterprise.
5. En el campo Agrupar por, selecciona Identificador de agrupamiento de origen.
6. Haz clic en Crear.
7. En la página Agrupación de alertas, haz clic en Guardar.

Habilitar guías

Para habilitar una guía para procesar vulnerabilidades y parámetros de configuración completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.

2. Selecciona la carpeta Casos de uso de Siemplify.

   Si no realizaste la integración con los sistemas de tickets, asegúrate de que La guía Hallazgos de la postura: Genérica está habilitada.

   Si integraste los sistemas de tickets, completa los siguientes pasos:

   1. Selecciona la guía Posture Findings – Generic.
   2. Mueve el botón de activación para inhabilitarlo.
   3. Haz clic en Guardar.
   4. Si realizaste la integración con Jira, selecciona Posture Findings With Jira. de Google Cloud.
      1. Mueve el botón de activación para habilitar la guía.
      2. Haz clic en Guardar.
   5. Si integraste ServiceNow, selecciona el recurso Posture Findings With ServiceNow.
      1. Mueve el botón de activación para habilitar la guía.
      2. Haz clic en Guardar.

Volver a ejecutar las guías

Para aplicar las guías nuevas a las alertas existentes, vuelve a ejecutarlas. Volviendo a ejecutar una guía no crea tickets nuevos para alertas existentes.

Para volver a ejecutar una guía, completa los siguientes pasos:

1. En la consola de Operaciones de seguridad, ve a Casos.
2. Selecciona un caso abierto.
3. En la Vista de caso, selecciona una alerta para volver a ejecutar una guía.
4. En la pestaña Guías, junto al nombre de la guía, haz clic en Guía para volver a ejecutar.

Actualiza el conector

La actualización del caso de uso no actualiza el conector automáticamente. Para garantizar de que la transferencia de datos funcione como se espera después de la actualización del caso de uso actualizar el conector.

Para actualizar el conector, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Configuración > SOAR Configuración > Transferencia > Conectores.
2. En SCCEnterprise, selecciona SCC Enterprise – Conector de Hallazgos de Postura Urgentes.
3. Haz clic en Actualizar almacenado en caché.
4. Mueve el botón de activación para habilitar el conector.
5. Haz clic en Guardar.

Verifica la configuración de actualización

Para asegurarte de que todos los componentes del caso de uso se actualicen correctamente, prueba el que el conector y el trabajo.

Prueba el conector

1. En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
2. En SCCEnterprise, selecciona SCC Enterprise – Urgent. Conector de hallazgos de postura.
3. Ve a la pestaña Pruebas.
4. Haz clic en Ejecutar conector una vez. Si la configuración del conector es correcta, aparecerá la marca de verificación.

Prueba el trabajo

1. En la consola de operaciones de seguridad, ve a Respuesta > Programador de trabajos.
2. En GoogleSecurityCommandCenter, selecciona Sync SCC Data.
3. Haz clic en Ejecutar ahora. Si el trabajo funciona como se espera, su estado es Success.

Soluciona problemas

• En el widget Resumen del hallazgo, si se muestra la sección Próximos pasos de una la alerta de hallazgo tiene un formato incorrecto o falta, vuelve a ejecutar la guía en una alerta del caso afectado.

• El trabajo Sync SCC Data muestra el siguiente error:

  TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)
  

  Espera diez minutos y haz clic en Ejecutar ahora. Si el error persiste, completa sigue estos pasos:

  1. En la sección Parámetros del trabajo, borra el ID de organización. valor del parámetro.
  2. Ingresa el valor del parámetro ID de organización.
  3. Haz clic en Guardar.
  4. Haz clic en Ejecutar ahora.