Anwendungsfall für Unternehmen aktualisieren

Das Update vom 18. Dezember 2024 für den Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation ist jetzt verfügbar. Bitte aktualisieren Sie den Anwendungsfall so bald wie möglich.

In diesem Anwendungsfall werden die Funktionen für die Sicherheitsvorkehrungen der Enterprise-Stufe von Security Command Center aktualisiert. Folgen Sie der Anleitung auf dieser Seite, um die Updates anzuwenden.

Das Update umfasst die folgenden allgemeinen Schritte:

  1. Bereiten Sie das System auf die Aktualisierung vor, indem Sie einen Connector deaktivieren und bestimmte vorhandene Playbooks löschen.
  2. Installieren Sie die neueste Version des SCC Enterprise – Cloud Orchestration and Remediation-Verwendungsfalls.
  3. Prüfen Sie die Installation und führen Sie die aktualisierten Playbooks aus.

Prüfen, ob Sie die erforderlichen Rollen haben

Für diese Aktion müssen Sie eine der folgenden SOC-Rollen in der Security Operations Console haben:

  • Administrator
  • Vulnerability Manager
  • Threat Manager

Weitere Informationen zu SOC-Rollen in der Security Operations Console und zu den für Nutzer erforderlichen Berechtigungen finden Sie unter Zugriff auf Funktionen in der Security Operations Console steuern.

System auf das Update vorbereiten

Bevor Sie den Anwendungsfall aktualisieren, müssen Sie den SCC Enterprise – Urgent Posture Findings Connector deaktivieren und die Playbooks löschen, die mit der aktuellen Anwendungsfallversion bereitgestellt wurden.

Connector deaktivieren

Damit keine Benachrichtigungen ohne zugewiesene Playbooks vorhanden sind, deaktivieren Sie den SCC Enterprise – Urgent Posture Findings Connector, bevor Sie Playbooks löschen. Wenn Sie den Connector aktualisieren und aktivieren, werden Ergebnisse, die erfasst wurden, während der Connector deaktiviert war, in Security Command Center aufgenommen.

So deaktivieren Sie den Connector:

  1. Klicken Sie in der Security Operations Console auf Einstellungen > SOAR-Einstellungen > Datenaufnahme > Verbindungen.
  2. Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Urgent Posture Findings Connector aus.
  3. Stellen Sie den Schalter auf „Aus“, um den Anschluss zu deaktivieren.
  4. Klicken Sie auf Speichern.

Playbooks löschen

Löschen Sie Standard-Playbooks, die Sie in der aktuellen Version Ihres Anwendungsfalls verwenden, um Duplikate zu vermeiden. Wenn Sie Playbooks vor dem Upgrade des Anwendungsfalls löschen, hat das keine Auswirkungen auf die Fallverwaltung.

So löschen Sie Standard-Playbooks:

  1. Klicken Sie in der Security Operations Console auf Response > Playbooks. Der Drop-down-Filter ist standardmäßig auf Alle anzeigen festgelegt.

  2. Wählen Sie den Ordner Siemplify Use Cases aus. Dieser Ordner enthält die folgenden Standard-Playbooks:

    • AWS-Playbook für die Reaktion auf Bedrohungen
    • GCP Threat Response Playbook
    • IAM Recommender-Antwort
    • Ergebnisse zur Körperhaltung – allgemein
    • Ergebnisse zur Sicherheit – allgemein – VM Manager
    • Sicherheitsstatusergebnisse mit Jira
    • Ergebnisse zur Sicherheitsposition mit ServiceNow
    • Google Cloud – Ausführung – Kryptomining
    • Google Cloud – Ausführung – Binärdatei oder Bibliothek geladen und ausgeführt
    • Google Cloud – Ausführung – Schadhaftes URL-Script oder Shell-Prozess
    • Google Cloud – Persistence – Suspicious Behaviour
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Posture – Playbook für schädliche Kombinationen
    • Vorabversion – Azure Threat Response Playbook

  3. Klicken Sie auf der Seite Playbooks auf Bearbeiten, um mehrere Elemente auszuwählen.

  4. Klicken Sie neben Use Cases vereinfachen auf done_all „Alle auswählen“, um alle Playbooks und Blöcke im Ordner auszuwählen.

  5. Klicken Sie auf der Seite Playbooks auf das Listen-Menü > Löschen. In einem Fenster müssen Sie das Löschen der ausgewählten Playbooks bestätigen oder abbrechen.

  6. Klicken Sie auf Bestätigen.

    Jetzt können Sie die Version Ihres Anwendungsfalls aktualisieren.

Anwendungsfall für Security Command Center Enterprise installieren

Installieren Sie die neueste Version des SCC Enterprise-Anwendungsfalls und prüfen Sie, ob alle im Anwendungsfall bereitgestellten Integrationen auf dem neuesten Stand sind.

Neuesten Anwendungsfall installieren

So installieren Sie die neueste Version des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation:

  1. Gehen Sie in der Security Operations Console zu Marketplace > Use Cases.
  2. Klicken Sie auf das Filtersymbol , um das Dialogfeld Nach Kategorien filtern zu öffnen.
  3. Geben Sie im Dialogfeld Nach Kategorien filtern SCC Enterprise ein. Der Anwendungsfall wird im Abschnitt Anwendungsfälle angezeigt.

  4. Suchen Sie in der Beschreibung des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation nach einem Datum.

    • Wenn das Datum vor dem 10. Juli 2024 liegt oder in der Beschreibung kein Datum angegeben ist, löschen Sie den Anwendungsfall. Der neueste Anwendungsfall wird automatisch anstelle des gelöschten Anwendungsfalls angezeigt.

    • Wenn das Datum im Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation der 10. Juli 2024 oder später ist, prüfen Sie, ob die Playbooks im neuesten Anwendungsfall installiert sind. Führen Sie dazu die folgenden Schritte aus:

      1. Klicken Sie auf den Anwendungsfall, um den Installationsassistenten zu öffnen.
      2. Maximieren Sie die Kategorie „Playbooks“ und sehen Sie sich alle neuen oder aktualisierten Playbooks an.
      3. Suchen Sie in der Security Operations Console auf der Seite Response > Playbooks nach dem neuen oder aktualisierten Playbook. Wenn Sie das neue oder aktualisierte Playbook finden, ist die Installation des Use-Cases bereits abgeschlossen.

  5. Klicken Sie zum Abschließen der Installation des Anwendungsfalls auf den Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation (SCC Enterprise – Cloud Orchestration and Remediation) und folgen Sie der Anleitung im Installationsassistenten.

Konfigurationen aus dem neuen Anwendungsfall anwenden und validieren

Sie müssen prüfen, ob die verschiedenen Funktionen, die im neuesten Anwendungsfall enthalten sind, richtig aktualisiert wurden. Bei bestimmten Funktionen müssen Sie die Änderungen aus dem neuen Anwendungsfall manuell anwenden.

Integrationsversionen im Anwendungsfall validieren

Die neuen Versionen der im Anwendungsfall enthaltenen Integrationen sind jede Woche verfügbar. Aktualisieren Sie die Integrationen so bald wie möglich auf die neuesten Versionen.

Die neuen Versionen der Integrationen umfassen unter anderem Fehlerkorrekturen, neue Widgets und Aktionen, Änderungen an vorhandenen Widgets und Aktionen, Verbesserungen bei der Benachrichtigungsverwaltung sowie Verbesserungen bei der Verarbeitungslogik der Erkennung und der Workflowzuordnung.

So wenden Sie die Updates für Integrationen an:

  1. Gehen Sie in der Security Operations Console zu Marketplace > Integrationen.
  2. Wählen Sie im Feld Typ die Option Alle Integrationen aus.
  3. Wählen Sie im Feld Status die Option Verfügbares Upgrade aus. Alle Integrationen, für die ein Upgrade erforderlich ist, werden angezeigt.
  4. Wenn Sie eine Integration aktualisieren möchten, klicken Sie auf der Integrationskarte auf Auf Version VERSION aktualisieren.
  5. Wenn das Dialogfeld INTEGRATION wird aktualisiert angezeigt wird, klicken Sie auf Bestätigen.
  6. Klicken Sie im Dialogfeld Bestätigung auf Genehmigen.
  7. Wählen Sie im Dialogfeld Überschreibung der Zuordnung bestätigen die Option Neue Ontologiekonfiguration installieren und vorhandene überschreiben aus und klicken Sie dann auf Bestätigen.

Sie müssen die SCC Enterprise-Integration aktualisieren und die neue Ontologiekonfiguration für alle aktualisierten Integrationen installieren.

Cloud Storage-Integration konfigurieren

Zur Behebung der ACL-Probleme für öffentliche Bucket enthält der Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation eine zusätzliche Integration, die Cloud Storage-Integration.

Damit die Playbooks den PUBLIC BUCKET ACL-Ergebnisbereich ergänzen und beheben können, müssen Sie die Cloud Storage-Einbindung konfigurieren. Gehen Sie dazu so vor:

  1. Konfigurieren Sie die Integrationsparameter.
  2. Aktivieren Sie die Behebung für öffentliche Buckets für Playbooks.
Integrationsparameter konfigurieren

So konfigurieren Sie die Parameter für die Cloud Storage-Integration:

  1. Gehen Sie in der Security Operations Console zu Marketplace > Integrationen.
  2. Geben Sie im Feld Suchen Storage ein. Die Karte „Cloud Storage-Integration“ wird angezeigt.
  3. Klicken Sie auf der Integrationskarte auf Konfigurieren. Das Konfigurationsdialogfeld wird geöffnet.
  4. Konfigurieren Sie die Parameter Workload Identity-E-Mail-Adresse, Projekt-ID und Kontingentprojekt-ID. Sie können die Parameterwerte aus jeder anderen Google Cloud -Integration kopieren, z. B. aus der Cloud Asset Inventory-Integration.
  5. Klicken Sie auf Speichern.
  6. Klicken Sie auf Testen, um die Konfiguration zu testen.
Öffentliche Bucket-Korrektur für Playbooks aktivieren

Informationen zum Aktivieren der öffentlichen Bucket-Behebung für die Playbooks mit Statusinformationen finden Sie unter Öffentliche Bucket-Behebung aktivieren.

Widgets in der Fallansicht aktualisieren

  1. Klicken Sie in der Security Operations Console auf Einstellungen > SOAR-Einstellungen > Falldaten > Ansichten.
  2. Wählen Sie Standardansicht für Anfragen aus.
  3. Wählen Sie den Tab Vordefiniert aus.

  4. Ziehen Sie die Widgets vom Tab Vordefiniert in die Standardansicht für Anfragen in der folgenden empfohlenen Reihenfolge:

    1. Zusammenfassung der Anfrage
    2. Angriffspfad zu schädlichen Kombinationen
    3. Ergebnisse
    4. KI-Untersuchung/Gemini-Zusammenfassung
    5. Ergebniszusammenfassung
    6. SCC – Ergebnisstatus
    7. Betroffene Assets
    8. Ticketinformationen
    9. Ausstehende Aktionen
    10. Entitätendiagramm
    11. Wichtige Felder der Entitäten

  5. Klicken Sie auf Ansicht speichern.

Widgets validieren

Damit Sie die richtigen Informationen erhalten, prüfen Sie, ob die folgenden Widgets die richtige Bedingung enthalten:

  • Angriffspfad zu schädlichen Kombinationen
  • Ergebnisse
  • Entitätendiagramm
  • KI-Untersuchung/Gemini-Zusammenfassung
  • Ergebniszusammenfassung
  • Betroffene Ressourcen
  • SCC – Status der Prüfung
  • Betroffene Assets
  • Betroffene AWS-Assets

So validierst du die Widgets:

  1. Klicken Sie in der Security Operations Console auf Einstellungen > SOAR-Einstellungen > Falldaten > Ansichten.

  2. Wählen Sie Standardansicht für Anfragen aus.

  3. Klicken Sie sowohl für das Widget Angriffspfad zu schädlichen Kombinationen als auch für das Widget Ergebnis auf Einstellungen Konfiguration.

    Unter Erweiterte Einstellungen im Abschnitt Bedingungen sollte die Bedingung so lauten: [Case.Tags] () Toxic Combination. Ist dies nicht der Fall, aktualisieren Sie die Bedingung und klicken Sie dann auf Speichern.

  4. Klicken Sie sowohl für das Widget Entitätsgraph als auch für das Widget KI-Untersuchung/Gemini-Zusammenfassung auf Einstellungen Konfiguration.

    Unter Erweiterte Einstellungen im Abschnitt Bedingungen sollte die Bedingung so lauten: [Case.Tags] !() Toxic Combination. Ist dies nicht der Fall, aktualisieren Sie die Bedingung und klicken Sie dann auf Speichern.

  5. Klicken Sie für das Widget Suchergebnisse – Zusammenfassung auf EinstellungenKonfiguration.

    Unter Erweiterte Einstellungen im Abschnitt Bedingungen sollten die folgenden Bedingungen gelten:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    Ist dies nicht der Fall, aktualisieren Sie die Bedingungen und klicken Sie dann auf Speichern.

  6. Klicken Sie für das Widget Betroffene Ressourcen auf Einstellungen „Konfiguration“.

    Unter Erweiterte Einstellungen im Abschnitt Bedingungen sollte die Bedingung so lauten: [Case.Tags] () Toxic Combination. Ist dies nicht der Fall, aktualisieren Sie die Bedingung und klicken Sie dann auf Speichern.

  7. Klicken Sie beim Widget SCC – Finding State auf Löschen. Klicken Sie im Bestätigungsdialogfeld auf Ja.

    Wenn Sie das für die neueste Version des Anwendungsfalls konfigurierte Widget SCC – Finding State installieren möchten, ziehen Sie es vom Tab Vordefiniert in die Standardansicht für den Fall.

  8. Klicken Sie beim Widget Betroffene Assets auf Löschen. Klicken Sie im Bestätigungsdialogfeld auf Ja.

    Wenn Sie das für die neueste Version des Anwendungsfalls konfigurierte Widget Betroffene Assets installieren möchten, ziehen Sie es vom Tab Vordefiniert in die Standardansicht für den Fall.

  9. Klicken Sie für das Widget Betroffene AWS-Assets auf Löschen. Klicken Sie im Bestätigungsdialogfeld auf Ja.

  10. Klicken Sie auf Ansicht speichern.

Playbooks aktivieren

So aktivieren Sie Playbooks für die Verarbeitung von Sicherheitslücken und Fehlkonfigurationen:

  1. Klicken Sie in der Security Operations Console auf Response > Playbooks.

  2. Wählen Sie den Ordner Siemplify Use Cases aus.

    Wenn Sie keine Ticketsysteme eingebunden haben, muss Posture Findings – Generic aktiviert sein. Das Playbook Posture Findings – Generic – VM Manager kann optional aktiviert werden.

    Wenn Sie eine Ticketsystem-Integration vorgenommen haben, führen Sie die folgenden Schritte aus:

    1. Wählen Sie das Playbook Posture Findings – Generic (Ergebnisse zur Position – allgemein) aus.
    2. Deaktivieren Sie die Funktion, indem Sie den Schalter auf „Aus“ stellen.
    3. Klicken Sie auf Speichern.
    4. Wählen Sie das Playbook Posture Findings – Generic – VM Manager aus.
    5. Deaktivieren Sie die Funktion, indem Sie den Schalter auf „Aus“ stellen.
    6. Klicken Sie auf Speichern.
    7. Wenn Sie Jira eingebunden haben, wählen Sie das Playbook Posture-Ergebnisse mit Jira aus.
      1. Stellen Sie den Schalter auf „Ein“, um das Playbook zu aktivieren.
      2. Klicken Sie auf Speichern.
    8. Wenn Sie eine Integration mit ServiceNow vorgenommen haben, wählen Sie das Playbook Posture-Ergebnisse mit ServiceNow aus.
      1. Stellen Sie den Schalter auf „Ein“, um das Playbook zu aktivieren.
      2. Klicken Sie auf Speichern.

Connectors aktualisieren

Durch das Aktualisieren des Anwendungsfalls werden vorhandene Connectors nicht automatisch aktualisiert. Damit die Datenaufnahme nach der Aktualisierung des Anwendungsfalls wie erwartet funktioniert, aktualisieren Sie die Connectoren SCC Enterprise – Urgent Posture Findings Connector und Google Chronicle – Chronicle Alerts Connector.

So aktualisieren Sie den SCC Enterprise – Urgent Posture Findings Connector:

  1. Klicken Sie in der Security Operations Console auf Einstellungen > SOAR-Einstellungen > Datenaufnahme > Verbindungen.
  2. Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Urgent Posture Findings Connector aus. Die Seite mit den Konfigurationsparametern für den Connector wird geöffnet.
  3. Klicken Sie auf im Cache Aktualisieren.
  4. Legen Sie für den Parameter Run Every (Jede Minute ausführen) den Wert „1 Minute“ fest.
  5. Stellen Sie den Schalter auf „Ein“, um den Anschluss zu aktivieren.
  6. Klicken Sie auf Speichern.

So aktualisieren Sie den Google Chronicle – Chronicle Alerts Connector:

  1. Klicken Sie in der Security Operations Console auf Einstellungen > SOAR-Einstellungen > Datenaufnahme > Verbindungen.
  2. Wählen Sie unter Google Chronicle die Option Google Chronicle – Chronicle Alerts Connector aus. Die Konfigurationsseite für die Connector-Parameter wird geöffnet.
  3. Klicken Sie auf im Cache Aktualisieren.
  4. Legen Sie für den Parameter Alle x Minuten ausführen den Wert „1 Minute“ fest.
  5. Geben Sie im Parameterfeld Product Field Name (Produktfeldname) SCCE ein.
  6. Stellen Sie den Schalter auf „Ein“, um den Anschluss zu aktivieren.
  7. Klicken Sie auf Speichern.

Aktualisierungskonfiguration prüfen

Testen Sie den Connector und den Job, um sicherzustellen, dass alle Anwendungsfallkomponenten erfolgreich aktualisiert werden.

Anschluss testen

  1. Klicken Sie in der Security Operations Console auf Einstellungen > SOAR-Einstellungen > Datenaufnahme > Verbindungen.
  2. Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Urgent Posture Findings Connector aus.
  3. Rufen Sie den Tab Testen auf.
  4. Klicken Sie auf Connector einmal ausführen. Wenn die Connector-Konfiguration korrekt ist, wird ein Häkchen angezeigt.

Job testen

  1. Klicken Sie in der Security Operations Console auf Response > Job Scheduler.
  2. Wählen Sie unter GoogleSecurityCommandCenter die Option SCC-Daten synchronisieren aus.
  3. Klicken Sie auf Jetzt ausführen. Wenn der Job wie erwartet funktioniert, ist der Jobstatus Success.

Fehlerbehebung

  • Für den Job SCC-Daten synchronisieren wird der folgende Fehler angezeigt:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Warten Sie zehn Minuten und klicken Sie auf Jetzt ausführen. Wenn der Fehler weiterhin auftritt, führen Sie die folgenden Schritte aus:

    1. Löschen Sie im Abschnitt Parameters (Parameter) den Parameterwert Organization ID.
    2. Geben Sie den Parameterwert Organisations-ID ein.
    3. Klicken Sie auf Speichern.
    4. Klicken Sie auf Jetzt ausführen.

  • Der Job SCC-Daten synchronisieren zeigt einen Authentifizierungsfehler an, wenn er während der Aktualisierung des Anwendungsfalls nicht automatisch aktualisiert wurde. Geben Sie die Werte für die Parameter Projekt-ID und Kontingentprojekt-ID manuell ein, um das Problem mit dem Synchronisierungsauftrag zu beheben.

    So geben Sie die richtigen Parameterwerte an:

    1. Gehen Sie zu Einstellungen > SOAR-Einstellungen > Datenaufnahme > Verbindungen.
    2. Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Urgent Posture Findings Connector aus.
    3. Kopieren Sie im Bereich Parameter den Wert des Parameters Quota Project ID.
    4. Klicken Sie auf Antwort > Job-Scheduler.
    5. Wählen Sie unter SCCEnterprise die Option SCC-Daten synchronisieren aus.
    6. Geben Sie im Abschnitt Parameter des Jobs SCC-Daten synchronisieren den kopierten Wert in die Felder Projekt-ID und Kontingentprojekt-ID ein.
    7. Klicken Sie auf Speichern.

  • Nach der Aktualisierung des Anwendungsfalls werden neue Playbooks nicht auf vorhandene Benachrichtigungen angewendet.

    Wenn Sie die neuen Playbooks auf vorhandene Benachrichtigungen anwenden und das Benachrichtigungs-Widget neu rendern möchten, schließen Sie einen Fall und warten Sie, bis der Connector wieder Benachrichtigungen mit den neuen Playbooks aufnimmt.