Atualizar o caso de uso empresarial

A atualização de 9 de outubro de 2024 do caso de uso SCC Enterprise: orquestração e remediação em nuvem está disponível. Atualize o caso de uso assim que possível.

Este caso de uso oferece atualizações aos recursos de operações de segurança do nível Enterprise do Security Command Center. Para aplicar as atualizações, siga os procedimentos desta página.

O procedimento de atualização inclui as seguintes etapas de alto nível:

1. Prepare o sistema para a atualização desativando um conector e excluindo alguns playbooks.
2. Instale a versão mais recente do caso de uso SCC Enterprise: orquestração e remediação do Cloud.
3. Valide a instalação e execute os playbooks atualizados.

Confirmar se você tem os papéis necessários

Para concluir este procedimento, é necessário ter uma das seguintes funções do SOC no console de operações de segurança:

• Administrador
• Gerenciador de vulnerabilidades
• Gerenciador de ameaças

Para mais detalhes sobre as funções do SOC no console de operações de segurança e as permissões necessárias para os usuários, consulte Controlar o acesso a recursos no console de operações de segurança.

Preparar o sistema para a atualização

Antes de atualizar o caso de uso, desative o SCC Enterprise – Urgent Posture Findings Connector e exclua os playbooks fornecidos pela versão atual do caso de uso.

Desativar o conector

Para evitar alertas sem playbooks anexados, desative o conector SCC Enterprise – Urgent Posture Findings Connector antes de excluir playbooks. O Security Command Center processa as descobertas coletadas enquanto o conector está desativado quando você atualiza e ativa o conector.

Para desativar o conector, siga estas etapas:

1. No console de operações de segurança, acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
2. Em SCCEnterprise, selecione SCC Enterprise – Urgent Posture Findings Connector.
3. Mude a posição do botão para desativar o conector.
4. Clique em Salvar.

Excluir playbooks

Para evitar a duplicação de playbooks, exclua os playbooks padrão usados na versão atual do seu caso de uso. A exclusão de playbooks antes do upgrade do caso de uso não afeta o gerenciamento do caso.

Para excluir playbooks padrão, siga estas etapas:

1. No console de operações de segurança, acesse Resposta > Playbooks. O filtro suspenso é definido como Mostrar tudo por padrão.

2. Selecione a pasta Siemplify Use Cases. Ela contém os seguintes playbooks padrão:

   • AWS Threat Response Playbook (link em inglês)
   • Playbook de resposta a ameaças do GCP
   • Resposta do recomendador do IAM
   • Resultados da postura: genérico
   • Posture Findings: genérico – VM Manager
   • Encontre a postura com o Jira
   • Encontrar a postura com o ServiceNow
   • Google Cloud: execução – mineração de criptomoedas
   • Google Cloud: execução: binário ou biblioteca carregada executada
   • Google Cloud: execução: script de URL malicioso ou processo de shell
   • Google Cloud: persistência – comportamento suspeito
   • Google Cloud: persistência – concessão anormal do IAM
   • Posture – Toxic Combination Playbook (link em inglês)
   • Pré-lançamento: Playbook de resposta a ameaças do Azure

3. Na navegação da página Playbooks, clique em Editar para selecionar vários itens.

4. Ao lado de Casos de uso do Siemplify, clique em done_all Selecionar tudo para selecionar todos os playbooks e blocos na pasta.

5. Na navegação da página Playbooks, clique no menu list > Excluir. Uma janela vai aparecer para que você confirme ou cancele a exclusão dos playbooks selecionados.

6. Clique em Confirmar.

   Agora você pode atualizar a versão do caso de uso.

Instalar o caso de uso do Security Command Center Enterprise

Instale a versão mais recente do caso de uso do SCC Enterprise e verifique se todas as integrações fornecidas no caso de uso estão atualizadas.

Instalar o caso de uso mais recente

Para instalar a versão mais recente do caso de uso SCC Enterprise: orquestração e remediação na nuvem, siga estas etapas:

1. No console do Security Operations, acesse Marketplace > Casos de uso.
2. Abra a caixa de diálogo Filtrar por categorias clicando no ícone de filtro, .
3. Na caixa de diálogo Filtrar por categorias, digite SCC Enterprise. O caso de uso aparece na seção Casos de uso.

4. Na descrição do caso de uso SCC Enterprise: orquestração e remediação de nuvem, verifique se há uma data.

   • Se a data for anterior a 10 de julho de 2024 ou não houver uma data na descrição, exclua o caso de uso. O caso de uso mais recente aparece automaticamente no lugar do caso de uso excluído.

   • Se a data no caso de uso SCC Enterprise – Cloud Orchestration and Remediation for 10 de julho de 2024 ou mais recente, confirme se os playbooks no caso de uso mais recente estão instalados seguindo estas etapas:

     1. Clique no caso de uso para abrir o assistente de instalação.
     2. Abra a categoria "Playbooks" e observe se há playbooks novos ou atualizados.
     3. Na página Response > Playbooks do console de operações de segurança, procure o playbook novo ou atualizado. Se você encontrar o playbook novo ou atualizado, a instalação do caso de uso já estará concluída.

5. Para concluir a instalação do caso de uso, clique no caso de uso SCC Enterprise: Cloud Orchestration and Remediation e siga as instruções no assistente de instalação.

Aplicar e validar as configurações do novo caso de uso

Você precisa validar se os vários recursos incluídos no caso de uso mais recente foram atualizados corretamente. Para alguns recursos, é necessário aplicar as atualizações do novo caso de uso manualmente.

Validar as versões de integração no caso de uso

As novas versões das integrações incluídas no caso de uso estão disponíveis toda semana. Atualize as integrações para as versões mais recentes assim que possível.

As novas versões das integrações apresentam atualizações, incluindo, entre outras, correções de problemas, novos widgets e ações, mudanças em widgets e ações existentes, melhorias no processamento de alertas e melhorias na lógica de processamento de detecção e no mapeamento de fluxo de trabalho.

Para aplicar as atualizações nas integrações, siga estas etapas:

1. No console de operações de segurança, acesse Marketplace > Integrações.
2. No campo Tipo, selecione Todas as integrações.
3. No campo Status, selecione Upgrade disponível. Todas as integrações que exigem um upgrade são mostradas.
4. Para fazer upgrade de uma integração, clique em Fazer upgrade para a versão VERSION no card de integração.
5. Se a caixa de diálogo Atualização de INTEGRATION aparecer, clique em Confirmar.
6. Se a caixa de diálogo Confirmation aparecer, clique em Approve.
7. Na caixa de diálogo Confirm Overwrite Mapping, selecione a seguinte opção: Install the new ontology configuration and override the existing one e clique em Confirm.

É necessário fazer upgrade da integração do SCC Enterprise e instalar a nova configuração de ontologia para todas as integrações atualizadas.

Configurar a integração do Cloud Storage

Para corrigir as descobertas de ACL de bucket público, a atualização de 9 de outubro de 2024 do caso de uso SCC Enterprise: orquestração e remediação em nuvem apresenta uma integração extra, a integração do Cloud Storage.

Para permitir que os playbooks melhorem e corrijam o tipo de descoberta PUBLIC BUCKET ACL, configure a integração do Cloud Storage seguindo estas etapas:

1. Configure os parâmetros de integração.
2. Ative a correção de buckets públicos para playbooks.

Configurar os parâmetros de integração

Para configurar os parâmetros de integração do Cloud Storage, siga estas etapas:

1. No console de operações de segurança, acesse Marketplace > Integrações.
2. No campo Pesquisar, digite Storage. O card de integração do Cloud Storage é exibido.
3. No card de integração, clique em Configurar. A caixa de diálogo de configuração é aberta.
4. Configure os parâmetros E-mail da Identidade da carga de trabalho, ID do projeto e ID do projeto de cota. É possível copiar os valores de parâmetro de qualquer outra integração do Google Cloud, como a integração do Inventário de recursos do Cloud.
5. Clique em Salvar.
6. Clique em Testar para testar a configuração.

Ativar a correção de buckets públicos para playbooks

Para ativar a remediação de bucket público para os playbooks de resultados de postura, consulte Ativar a remediação de bucket público.

Atualizar widgets da visualização de caso

1. No console de operações de segurança, acesse Configurações > Configurações de SOAR > Dados do caso > Visualizações.
2. Selecione Visualização de caso padrão.
3. Selecione a guia Predefinido.

4. Arraste os widgets da guia Predefinido para a Visualização de caso padrão na ordem recomendada abaixo:

   1. Resumo do caso
   2. Caminho do ataque de combinação tóxica
   3. Descobertas
   4. Resumo da investigação de IA/Gemini
   5. Resumo dos resultados
   6. SCC: estado da descoberta
   7. Recursos afetados
   8. Informações sobre o ingresso
   9. Ações pendentes
   10. Gráfico de entidades
   11. Destaques das entidades

5. Clique em Salvar visualização.

Validar widgets

Para garantir que você receba as informações corretas, valide se os seguintes widgets contêm a condição correta:

• Caminho de ataque de combinação tóxica
• Encontrar
• Gráfico de entidades
• Resumo da investigação de IA/Gemini
• Resumo dos resultados
• Recursos afetados
• SCC: estado da descoberta
• Recursos afetados
• Recursos da AWS afetados

Para validar os widgets, siga estas etapas:

1. No console de operações de segurança, acesse Configurações > Configurações do SOAR > Dados do caso > Visualizações.

2. Selecione Visualização de caso padrão.

3. Para os widgets Caminho do ataque de combinação tóxica e Encontrar, clique em configurações Configuração.

   Em Configurações avançadas, na seção Condições, a condição deve ser a seguinte: [Case.Tags] () Toxic Combination. Se não estiver, atualize a condição e clique em Salvar.

4. Nos widgets Entities Graph e AI Investigation/Gemini Summary, clique em settings Configuração.

   Em Configurações avançadas, na seção Condições, a condição precisa ser a seguinte: [Case.Tags] !() Toxic Combination. Se não estiver, atualize a condição e clique em Salvar.

5. No widget Resumo da pesquisa, clique em configuraçõesConfiguração.

   Em Configurações avançadas, na seção Condições, as condições precisam ser as seguintes:

   • [Case.Tags] () SCC-TICKET-INFO
   • [Case.Tags] !() Toxic Combination
   • [Case.Tags] !() CIEM
   • [Event.parentDisplayName] !() VM Manager

   Se não estiver, atualize as condições e clique em Salvar.

6. No widget Recursos afetados, clique em configurações Configurações.

   Em Configurações avançadas, na seção Condições, a condição precisa ser a seguinte: [Case.Tags] () Toxic Combination. Se não estiver, atualize a condição e clique em Salvar.

7. No widget SCC – Finding State, clique em Excluir. Quando a caixa de diálogo de confirmação for aberta, clique em Sim.

   Para instalar o widget SCC – Finding State configurado para a versão mais recente do caso de uso, arraste o widget SCC – Finding State da guia Predefined para a Visualização de caso padrão.

8. No widget Recursos afetados, clique em Excluir. Quando a caixa de diálogo de confirmação for aberta, clique em Sim.

   Para instalar o widget Impacted Assets configurado para a versão mais recente do caso de uso, arraste o widget Impacted Assets da guia Predefined para a Visualização de caso padrão.

9. No widget Recursos da AWS afetados, clique em Excluir. Quando a caixa de diálogo de confirmação abrir, clique em Sim.

10. Clique em Salvar visualização.

Ativar playbooks

Para ativar playbooks para processar vulnerabilidades e configurações incorretas, siga estas etapas:

1. No console de operações de segurança, acesse Resposta > Playbooks.

2. Selecione a pasta Siemplify Use Cases.

   Se você não integrou com sistemas de emissão de passagens, verifique se a Posture Findings – Generic está ativada. Ativar o playbook Posture Findings – Generic – VM Manager é opcional.

   Se você integrou com sistemas de emissão de passagens, siga estas etapas:

   1. Selecione o playbook Posture Findings – Generic.
   2. Desative a chave.
   3. Clique em Salvar.
   4. Selecione o playbook Posture Findings – Generic – VM Manager.
   5. Desative a chave.
   6. Clique em Salvar.
   7. Se você integrou com o Jira, selecione o playbook Posture Findings With Jira.
      1. Ative o playbook.
      2. Clique em Salvar.
   8. Se você integrou com o ServiceNow, selecione o playbook Posture Findings With ServiceNow.
      1. Ative o playbook.
      2. Clique em Salvar.

Atualizar conectores

Atualizar o caso de uso não atualiza os conectores existentes automaticamente. Para garantir que a ingestão de dados funcione conforme o esperado após a atualização do caso de uso, atualize os conectores SCC Enterprise – Urgent Posture Findings Connector e Google Chronicle – Chronicle Alerts Connector.

Para atualizar o conector SCC Enterprise – Urgent Posture Findings Connector, siga estas etapas:

1. No console de operações de segurança, acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
2. Em SCCEnterprise, selecione SCC Enterprise: conector de descobertas de posturas urgentes. A página de configuração dos parâmetros do conector é aberta.
3. Clique em Armazenamento em cache Atualizar.
4. Defina o parâmetro Executar a cada como 1 minuto.
5. Mude a chave para ativar o conector.
6. Clique em Salvar.

Para atualizar o conector Google Chronicle – Chronicle Alerts Connector, siga estas etapas:

1. No console de operações de segurança, acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
2. Em GoogleChronicle, selecione Google Chronicle – Chronicle Alerts Connector. A página de configuração dos parâmetros do conector é aberta.
3. Clique em Armazenamento em cache Atualizar.
4. Defina o parâmetro Executar a cada como 1 minuto.
5. No campo de parâmetro Nome do campo do produto, insira SCCE.
6. Mude a chave para ativar o conector.
7. Clique em Salvar.

Verificar a configuração da atualização

Para garantir que todos os componentes do caso de uso sejam atualizados, teste o conector e o job.

Testar o conector

1. No console de operações de segurança, acesse Configurações > Configurações do SOAR > Aquisição > Conectores.
2. Em SCCEnterprise, selecione SCC Enterprise – Urgent Posture Findings Connector.
3. Acesse a guia Testes.
4. Clique em Executar o conector uma vez. Se a configuração do conector estiver correta, a marca de seleção vai aparecer.

Testar o job

1. No console de operações de segurança, acesse Resposta > Programador de jobs.
2. Em Google Security Command Center, selecione Sincronizar dados do SCC.
3. Clique em Executar agora. Se o job funcionar conforme o esperado, o status dele será Success.

Solução de problemas

• O job Sync SCC Data mostra o seguinte erro:

  TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)
  

  Aguarde dez minutos e clique em Executar agora. Se o erro persistir, siga estas etapas:

  1. Na seção Parâmetros do job, exclua o valor do parâmetro ID da organização.
  2. Insira o valor do parâmetro ID da organização.
  3. Clique em Salvar.
  4. Clique em Executar agora.

• O job Sync SCC Data mostra um erro de autenticação quando não é atualizado automaticamente durante a atualização do caso de uso. Para corrigir o problema do job de sincronização, insira manualmente os valores dos parâmetros ID do projeto e ID do projeto de cota.

  Para especificar os valores de parâmetro corretos, siga estas etapas:

  1. Acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise – Urgent Posture Findings Connector.
  3. Na seção Parâmetros, copie o valor do parâmetro ID do projeto de cota.
  4. Acesse Resposta > Programador de tarefas.
  5. Em SCCEnterprise, selecione Sincronizar dados do SCC.
  6. Na seção Parâmetros do job Sincronizar dados do SCC, insira o valor copiado nos campos ID do projeto e ID do projeto de cota.
  7. Clique em Salvar.

• Após a atualização do caso de uso, os novos playbooks não se aplicam aos alertas atuais.

  Para aplicar os novos playbooks aos alertas existentes e renderizar o widget Alert novamente, feche um caso e aguarde até que o conector ingira os alertas com os novos playbooks anexados.