Actualiza el caso de uso de Enterprise

Ya está disponible la actualización del 4 de septiembre de 2024 del caso de uso de SCC Enterprise: orquestación y remediación de la nube. Actualiza el caso de uso lo antes posible.

Este caso de uso proporciona actualizaciones de las funciones de operaciones de seguridad del nivel Enterprise de Security Command Center. Para aplicar las actualizaciones, sigue los procedimientos que se indican en esta página.

El procedimiento de actualización incluye los siguientes pasos de alto nivel:

  1. Para preparar el sistema para la actualización, inhabilita un conector y borra ciertos libros de jugadas existentes.
  2. Instala la versión más reciente del caso de uso de SCC Enterprise: orquestación y solución de problemas en la nube.
  3. Valida la instalación y ejecuta las guías actualizadas.

Confirma que tienes los roles necesarios

Para completar el procedimiento, se te debe otorgar cualquiera de los siguientes SOC roles en la consola de operaciones de seguridad:

  • Administrador
  • Administrador de vulnerabilidades
  • Administrador de amenazas

Para más detalles sobre los roles del SOC en la consola de operaciones de seguridad y los permisos necesarios para los usuarios, consulta Controla el acceso a las funciones en la consola de operaciones de seguridad.

Prepara el sistema para la actualización

Antes de actualizar el caso de uso, debes inhabilitar el conector SCC Enterprise – Urgent Posture Findings y borrar los libros de jugadas que proporciona la versión actual del caso de uso.

Inhabilita el conector

Para evitar tener alertas sin playbooks adjuntos, inhabilita el conector SCC Enterprise – Urgent Posture Findings Connector antes de borrar los playbooks. Security Command Center transfiere los resultados recopilados mientras el conector está inhabilitado cuando lo actualizas y habilitas.

Para inhabilitar el conector, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
  2. En SCCEnterprise, selecciona SCC Enterprise: conector de Urgent Posture Findings.
  3. Mueve el interruptor para inhabilitar el conector.
  4. Haz clic en Guardar.

Borra guías

Para evitar la duplicación de los libros de jugadas, borra los libros de jugadas predeterminados que usas en la versión actual de tu caso de uso. Borra las guías antes de actualizar el caso de uso no afecta su administración.

Para borrar las guías predeterminadas, completa los siguientes pasos:

  1. En la consola de operaciones de seguridad, ve a Respuesta > Guías. El filtro desplegable está configurado de forma predeterminada en Mostrar todo.

  2. Selecciona la carpeta Casos de uso de Siemplify. Esta carpeta contiene los siguientes libros de jugadas predeterminados:

    • Guía de respuesta a amenazas de AWS
    • Guía de respuesta ante amenazas de GCP
    • Respuesta del recomendador de IAM
    • Hallazgos de la postura: genéricos
    • Hallazgos de la postura: genéricos – VM Manager
    • Resultados de la postura con Jira
    • Resultados de la postura con ServiceNow
    • Google Cloud – Ejecución: Criptominería
    • Google Cloud: Ejecución: Se cargó o ejecutó un objeto binario o una biblioteca
    • Google Cloud – Ejecución – Shell o secuencia de comandos de URL maliciosa Procesos
    • Google Cloud: Persistencia: Comportamiento sospechoso
    • Google Cloud – Persistencia – Otorgamiento anómalo de IAM
    • Postura: Guía de combinación tóxica
    • Vista previa: Guía de respuesta ante amenazas de Azure

  3. En la navegación de la página Playbooks, haz clic en Editar para seleccionar varios elementos.

  4. Junto a Simplificar casos de uso, haz clic en done_all Seleccionar todo para seleccionar todos los playbooks y bloques de la carpeta.

  5. En la navegación de la página Guías de planificación, haz clic en el menú lista > Eliminar. Aparecerá una ventana en la que deberás confirmar o cancelar el o borrar las guías seleccionadas.

  6. Haz clic en Confirmar.

    Ahora puedes actualizar la versión de tu caso de uso.

Instala el caso de uso de Security Command Center Enterprise

Para instalar la versión más reciente del caso de uso de SCC Enterprise, sigue estos pasos: y compruebe que todas las integraciones proporcionadas en el caso de uso estén funcionando hasta la fecha.

Instala el caso de uso más reciente

Para instalar la versión más reciente del caso de uso de SCC Enterprise: orquestación y solución de problemas en la nube, completa los siguientes pasos:

  1. En la consola de operaciones de seguridad, ve a Marketplace > Casos de uso.
  2. Abre el diálogo Filtrar por categorías. Para ello, haz clic en el ícono de filtro.
  3. En el diálogo Filtrar por categorías, escribe SCC Enterprise. El caso de uso aparece en la sección Casos de uso.

  4. En la descripción del caso de uso de SCC Enterprise: orquestación y solución de problemas en la nube, busca una fecha.

    • Si la fecha es anterior al 10 de julio de 2024 o no hay una fecha en la descripción, borra el caso de uso. Novedades caso de uso en lugar del que se borró.

    • Si la fecha en la página SCC Enterprise – Cloud El caso de uso de organización y corrección es el 10 de julio de 2024 o después. confirmar que las guías en el último caso de uso se instalan siguiendo estos pasos:

      1. Haz clic en el caso de uso para abrir el asistente de instalación.
      2. Expande la categoría de guías y toma nota de las guías nuevas o actualizadas.
      3. En el campo Response > Guías en la consola de Operaciones de seguridad busca la guía nueva o actualizada. Si encuentras los nuevos de la guía actualizada, la instalación del caso de uso ya está completa.

  5. Para completar la instalación del caso de uso, haz clic en el caso de uso SCC Enterprise: orquestación y solución de problemas en la nube y sigue las instrucciones del asistente de instalación.

Aplica y valida las configuraciones a partir del nuevo caso de uso

Debes validar que los distintos atributos que se incluyen en el el caso de uso más reciente se actualicen correctamente. Para ciertas funciones, debes aplicar las actualizaciones del caso de uso nuevo de forma manual.

Valida las versiones de integración en el caso de uso

Las versiones nuevas de las integraciones incluidas en el caso de uso están disponibles cada semana. Actualiza las integraciones a sus versiones más recientes lo antes posible.

Las nuevas versiones de las integraciones presentan actualizaciones que incluyen, sin limitaciones, correcciones de problemas, widgets y acciones nuevos, cambios en widgets y acciones existentes, mejoras en el manejo de alertas y mejoras en la lógica de procesamiento de detección y la asignación de flujos de trabajo.

Para aplicar las actualizaciones para las integraciones, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Marketplace > integración.
  2. En el campo Tipo, selecciona Todas las integraciones.
  3. En el campo Estado, selecciona Actualización disponible. Se muestran todas las integraciones que requieren una actualización.
  4. Para actualizar una integración, haz clic en Actualizar a la versión VERSION en la tarjeta de integración.
  5. Si aparece el diálogo Updated INTEGRATION haz clic en Confirmar.
  6. Si aparece el diálogo Confirmación, haz clic en Aprobar.
  7. En el cuadro de diálogo Confirm Overwrite Mapping, selecciona la siguiente opción: Install the new ontology configuration and override the existing one y, luego, haz clic en Confirm.

Actualizar la integración de SCC Enterprise e instalar la nueva ontología configuración para todas las integraciones actualizadas.

Configura la integración de Cloud Storage

Para corregir los hallazgos de la LCA bucket públicos, actualización del 4 de septiembre de 2024 del caso de uso de SCC Enterprise: organización y remediación en la nube se presenta una integración adicional: la de Cloud Storage.

Para permitir que los libros de jugadas enriquezcan y corrijan el tipo de hallazgo PUBLIC BUCKET ACL, completa los siguientes pasos para configurar la integración de Cloud Storage:

  1. Configura los parámetros de integración.
  2. Habilita la remediación de buckets públicos para las guías.
Configura los parámetros de integración

Para configurar los parámetros de integración de Cloud Storage, completa la los siguientes pasos:

  1. En la consola de Security Operations, ve a Marketplace > integración.
  2. En el campo Buscar, ingresa Storage. Aparecerá la tarjeta de integración de Cloud Storage.
  3. En la tarjeta de integración, haz clic en Configurar. Se abrirá el cuadro de diálogo de configuración.
  4. Configura los parámetros Workload Identity Email, Project ID y Quota Project ID. Puedes copiar los valores de los parámetros de cualquier otra integración de Google Cloud, como la de Cloud Asset Inventory.
  5. Haz clic en Guardar.
  6. Haz clic en Probar para probar la configuración.
Habilita la remediación de buckets públicos para las guías

Si quieres habilitar la solución de bucket públicos para las guías de resultados de la postura, consulta Habilitar el bucket público y solucionar problemas.

Actualiza los widgets de la vista de caso

  1. En la consola de Security Operations, ve a Configuración > Configuración de SOAR > Datos de casos > Vistas.
  2. Selecciona Vista de caso predeterminada.
  3. Selecciona la pestaña Predefinidos.

  4. Arrastra los widgets de la pestaña Predefinidos a la Vista de caso predeterminada en el siguiente orden recomendado:

    1. Resumen del caso
    2. Ruta de ataque de combinación tóxica
    3. Resultados
    4. Resumen de la investigación de IA o Gemini
    5. Resumen de resultados
    6. SCC: Estado del hallazgo
    7. Activos afectados
    8. Información del boleto
    9. Acciones pendientes
    10. Gráfico de entidades
    11. Lo más destacado de las entidades

  5. Haz clic en Guardar vista.

Cómo validar widgets

Para asegurarte de obtener la información correcta, valida lo siguiente: los widgets contienen la condición correcta:

  • Ruta de ataque de combinación tóxica
  • Hallazgo
  • Gráfico de entidades
  • Resumen de la investigación de IA o Gemini
  • Resumen de resultados
  • SCC: Estado del hallazgo
  • Recursos afectados
  • Recursos de AWS afectados

Para validar los widgets, completa los siguientes pasos:

  1. En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Datos del caso > Vistas.

  2. Selecciona Default Case View.

  3. En los widgets Ruta de ataque de combinación tóxica y Resultado, haz clic en Configuración Configuración.

    En Configuración avanzada, en la sección Condiciones, selecciona la condición debe ser la siguiente: [Case.Tags] () Toxic Combination. De lo contrario, actualiza la condición y, luego, haz clic en Guardar.

  4. Para el Gráfico de entidades y el Resumen de la investigación de IA/Gemini widgets, haz clic en Configuración. Configuración.

    En Configuración avanzada, en la sección Condiciones, la condición debe ser la siguiente: [Case.Tags] !() Toxic Combination. De lo contrario, actualiza la condición y, luego, haz clic en Guardar.

  5. En el widget Finding Summary, haz clic en settingsConfiguración.

    En Configuración avanzada, en la sección Condiciones, las condiciones deben ser las siguientes:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    De lo contrario, actualiza las condiciones y haz clic en Guardar.

  6. En el widget SCC – Finding State, haz clic en Borrar. Cuando cuando se abra el diálogo de confirmación, haz clic en .

    Para instalar el widget SCC – Finding State configurado para usar la última versión de caso de uso, arrastra el widget SCC – Finding State desde la Predefinido a la vista Default Case.

  7. En el widget Elementos afectados, haz clic en Borrar. Cuando se abra el diálogo de confirmación, haz clic en .

    Para instalar el widget de Elementos afectados configurado para la versión más reciente, sigue estos pasos: versión de caso de uso, arrastra el widget Elementos afectados desde la Predefinido a la vista Default Case.

  8. En el widget Impacted AWS Assets, haz clic en Borrar. Cuando se abra el diálogo de confirmación, haz clic en .

  9. Haz clic en Guardar vista.

Habilitar guías

Para habilitar las guías para procesar vulnerabilidades y parámetros de configuración incorrectos, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Respuesta > Guías de respuesta.

  2. Selecciona la carpeta Casos de uso de Siemplify.

    Si no realizaste la integración con los sistemas de tickets, asegúrate de que la opción Posture Findings – Generic esté habilitada. Habilita la guía de Resultados de la postura: Genérico: VM Manager de forma opcional.

    Si realizaste la integración con sistemas de venta de entradas, completa los siguientes pasos:

    1. Selecciona la guía Posture Findings – Generic (Hallazgos de postura: genérico).
    2. Mueve el botón de activación para inhabilitarlo.
    3. Haz clic en Guardar.
    4. Selecciona la guía de Resultados de la postura: Genérico: Administrador de VM.
    5. Desactiva el botón de activación.
    6. Haz clic en Guardar.
    7. Si realizaste la integración con Jira, selecciona Posture Findings With Jira. de Google Cloud.
      1. Activa el botón de activación para habilitar la guía.
      2. Haz clic en Guardar.
    8. Si integraste ServiceNow, selecciona el recurso Posture Findings With ServiceNow.
      1. Mueve el botón de activación para habilitar la guía.
      2. Haz clic en Guardar.

Actualizar conectores

La actualización del caso de uso no actualiza los conectores existentes automáticamente. Para asegurarte de que la transferencia de datos funcione como se espera después de la actualización del caso de uso, actualiza los conectores SCC Enterprise: Conector de resultados de postura urgente y Google Chronicle: Conector de alertas de Chronicle.

Actualizar el conector de hallazgos de postura urgente de SCC Enterprise completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
  2. En SCCEnterprise, selecciona SCC Enterprise – Conector de Hallazgos de Postura Urgentes. El conector se abrirá la página de configuración de parámetros.
  3. Haz clic en Actualizar almacenado en caché.
  4. Establece el parámetro Run Every en 1 minuto.
  5. Activa el interruptor para habilitar el conector.
  6. Haz clic en Guardar.

Actualizar el conector de alertas de Chronicle de Google Chronicle completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
  2. En GoogleChronicle, selecciona Google Chronicle: Conector de alertas de Chronicle. Se abrirá la página de configuración de los parámetros del conector.
  3. Haz clic en Actualizar almacenado en caché.
  4. Establece el parámetro Run Every en 1 minuto.
  5. En el campo del parámetro Nombre del campo de producto, ingresa SCCE.
  6. Activa el interruptor para habilitar el conector.
  7. Haz clic en Guardar.

Verifica la configuración de actualización

Para asegurarte de que todos los componentes del caso de uso se actualicen correctamente, prueba el conector y el trabajo.

Prueba el conector

  1. En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
  2. En SCCEnterprise, selecciona SCC Enterprise – Urgent. Conector de hallazgos de postura.
  3. Ve a la pestaña Pruebas.
  4. Haz clic en Ejecutar conector una vez. Si la configuración del conector es correcta, aparecerá la marca de verificación.

Prueba el trabajo

  1. En la consola de operaciones de seguridad, ve a Respuesta > Programador de trabajos.
  2. En GoogleSecurityCommandCenter, selecciona Sync SCC Data.
  3. Haz clic en Ejecutar ahora. Si el trabajo funciona como se espera, su estado es Success.

Soluciona problemas

  • El trabajo Sync SCC Data muestra el siguiente error:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Espera diez minutos y haz clic en Ejecutar ahora. Si el error persiste, completa los siguientes pasos:

    1. En la sección Parámetros del trabajo, borra el valor del parámetro ID de la organización.
    2. Ingresa el valor del parámetro Organization ID.
    3. Haz clic en Guardar.
    4. Haz clic en Ejecutar ahora.

  • El trabajo Sync SCC Data muestra un error de autenticación cuando no se pudo actualizar automáticamente durante la actualización del caso de uso. Para solucionar el problema de la tarea de sincronización, ingresa manualmente los valores de los parámetros Project ID y Quota Project ID.

    Para especificar los valores de parámetro correctos, completa los siguientes pasos:

    1. Ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
    2. En SCCEnterprise, selecciona SCC Enterprise: conector de Urgent Posture Findings.
    3. En la sección Parámetros, copia el valor del ID del proyecto de cuota. parámetro.
    4. Ve a Respuesta > Programador de trabajos.
    5. En SCCEnterprise, selecciona Sincronizar los datos de SCC.
    6. En la sección Parameters del trabajo Sync SCC Data, ingresa el valor copiado en los campos Project ID y Quota Project ID.
    7. Haz clic en Guardar.

  • Después de la actualización del caso de uso, los nuevos libros de jugadas no se aplican a las alertas existentes.

    Para aplicar las nuevas guías a las alertas existentes y volver a renderizar el widget Alert, cierra un caso y espera a que el conector vuelva a transferir las alertas con las guías nuevas adjuntas.