Atualizar o caso de uso empresarial

A atualização de 4 de setembro de 2024 do caso de uso SCC Enterprise: orquestração e remediação em nuvem está disponível. Atualize o caso de uso assim que possível.

Este caso de uso oferece atualizações aos recursos de operações de segurança do nível Enterprise do Security Command Center. Para aplicar as atualizações, siga os procedimentos nesta página.

O procedimento de atualização inclui estas etapas gerais:

  1. Prepare o sistema para a atualização desativando um conector e excluindo alguns playbooks.
  2. Instale a versão mais recente do caso de uso SCC Enterprise: orquestração e remediação do Cloud.
  3. Valide a instalação e execute os playbooks atualizados.

Verifique se você tem os papéis necessários

Para concluir este procedimento, é necessário ter uma das seguintes funções do SOC no console de operações de segurança:

  • Administrador
  • Gerenciador de vulnerabilidades
  • Gerenciador de ameaças

Para mais detalhes sobre as funções do SOC no console de operações de segurança e as permissões necessárias para os usuários, consulte Controlar o acesso a recursos no console de operações de segurança.

Preparar o sistema para a atualização

Antes de atualizar o caso de uso, é preciso desativar o SCC Enterprise: conector de descobertas de posturas urgentes e excluir os playbooks fornecidos pela versão do caso de uso atual.

Desativar o conector

Para evitar alertas sem playbooks anexados, desative a Conector do SCC Enterprise: conector de descobertas de posturas urgentes antes de excluir playbooks. O Security Command Center processa as descobertas coletadas enquanto o conector está desativado quando você atualiza e ativa o conector.

Para desativar o conector, siga estas etapas:

  1. No console de Operações de Segurança, acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise – Urgent Posture Findings Connector.
  3. Alterne o botão para desativar o conector.
  4. Clique em Salvar.

Excluir playbooks

Para evitar a duplicação do playbook, exclua os playbooks padrão que você usa na versão atual do seu caso de uso. Excluir playbooks antes de atualizar o caso de uso não afeta o gerenciamento de casos.

Para excluir playbooks padrão, conclua as etapas a seguir:

  1. No console de Operações de Segurança, acesse Resposta > Playbooks. O filtro suspenso é definido como Mostrar tudo por padrão.

  2. Selecione a pasta Siemplify Use Cases. Essa pasta contém o seguinte playbooks padrão:

    • AWS Threat Response Playbook (link em inglês)
    • Playbook de resposta a ameaças do GCP
    • Resposta do recomendador do IAM
    • Resultados da postura: genérico
    • Descobertas de postura – Genérica – VM Manager
    • Encontre a postura com o Jira
    • Descobertas de postura com o ServiceNow
    • Google Cloud: execução – mineração de criptomoedas
    • Google Cloud: execução: binário ou biblioteca carregada executada
    • Google Cloud: execução: script de URL ou processo de shell malicioso
    • Google Cloud: persistência – comportamento suspeito
    • Google Cloud: persistência – concessão anormal do IAM
    • Postura – Manual de combinação tóxica
    • Pré-lançamento: Playbook de resposta a ameaças do Azure

  3. Na navegação da página Playbooks, clique em Editar para selecionar vários itens.

  4. Ao lado de Siemplify Use Cases, clique em done_all Selecionar tudo para selecionar todos os playbooks e blocos da pasta.

  5. Na navegação da página Playbooks, clique no menu list > Excluir. Uma janela vai aparecer para que você confirme ou cancele a exclusão dos playbooks selecionados.

  6. Clique em Confirmar.

    Agora é possível atualizar a versão do caso de uso.

Instalar o caso de uso do Security Command Center Enterprise

Para instalar a versão mais recente do caso de uso do SCC Enterprise para a versão mais recente e verifique se todas as integrações fornecidas no caso de uso estão ativadas até o momento.

Instalar o caso de uso mais recente

Para instalar a versão mais recente do SCC Enterprise – Cloud Orquestração e correção, siga estas etapas:

  1. No console do Security Operations, acesse Marketplace > Casos de uso.
  2. Abra a caixa de diálogo Filtrar por categorias clicando no ícone de filtro.
  3. Na caixa de diálogo Filtrar por categorias, digite SCC Enterprise. O caso de uso aparece na seção Casos de uso.

  4. Na descrição do caso de uso SCC Enterprise: orquestração e remediação de nuvem, verifique se há uma data.

    • Se a data for anterior a 10 de julho de 2024 ou não houver uma data na descrição, exclua o caso de uso. O caso de uso mais recente aparece automaticamente no lugar do caso de uso excluído.

    • Se a data no caso de uso SCC Enterprise – Cloud Orchestration and Remediation for 10 de julho de 2024 ou mais recente, confirme se os playbooks no caso de uso mais recente estão instalados seguindo estas etapas:

      1. Clique no caso de uso para abrir o assistente de instalação.
      2. Expanda a categoria "playbooks" e anote todas as atualizações playbooks.
      3. Na página Resposta > página de playbooks no console de Operações de segurança, procure pelo playbook novo ou atualizado. Se você encontrar a versão nova atualizado, a instalação do caso de uso já estará concluída.

  5. Para concluir a instalação do caso de uso, clique no botão SCC Enterprise – caso de uso de orquestração e correção do Cloud e siga as no assistente de instalação.

Aplique e valide as configurações do novo caso de uso

Você precisa validar se os diversos recursos incluídos no caso de uso mais recente sejam atualizados corretamente. Para determinados recursos, você precisa aplicar as atualizações do novo caso de uso manualmente.

Validar as versões de integração no caso de uso

As novas versões das integrações incluídas no caso de uso estão disponíveis toda semana. Atualize as integrações para as versões mais recentes assim que possível.

As novas versões de integrações apresentam atualizações, incluindo, mas não se limitando a, correções de problemas, novos widgets e ações, alterações em widgets e ações existentes, aprimoramentos no tratamento de alertas e melhorias na lógica do processamento de detecção e mapeamento de fluxo de trabalho.

Para aplicar as atualizações para integrações, siga estas etapas:

  1. No console de operações de segurança, acesse Marketplace > Integrações.
  2. No campo Type, selecione All Integrations.
  3. No campo Status, selecione Upgrade disponível. Todas as integrações que exigem um upgrade são mostradas.
  4. Para fazer upgrade de uma integração, clique em Fazer upgrade para a versão VERSION no card de integração.
  5. Se a caixa de diálogo Atualização de INTEGRATION aparecer, clique em Confirmar.
  6. Se a caixa de diálogo Confirmação aparecer, clique em Aprovar.
  7. Na caixa de diálogo Confirmar mapeamento de substituição, selecione a seguinte opção: Instalar a nova configuração da ontologia e substituir a atual. e clique em Confirmar.

Como fazer upgrade da integração do SCC Enterprise e instalar a nova ontologia configuração para todas as integrações atualizadas.

Configurar a integração do Cloud Storage

Para remediar as descobertas da ACL do bucket público, a atualização de 4 de setembro de 2024 do caso de uso SCC Enterprise – Cloud Orchestrator and Remediation introduziu uma integração adicional, a integração com o Cloud Storage.

Para permitir que os playbooks aperfeiçoem e corrijam o tipo de descoberta PUBLIC BUCKET ACL, configure a integração do Cloud Storage realizando as etapas:

  1. Configure os parâmetros de integração.
  2. Ative a correção de buckets públicos para playbooks.
Configurar os parâmetros de integração

Para configurar os parâmetros de integração do Cloud Storage, siga estas etapas:

  1. No console de operações de segurança, acesse Marketplace > Integrações.
  2. No campo Pesquisar, digite Storage. O card de integração do Cloud Storage é exibido.
  3. No card de integração, clique em Configurar. A caixa de diálogo de configuração é aberta.
  4. Configure os parâmetros E-mail da Identidade da carga de trabalho, ID do projeto e ID do projeto de cota. É possível copiar os valores de parâmetro de qualquer outra integração do Google Cloud, como a do Inventário de recursos do Cloud.
  5. Clique em Salvar.
  6. Clique em Testar para testar a configuração.
Ativar a correção de buckets públicos para playbooks

Para ativar a remediação de bucket público para os playbooks de resultados de postura, consulte Ativar a remediação de bucket público.

Atualizar widgets da visualização de caso

  1. No console de Operações de Segurança, acesse Configurações > SOAR Configurações > Dados do caso > Visualizações.
  2. Selecione Visualização de caso padrão.
  3. Selecione a guia Predefinida.

  4. Arraste os widgets da guia Predefinida para a Visualização de caso padrão. na seguinte ordem recomendada:

    1. Resumo do caso
    2. Caminho do ataque de combinação tóxica
    3. Descobertas
    4. Resumo da investigação de IA/Gemini
    5. Resumo dos resultados
    6. SCC: estado de descoberta
    7. Recursos afetados
    8. Informações sobre o ingresso
    9. Ações pendentes
    10. Gráfico de entidades
    11. Destaques das entidades

  5. Clique em Salvar visualização.

Validar widgets

Para garantir que você receba as informações corretas, valide se os seguintes widgets contêm a condição correta:

  • Caminho de ataque de combinação tóxica
  • Descoberta
  • Gráfico de entidades
  • Resumo da investigação de IA/Gemini
  • Resumo dos resultados
  • SCC: estado da descoberta
  • Recursos afetados
  • Recursos da AWS afetados

Para validar os widgets, siga estas etapas:

  1. No console de operações de segurança, acesse Configurações > Configurações do SOAR > Dados do caso > Visualizações.

  2. Selecione Visualização de caso padrão.

  3. Para os widgets Caminho do ataque de combinação tóxica e Encontrar, clique em configurações Configuração.

    Em Configurações avançadas, na seção Condições, a condição deve ser a seguinte: [Case.Tags] () Toxic Combination. Caso contrário, atualize a condição e, em seguida, clique em Salvar.

  4. Para os widgets Entities Graph e AI Investigation/Gemini Summary, clique em settings Configuração.

    Em Configurações avançadas, na seção Condições, a condição precisa ser a seguinte: [Case.Tags] !() Toxic Combination. Caso contrário, atualize a condição e clique em Salvar.

  5. No widget Resumo de descobertas, clique em settingsConfiguration.

    Em Configurações avançadas, na seção Condições, o deve ser o seguinte:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    Caso contrário, atualize as condições e clique em Salvar.

  6. No widget SCC – Finding State, clique em Excluir. Quando a caixa de diálogo de confirmação for aberta, clique em Sim.

    Para instalar o widget SCC – Finding State configurado para a versão mais recente do caso de uso atual, arraste o widget SCC – Estado de descoberta do Predefinido na Visualização de caso padrão.

  7. No widget Recursos afetados, clique em Excluir. Quando a caixa de diálogo de confirmação for aberta, clique em Sim.

    Para instalar o widget Recursos afetados configurado para a versão mais recente do caso de uso atual, arraste o widget Recursos afetados na Predefinido na Visualização de caso padrão.

  8. Para o widget Impacted AWS Assets, clique em Delete. Quando o clique em Sim.

  9. Clique em Salvar visualização.

Ativar playbooks

Para ativar playbooks para processar vulnerabilidades e configurações incorretas, siga estas etapas:

  1. No console de Operações de Segurança, acesse Resposta > Playbooks.

  2. Selecione a pasta Siemplify Use Cases.

    Se você não integrou com sistemas de emissão de passagens, verifique se a Posture Findings – Generic está ativada. Ativando a postura de descobertas – Genérico – VM Manager é opcional.

    Se você integrou com sistemas de emissão de passagens, siga estas etapas:

    1. Selecione o playbook Posture Findings – Generic.
    2. Desative a chave.
    3. Clique em Salvar.
    4. Selecione Descobertas de postura – Genérica – VM Manager playbook.
    5. Alterne o botão para desativá-la.
    6. Clique em Salvar.
    7. Se você integrou com o Jira, selecione o playbook Posture Findings With Jira.
      1. Ative o playbook.
      2. Clique em Salvar.
    8. Se você fez a integração com o ServiceNow, selecione a opção Descobertas de postura com ServiceNow (em inglês).
      1. Alterne o botão para ativar o playbook.
      2. Clique em Salvar.

Atualizar conectores

Atualizar o caso de uso não atualiza os conectores atuais automaticamente. Para garantir que a ingestão de dados funcione conforme o esperado após a atualização do caso de uso, atualize o Conector de Descobertas de posturas urgentes do SCC Enterprise e Conectores do Google Chronicle: conector de alertas do Chronicle.

Para atualizar o conector SCC Enterprise – Descobertas de posturas urgentes do conector, siga estas etapas:

  1. No console de operações de segurança, acesse Configurações > Configurações do SOAR > Aquisição > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise: conector de descobertas de posturas urgentes. O conector de parâmetros de configuração é aberta.
  3. Clique em Atualizar em cache.
  4. Defina o parâmetro Executar a cada como 1 minuto.
  5. Alterne o botão para ativar o conector.
  6. Clique em Salvar.

Para atualizar o conector Google Chronicle – Chronicle Alerts Connector, siga estas etapas:

  1. No console de Operações de Segurança, acesse Configurações > SOAR Configurações > Processamento > Conectores.
  2. Em GoogleChronicle, selecione Google Chronicle - Chronicle Alerts. Conector. A página de configuração dos parâmetros do conector é aberta.
  3. Clique em Atualizar em cache.
  4. Defina o parâmetro Executar a cada como 1 minuto.
  5. No campo de parâmetro Nome do campo do produto, insira SCCE.
  6. Ative o conector.
  7. Clique em Salvar.

Verificar a configuração da atualização

Para garantir que todos os componentes do caso de uso sejam atualizados, teste o conector e job.

Testar o conector

  1. No console de Operações de Segurança, vá para Configurações > Configurações do SOAR > Processamento > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise – Urgente Conector de descobertas de postura.
  3. Acesse a guia Testes.
  4. Clique em Executar conector uma vez. Se a configuração do conector estiver correta, a marca de seleção aparecerá.

Testar o job

  1. No console de Operações de Segurança, acesse Resposta > Programador de jobs.
  2. Em GoogleSecurityCommandCenter, selecione Sincronizar dados do SCC.
  3. Clique em Executar agora. Se o job funcionar como esperado, o status dele será Success.

Solução de problemas

  • O job Sincronizar dados do SCC exibe o seguinte erro:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Aguarde dez minutos e clique em Executar agora. Se o erro persistir, siga estas etapas:

    1. Na seção Parâmetros do job, exclua o valor do parâmetro ID da organização.
    2. Insira o valor do parâmetro ID da organização.
    3. Clique em Salvar.
    4. Clique em Executar agora.

  • O job Sincronizar dados do SCC mostra um erro de autenticação quando serão atualizadas automaticamente durante a atualização do caso de uso. Para corrigir o problema do job de sincronização, insira manualmente os valores dos parâmetros ID do projeto e ID do projeto de cota.

    Para especificar os valores de parâmetro corretos, siga estas etapas:

    1. Acesse Configurações > Configurações do SOAR > Aquisição > Conectores.
    2. Em SCCEnterprise, selecione SCC Enterprise – Urgent Posture Findings Connector.
    3. Na seção Parâmetros, copie o valor do parâmetro ID do projeto de cota.
    4. Acesse Resposta > Programador de jobs.
    5. Em SCCEnterprise, selecione Sincronizar dados do SCC.
    6. Na seção Parâmetros do job Sincronizar dados do SCC, insira o valor copiado nos campos ID do projeto e ID do projeto de cota.
    7. Clique em Salvar.

  • Após a atualização do caso de uso, os novos playbooks não são aplicados aos alertas atuais.

    Para aplicar os novos playbooks aos alertas existentes e renderizar o widget Alert novamente, feche um caso e aguarde até que o conector ingira os alertas com os novos playbooks anexados.