Actualizar el caso práctico de Enterprise

Enterprise

Ya está disponible la actualización del 18 de diciembre del 2024 del caso práctico SCC Enterprise – Cloud Orchestration and Remediation. Actualiza el caso práctico lo antes posible.

Este caso de uso proporciona actualizaciones de las funciones de operaciones de seguridad del nivel Enterprise de Security Command Center. Para aplicar las actualizaciones, sigue los procedimientos que se indican en esta página.

El procedimiento de actualización incluye los siguientes pasos generales:

  1. Prepara el sistema para la actualización inhabilitando un conector y eliminando determinados cuadernos de estrategias.
  2. Instala la versión más reciente del caso práctico SCC Enterprise – Cloud Orchestration and Remediation.
  3. Valida la instalación y ejecuta las guías actualizadas.

Estos pasos se realizan en la página de la consola de operaciones de seguridad Configuración > Configuración de SOAR.

Confirma que tienes los roles necesarios

Para completar este procedimiento, debes tener asignado uno de los siguientes roles de SOC en la consola de operaciones de seguridad:

  • Administrador
  • Gestor de vulnerabilidades
  • Gestor de amenazas

Para obtener más información sobre los roles y permisos de SOC que necesitan los usuarios para acceder a las páginas de la consola Security Operations, consulta el artículo Controlar el acceso a las funciones de las páginas de la consola Security Operations.

Preparar el sistema para la actualización

Antes de actualizar el caso de uso, debes inhabilitar el conector SCC Enterprise – Urgent Posture Findings Connector y eliminar los cuadernos de estrategias proporcionados por la versión actual del caso de uso.

Inhabilitar el conector

Para evitar que haya alertas sin libros de jugadas adjuntos, inhabilita el conector SCC Enterprise – Urgent Posture Findings Connector antes de eliminar los libros de jugadas. Security Command Center ingiere los resultados recogidos mientras el conector está inhabilitado cuando actualizas y habilitas el conector.

Para inhabilitar el conector, sigue estos pasos:

  1. En el panel de navegación de la consola Security Operations, ve a Configuración > Configuración de SOAR > Ingesta > Conectores.
  2. En SCCEnterprise, selecciona SCC Enterprise – Urgent Posture Findings Connector (SCC Enterprise – Conector de resultados de postura urgentes).
  3. Desactiva el interruptor para inhabilitar el conector.
  4. Haz clic en Guardar.

Eliminar guías

Para evitar que se dupliquen las guías, elimina las guías predeterminadas que utilices en la versión actual de tu caso práctico. Eliminar cuadernos de respuestas antes de actualizar el caso práctico no afecta a la gestión de casos.

Para eliminar los manuales de respuesta predeterminados, sigue estos pasos:

  1. En el menú de navegación de la consola de operaciones de seguridad, ve a Respuesta > Playbooks. El filtro desplegable tiene el valor Mostrar todo de forma predeterminada.

  2. Selecciona la carpeta Siemplify Use Cases. Esta carpeta contiene los siguientes cuadernos de estrategias predeterminados:

    • Guía de respuesta ante amenazas de AWS
    • GCP Threat Response Playbook
    • Respuesta del recomendador de gestión de identidades y accesos
    • Posture Findings – Generic
    • Resultados de postura – Genérico – VM Manager
    • Hallazgos sobre la postura con Jira
    • Resultados de la postura con ServiceNow
    • Google Cloud – Ejecución – Criptominería
    • Google Cloud – Ejecución – Se ha cargado un archivo binario o una biblioteca Ejecutado
    • Google Cloud – Ejecución – Secuencia de comandos o shell de URL maliciosa Process
    • Google Cloud – Persistence – Suspicious Behaviour
    • Google Cloud – Persistence – Anomalous Grant de IAM
    • Postura: guía de combinaciones tóxicas
    • Vista previa: guía de respuesta ante amenazas de Azure

  3. En la navegación de la página Playbooks, haga clic en Editar para seleccionar varios elementos.

  4. Junto a Siemplify Use Cases (Casos prácticos de Siemplify), haz clic en done_all Seleccionar todo para seleccionar todos los cuadernos de estrategias y bloques de la carpeta.

  5. En la navegación de la página Guías, haz clic en Lista > Menú > Eliminar. Aparecerá una ventana en la que tendrás que confirmar o cancelar la eliminación de los manuales seleccionados.

  6. Haz clic en Confirmar.

    Ahora puedes actualizar la versión de tu caso de uso.

Instalar el caso práctico de Security Command Center Enterprise

Para instalar la versión más reciente del caso práctico de SCC Enterprise, comprueba que todas las integraciones proporcionadas en el caso práctico estén actualizadas.

Instalar el caso práctico más reciente

Para instalar la versión más reciente del caso de uso SCC Enterprise – Cloud Orchestration and Remediation, sigue estos pasos:

  1. En el menú de navegación de la consola de operaciones de seguridad, ve a Marketplace > Casos prácticos.
  2. Para abrir el cuadro de diálogo Filtrar por categorías, haga clic en el icono de filtro .
  3. En el cuadro de diálogo Filtrar por categorías, escribe SCC Enterprise. El caso práctico aparece en la sección Casos prácticos.

  4. En la descripción del caso práctico SCC Enterprise – Orquestación en la nube y corrección, busca una fecha.

    • Si la fecha es anterior al 10 de julio del 2024 o no hay ninguna fecha en la descripción, elimina el caso práctico. El último caso práctico aparece automáticamente en lugar del caso práctico eliminado.

    • Si la fecha del caso práctico SCC Enterprise – Cloud Orchestration and Remediation (SCC Enterprise – Orquestación y corrección en la nube) es el 10 de julio del 2024 o una fecha posterior, comprueba que los cuadernos de estrategias del caso práctico más reciente estén instalados siguiendo estos pasos:

      1. Haz clic en el caso práctico para abrir el asistente de instalación.
      2. Despliega la categoría de guiones y anota los guiones nuevos o actualizados.
      3. En la página Respuesta > Playbooks de la consola de operaciones de seguridad, busca el playbook nuevo o actualizado. Si encuentras el manual nuevo o actualizado, significa que la instalación del caso práctico ya se ha completado.

  5. Para completar la instalación del caso práctico, haz clic en SCC Enterprise – Cloud Orchestration and Remediation (SCC Enterprise – Orquestación y corrección en la nube) y sigue las instrucciones del asistente de instalación.

Aplicar y validar las configuraciones del nuevo caso práctico

Debes validar que las distintas funciones incluidas en el caso práctico más reciente se hayan actualizado correctamente. Para usar algunas funciones, debes aplicar las actualizaciones de los nuevos casos prácticos manualmente.

Validar versiones de integración en el caso práctico

Las nuevas versiones de las integraciones incluidas en el caso práctico están disponibles cada semana. Actualiza las integraciones a sus versiones más recientes lo antes posible.

Las nuevas versiones de las integraciones incluyen actualizaciones como correcciones, nuevos widgets y acciones, cambios en los widgets y acciones actuales, mejoras en la gestión de alertas y mejoras en la lógica de procesamiento de detección y la asignación de flujos de trabajo.

Para aplicar las actualizaciones de las integraciones, sigue estos pasos:

  1. En el menú de navegación de la consola de operaciones de seguridad, ve a Marketplace > Integraciones.
  2. En el campo Tipo, selecciona Todas las integraciones.
  3. En el campo Estado, selecciona Actualización disponible. Se muestran todas las integraciones que requieren una actualización.
  4. Para actualizar una integración, haz clic en Actualizar a la versión VERSION en la tarjeta de integración.
  5. Si aparece el cuadro de diálogo Actualizando INTEGRATION, haz clic en Confirmar.
  6. Si aparece el cuadro de diálogo Confirmación, haz clic en Aprobar.
  7. En el cuadro de diálogo Confirm Overwrite Mapping (Confirmar sobrescritura de asignación), selecciona la siguiente opción: Install the new ontology configuration and override the existing one (Instalar la nueva configuración de ontología y sobrescribir la actual) y, a continuación, haz clic en Confirm (Confirmar).

Es necesario actualizar la integración de SCC Enterprise e instalar la nueva configuración de ontología en todas las integraciones actualizadas.

Configurar la integración de Cloud Storage

Para corregir los resultados de la LCA de un contenedor público, el caso práctico SCC Enterprise – Cloud Orchestration and Remediation incluye una integración adicional: la integración de Cloud Storage.

Para que los cuadernos de estrategias enriquezcan y corrijan el tipo de hallazgo PUBLIC BUCKET ACL, configure la integración de Cloud Storage siguiendo estos pasos:

  1. Configure los parámetros de integración.
  2. Habilita la corrección de segmentos públicos para los cuadernos de estrategias.
Configurar los parámetros de integración

Para configurar los parámetros de integración de Cloud Storage, sigue estos pasos:

  1. En el menú de navegación de la consola de operaciones de seguridad, ve a Marketplace > Integraciones.
  2. En el campo Buscar, introduce Storage. Aparecerá la tarjeta de integración de Cloud Storage.
  3. En la tarjeta de integración, haga clic en Configurar. Se abrirá el cuadro de diálogo de configuración.
  4. Configura los parámetros Correo de Workload Identity, ID de proyecto y ID de proyecto de cuota. Puede copiar los valores de los parámetros de cualquier otra integración, como la de Cloud Asset Inventory. Google Cloud
  5. Haz clic en Guardar.
  6. Haz clic en Probar para probar la configuración.
Habilitar la corrección de segmentos públicos en los cuadernos de estrategias

Para habilitar la corrección de segmentos públicos en los cuadernos de estrategias de las detecciones de postura, consulta Habilitar la corrección de segmentos públicos.

Actualizar los widgets de la vista de caso

  1. En la navegación de la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Datos de caso > Vistas.
  2. Selecciona Vista predeterminada de casos.
  3. Selecciona la pestaña Predefinida.

  4. Arrastra los widgets de la pestaña Predefinido a la Vista de caso predeterminada en el siguiente orden recomendado:

    1. Resumen del caso
    2. Ruta de ataque de combinaciones tóxicas
    3. Resultados
    4. Investigación de IA o resumen de Gemini
    5. Resumen de los resultados
    6. SCC – Estado del resultado
    7. Recursos afectados
    8. Información sobre las entradas
    9. Acciones pendientes
    10. Gráfico de entidades
    11. Aspectos destacados de las entidades

  5. Haz clic en Guardar vista.

Validar widgets

Para asegurarte de que obtienes la información correcta, comprueba que los siguientes widgets contienen la condición correcta:

  • Ruta de ataque de combinaciones tóxicas
  • Búsqueda
  • Gráfico de entidades
  • Investigación con IA/Resumen de Gemini
  • Resumen de las conclusiones
  • Recursos afectados
  • SCC – Finding State
  • Recursos afectados
  • Recursos de AWS afectados

Para validar los widgets, sigue estos pasos:

  1. En el menú de navegación de la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Datos de caso > Vistas.

  2. Selecciona Vista predeterminada de casos.

  3. En los widgets Ruta de ataque de combinaciones tóxicas y Detección, haz clic en Configuración Configuración.

    En Configuración avanzada, en la sección Condiciones, la condición debe ser la siguiente: [Case.Tags] () Toxic Combination. Si no es así, actualiza la condición y haz clic en Guardar.

  4. En los widgets Gráfico de entidades e Investigación con IA/Resumen de Gemini, haz clic en Configuración Configuración.

    En Ajustes avanzados, en la sección Condiciones, la condición debe ser la siguiente: [Case.Tags] !() Toxic Combination. Si no es así, actualiza la condición y haz clic en Guardar.

  5. En el widget Resumen de hallazgos, haz clic en Configuración.

    En Configuración avanzada, en la sección Condiciones, las condiciones deben ser las siguientes:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    Si no es así, actualiza las condiciones y haz clic en Guardar.

  6. En el widget Recursos afectados, haga clic en Configuración de ajustes.

    En Ajustes avanzados, en la sección Condiciones, la condición debe ser la siguiente: [Case.Tags] () Toxic Combination. Si no es así, actualiza la condición y haz clic en Guardar.

  7. En el widget SCC – Estado de la búsqueda, haz clic en Eliminar. Cuando se abra el cuadro de diálogo de confirmación, haz clic en .

    Para instalar el widget SCC – Finding State configurado para la versión más reciente del caso práctico, arrastra el widget SCC – Finding State de la pestaña Predefinido a la Vista predeterminada del caso.

  8. En el widget Recursos afectados, haga clic en Eliminar. Cuando se abra el cuadro de diálogo de confirmación, haz clic en .

    Para instalar el widget Recursos afectados configurado para la versión más reciente del caso de uso, arrastre el widget Recursos afectados de la pestaña Predefinido a la Vista predeterminada del caso.

  9. En el widget Recursos de AWS afectados, haga clic en Eliminar. Cuando se abra el cuadro de diálogo de confirmación, haz clic en .

  10. Haz clic en Guardar vista.

Habilitar guías

Para habilitar los cuadernos de estrategias para procesar vulnerabilidades y errores de configuración, sigue estos pasos:

  1. En el menú de navegación de la consola de operaciones de seguridad, ve a Respuesta > Playbooks.

  2. Selecciona la carpeta Siemplify Use Cases.

    Si no has integrado ningún sistema de venta de entradas, asegúrate de que la opción Postura – Genérico esté habilitada. Habilitar el cuaderno de estrategias Posture Findings – Generic – VM Manager (Resultados de postura – Genérico – VM Manager) es opcional.

    Si has integrado sistemas de venta de entradas, sigue estos pasos:

    1. Selecciona el manual de respuestas Resultados de postura (genérico).
    2. Desactiva el interruptor.
    3. Haz clic en Guardar.
    4. Selecciona el playbook Posture Findings – Generic – VM Manager (Resultados de postura – Genérico – Gestor de VMs).
    5. Desactiva el interruptor.
    6. Haz clic en Guardar.
    7. Si has integrado Jira, selecciona el cuaderno de estrategias Resultados de postura con Jira.
      1. Activa el interruptor para habilitar el manual de estrategias.
      2. Haz clic en Guardar.
    8. Si has integrado ServiceNow, selecciona el playbook Posture Findings with SNOW (Resultados de postura con ServiceNow).
      1. Activa el interruptor para habilitar el manual de estrategias.
      2. Haz clic en Guardar.

Actualizar conectores

Al actualizar el caso práctico, no se actualizan automáticamente los conectores. Para asegurarte de que la ingesta de datos funciona correctamente después de actualizar el caso práctico, actualiza los conectores SCC Enterprise – Urgent Posture Findings Connector y Google Chronicle – Chronicle Alerts Connector.

Para actualizar el conector SCC Enterprise – Urgent Posture Findings Connector, sigue estos pasos:

  1. En la navegación de la consola de Operaciones de seguridad, ve a Configuración > Configuración de SOAR > Ingesta > Conectores.
  2. En SCC Enterprise, selecciona SCC Enterprise – Urgent Posture Findings Connector (SCC Enterprise: conector de resultados de postura urgentes). Se abrirá la página de configuración de los parámetros del conector.
  3. Haz clic en Caché Actualizar.
  4. Define el parámetro Ejecutar cada en 1 minuto.
  5. Activa el interruptor para habilitar el conector.
  6. Haz clic en Guardar.

Para actualizar el conector Google Chronicle – Chronicle Alerts Connector, sigue estos pasos:

  1. En la navegación de la consola de Operaciones de seguridad, ve a Configuración > Configuración de SOAR > Ingesta > Conectores.
  2. En GoogleChronicle, selecciona Google Chronicle – Chronicle Alerts Connector. Se abrirá la página de configuración de los parámetros del conector.
  3. Haz clic en Caché Actualizar.
  4. Define el parámetro Ejecutar cada en 1 minuto.
  5. En el campo de parámetros Nombre de campo de producto, introduzca SCCE.
  6. Activa el interruptor para habilitar el conector.
  7. Haz clic en Guardar.

Verificar la configuración de la actualización

Para asegurarte de que todos los componentes del caso práctico se actualizan correctamente, prueba el conector y el trabajo.

Probar el conector

  1. En el panel de navegación de la consola Security Operations, ve a Configuración > Configuración de SOAR > Ingesta > Conectores.
  2. En SCCEnterprise, selecciona SCC Enterprise – Urgent Posture Findings Connector (SCC Enterprise – Conector de resultados de postura urgentes).
  3. Vaya a la pestaña Pruebas.
  4. Haz clic en Ejecutar conector una vez. Si la configuración del conector es correcta, aparecerá la marca de verificación.

Probar el trabajo

  1. En el menú de navegación de la consola de operaciones de seguridad, ve a Respuesta > Programador de trabajos.
  2. En GoogleSecurityCommandCenter, selecciona Sync SCC Data (Sincronizar datos de SCC).
  3. Haz clic en Ejecutar ahora. Si el trabajo funciona correctamente, su estado será Success.

Solución de problemas

  • El trabajo Sincronizar datos de SCC muestra el siguiente error:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Espera diez minutos y haz clic en Ejecutar ahora. Si el error persiste, sigue estos pasos:

    1. En la sección Parámetros del trabajo, elimina el valor del parámetro ID de organización.
    2. Introduzca el valor del parámetro ID de organización.
    3. Haz clic en Guardar.
    4. Haz clic en Ejecutar ahora.

  • El trabajo Sincronizar datos de SCC muestra un error de autenticación cuando no se ha podido actualizar automáticamente durante la actualización del caso práctico. Para solucionar el problema de sincronización, introduzca manualmente los valores de los parámetros Project ID (ID de proyecto) y Quota Project ID (ID de proyecto de cuota).

    Para especificar los valores de parámetro correctos, siga estos pasos:

    1. Ve a Configuración > Configuración de SOAR > Ingesta > Conectores.
    2. En SCCEnterprise, selecciona SCC Enterprise – Urgent Posture Findings Connector (SCC Enterprise – Conector de resultados de postura urgentes).
    3. En la sección Parámetros, copie el valor del parámetro ID de proyecto de cuota.
    4. Ve a Respuesta > Programador de tareas.
    5. En SCCEnterprise, selecciona Sincronizar datos de SCC.
    6. En la sección Parámetros del trabajo Sincronizar datos de SCC, introduce el valor copiado en los campos ID de proyecto y ID de proyecto de cuota.
    7. Haz clic en Guardar.

  • Después de la actualización del caso práctico, los nuevos cuadernos de estrategias no se aplican a las alertas que ya existen.

    Para aplicar las nuevas guías a las alertas actuales y volver a renderizar el widget Alerta, cierra un caso y espera hasta que el conector vuelva a ingerir alertas con las nuevas guías adjuntas.