Aggiorna il caso d'uso Enterprise

L'aggiornamento del 9 ottobre 2024 di SCC Enterprise – Cloud Orchestration e correzione. Aggiorna il caso d'uso al più presto.

Questo caso d'uso fornisce aggiornamenti alle funzionalità delle operazioni di sicurezza del Livello Enterprise di Security Command Center. Per applicare gli aggiornamenti, segui le procedure riportate in questa pagina.

La procedura di aggiornamento include i seguenti passaggi di alto livello:

  1. Prepara il sistema per l'aggiornamento disattivando un connettore ed eliminando alcuni playbook esistenti.
  2. Installa la versione più recente di SCC Enterprise – Cloud caso d'uso di orchestrazione e correzione.
  3. Convalida l'installazione ed esegui i playbook aggiornati.

Verifica di disporre dei ruoli richiesti

Per completare questa procedura, devi disporre di uno dei seguenti ruoli SOC nella console Operazioni di sicurezza:

  • Amministratore
  • Vulnerability Manager
  • Gestore delle minacce

Per ulteriori dettagli sui ruoli SOC nella console Security Operations e sulle autorizzazioni richieste per gli utenti, consulta Controllare l'accesso alle funzionalità nella console Security Operations.

Preparare il sistema per l'aggiornamento

Prima di aggiornare il caso d'uso, devi disattivare il connettore SCC Enterprise - Urgent Posture Findings ed eliminare i playbook forniti dalla versione corrente del caso d'uso.

Disattiva il connettore

Per evitare di avere avvisi senza playbook allegati, disattiva il connettore SCC Enterprise – Urgent Posture Findings Connector prima di eliminare i playbook. Security Command Center acquisisce i risultati raccolti quando il connettore è disabilitato quando lo aggiorni e lo attivi.

Per disabilitare il connettore, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Settings (Impostazioni) > SOAR Settings (Impostazioni SOAR) > Importazione > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Posture Findings Connector.
  3. Attiva l'opzione per disattivare il connettore.
  4. Fai clic su Salva.

Elimina playbook

Per evitare la duplicazione dei playbook, elimina i playbook predefiniti che utilizzi nella versione corrente del tuo caso d'uso. Eliminazione dei playbook prima del giorno l'upgrade del caso d'uso non influisce sulla gestione dei casi.

Per eliminare i playbook predefiniti, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Risposta > Playbook. Per impostazione predefinita, il filtro a discesa è impostato su Mostra tutto.

  2. Seleziona la cartella Siemplify Use Cases (Caso d'uso semplificato). Questa cartella contiene i seguenti playbook predefiniti:

    • Playbook di risposta alle minacce AWS
    • Guida pratica per la risposta alle minacce per Google Cloud
    • Risposta del motore per suggerimenti IAM
    • Risultati relativi alla postura: generici
    • Posture Findings – Generic – VM Manager
    • Risultati della postura con Jira
    • Risultati della postura con ServiceNow
    • Google Cloud – Esecuzione – Cryptomining
    • Google Cloud - Esecuzione - Binario o libreria caricata Eseguito
    • Google Cloud – Esecuzione – Shell o script di URL dannosi Processo
    • Google Cloud – Persistenza – Comportamento sospetto
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Postura: Playbook per le combinazioni dannose
    • Anteprima – Guida pratica di Azure Threat Response

  3. Nel riquadro di navigazione della pagina Playbook, fai clic su Modifica per selezionare più elementi.

  4. Accanto a Semplifica i casi d'uso, fai clic su done_all Seleziona tutto per selezionare tutti i playbook e i blocchi nella cartella.

  5. Nella pagina di navigazione Playbook, fai clic su Menu elenco > Elimina. Viene visualizzata una finestra che richiede la conferma o l'annullamento del eliminazione dei playbook selezionati.

  6. Fai clic su Conferma.

    Ora puoi aggiornare la versione del caso d'uso.

Installa il caso d'uso di Security Command Center Enterprise

Per installare la versione più recente del caso d'uso SCC Enterprise e verificare che tutte le integrazioni fornite nel caso d'uso siano aggiornate.

Installa il caso d'uso più recente

Per installare la versione più recente del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation, completa i seguenti passaggi:

  1. Nella console Security Operations, vai a Marketplace > Caso d'uso.
  2. Apri la finestra di dialogo Filtra per categorie facendo clic sull'icona del filtro,.
  3. Nella finestra di dialogo Filtra per categorie, digita SCC Enterprise. Il caso d'uso viene visualizzato nella sezione Casi d'uso.

  4. Nella descrizione del caso d'uso SCC Enterprise - Orchestrazione e correzione dei problemi cloud, controlla se è presente una data.

    • Se la data è precedente al 10 luglio 2024 o se nella descrizione non è presente alcuna data, elimina il caso d'uso. Ultime novità viene visualizzato automaticamente al posto di quello eliminato.

    • Se la data nel caso d'uso SCC Enterprise – Cloud Orchestration and Remediation è 10 luglio 2024 o successiva, verifica che i playbook nell'ultimo caso d'uso siano installati completando i seguenti passaggi:

      1. Fai clic sul caso d'uso per aprire l'installazione guidata.
      2. Espandere la categoria di playbook e prendere nota di eventuali aggiornamenti i playbook.
      3. Nella sezione Risposta > Playbooks nella Security Operations Console. cerca il playbook nuovo o aggiornato. Se trovi il nuovo aggiornato, l'installazione del caso d'uso è già stata completata.

  5. Per completare l'installazione del caso d'uso, fai clic sul pulsante SCC Enterprise – caso d'uso di Cloud Orchestration and Remediation e seguire istruzioni nella procedura guidata di installazione.

Applica e convalida le configurazioni del nuovo caso d'uso

È necessario verificare che le varie caratteristiche incluse nel più recenti siano aggiornati correttamente. Per alcune funzionalità, devi applicare manualmente gli aggiornamenti del nuovo caso d'uso.

Convalida le versioni dell'integrazione nel caso d'uso

Le nuove versioni delle integrazioni incluse nel caso d'uso sono disponibili ogni settimana. Aggiorna le integrazioni alle versioni più recenti al più presto.

Le nuove versioni delle integrazioni introducono aggiornamenti inclusi, a titolo esemplificativo, correzioni di problemi, nuovi widget e azioni, modifiche a widget e azioni esistenti miglioramenti alla gestione degli avvisi e alla logica di elaborazione del rilevamento e mappatura del flusso di lavoro.

Per applicare gli aggiornamenti per le integrazioni, svolgi i seguenti passaggi:

  1. Nella console Security Operations, vai a Marketplace > Integrazioni.
  2. Nel campo Type (Tipo), seleziona All Integrations (Tutte le integrazioni).
  3. Nel campo Stato, seleziona Upgrade disponibile. Vengono visualizzate tutte le integrazioni che richiedono un upgrade.
  4. Per eseguire l'upgrade di un'integrazione, fai clic su Esegui l'upgrade alla versione VERSION nella scheda dell'integrazione.
  5. Se viene visualizzata la finestra di dialogo Aggiornamento di INTEGRATION fai clic su Conferma.
  6. Se viene visualizzata la finestra di dialogo Conferma, fai clic su Approva.
  7. Nella finestra di dialogo Conferma mappatura sovrascrittura, seleziona la seguente opzione: Installa la nuova configurazione dell'ontologia e sostituisci quella esistente, quindi fai clic su Conferma.

Upgrade dell'integrazione SCC Enterprise e installazione della nuova ontologia per tutte le integrazioni di cui è stato eseguito l'upgrade.

Configurare l'integrazione di Cloud Storage

Per correggere i risultati relativi all'ACL dei bucket pubblici, l'aggiornamento del 9 ottobre 2024 del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation introduce un'ulteriore integrazione, l'integrazione di Cloud Storage.

Per consentire ai playbook di arricchire e correggere il tipo di rilevamento PUBLIC BUCKET ACL, configura l'integrazione di Cloud Storage completando i seguenti passaggi:

  1. Configura i parametri di integrazione.
  2. Attiva la correzione dei bucket pubblici per i playbook.
Configura i parametri di integrazione

Per configurare i parametri di integrazione di Cloud Storage, completa i seguenti passaggi:

  1. Nella console Security Operations, vai a Marketplace > Integrazioni.
  2. Nel campo Cerca, inserisci Storage. Lo spazio di archiviazione una scheda di integrazione.
  3. Nella scheda dell'integrazione, fai clic su Configura. La finestra di dialogo di configurazione si apre.
  4. Configurare l'email di identità per il carico di lavoro, l'ID progetto e Parametri ID progetto quota. Puoi copiare i valori dei parametri da qualsiasi altra integrazione di Google Cloud, ad esempio l'integrazione di Cloud Asset Inventory.
  5. Fai clic su Salva.
  6. Fai clic su Test per testare la configurazione.
Attivare la correzione dei bucket pubblici per i playbook

Per attivare la correzione dei bucket pubblici per i playbook dei risultati relativi alla posizione, consulta Attivare la correzione dei bucket pubblici.

Aggiorna i widget della visualizzazione delle richieste

  1. Nella console Security Operations, vai a Impostazioni > Impostazioni SOAR > Dati della richiesta > Visualizzazioni.
  2. Seleziona Visualizzazione richieste predefinita.
  3. Seleziona la scheda Predefinito.

  4. Trascina i widget dalla scheda Predefinito alla Visualizzazione richieste predefinita. nel seguente ordine consigliato:

    1. Riepilogo richiesta
    2. Percorso di attacco della combinazione tossica
    3. Risultati
    4. Indagine sull'IA/Riepilogo di Gemini
    5. Riepilogo risultati
    6. SCC – Finding State
    7. Asset interessati
    8. Informazioni sui biglietti
    9. Azioni in attesa
    10. Grafico delle entità
    11. Entità in evidenza

  5. Fai clic su Salva visualizzazione.

Convalidare i widget

Per assicurarti di ricevere le informazioni corrette, verifica quanto segue: widget contengono la condizione corretta:

  • Percorso di attacco della combinazione tossica
  • Ricerca
  • Grafico delle entità
  • Indagine AI/Riepilogo di Gemini
  • Riepilogo dei risultati
  • Risorse interessate
  • SCC - Stato del risultato
  • Asset interessati
  • Asset AWS interessati

Per convalidare i widget, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Settings (Impostazioni) > Impostazioni SOAR > Dati della richiesta > Visualizzazioni.

  2. Seleziona Visualizzazione richieste predefinita.

  3. Per entrambi i widget Percorso di attacco di combinazione tossica e Ricerca, fai clic su Impostazioni Configurazione.

    In Impostazioni avanzate, nella sezione Condizioni, la condizione deve essere: [Case.Tags] () Toxic Combination. In caso contrario, aggiorna la condizione e poi fai clic su Salva.

  4. Per i widget Entities Graph e AI Investigation/Gemini Summary, fai clic su Impostazioni Configurazione.

    In Impostazioni avanzate, nella sezione Condizioni, deve essere la seguente: [Case.Tags] !() Toxic Combination. In caso contrario, aggiorna la condizione e fai clic su Salva.

  5. Per il widget Riepilogo della ricerca, fai clic su ImpostazioniConfigurazione.

    In Impostazioni avanzate, nella sezione Condizioni, le condizioni devono essere le seguenti:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    In caso contrario, aggiorna le condizioni e fai clic su Salva.

  6. Per il widget Risorse interessate, fai clic su impostazioni di configurazione.

    In Impostazioni avanzate, nella sezione Condizioni, deve essere la seguente: [Case.Tags] () Toxic Combination. In caso contrario, aggiorna la condizione e fai clic su Salva.

  7. Per il widget SCC – Finding State (SCC – Stato ricerca), fai clic su Elimina. Quando si apre la finestra di dialogo di conferma, fai clic su .

    Per installare il widget SCC - Finding State (SCC - Stato dei risultati) configurato per la versione più recente del caso d'uso, trascina il widget SCC - Finding State (Stato del risultato) Predefinito nella Visualizzazione richieste predefinita.

  8. Per il widget Asset interessati, fai clic su Elimina. Quando si apre la finestra di dialogo di conferma, fai clic su .

    Per installare il widget Asset interessati configurato per la versione più recente del caso d'uso, trascina il widget Asset interessati dalla Predefinito nella Visualizzazione richieste predefinita.

  9. Per il widget Asset AWS interessati, fai clic su Elimina. Quando nella finestra di dialogo di conferma, fai clic su .

  10. Fai clic su Salva visualizzazione.

Abilita playbook

Per abilitare i playbook per l'elaborazione di vulnerabilità e configurazioni errate, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Risposta > Playbook.

  2. Seleziona la cartella Siemplify Use Cases (Caso d'uso semplificato).

    Se non hai effettuato l'integrazione con i sistemi di gestione delle richieste di assistenza, assicurati che il L'opzione Risultati postura - Generico è attivata. L'attivazione del playbook Posture Findings – Generic – VM Manager è facoltativa.

    Se hai eseguito l'integrazione con i sistemi di vendita di biglietti, completa i seguenti passaggi:

    1. Seleziona il playbook Risultati postura - Generici.
    2. Sposta il pulsante di attivazione/disattivazione per disattivarlo.
    3. Fai clic su Salva.
    4. Seleziona Risultati postura - Generico - VM Manager .
    5. Imposta l'opzione su Off.
    6. Fai clic su Salva.
    7. Se hai eseguito l'integrazione con Jira, seleziona Posture Findings With Jira. .
      1. Attiva l'opzione per attivare il playbook.
      2. Fai clic su Salva.
    8. Se hai eseguito l'integrazione con ServiceNow, seleziona il campo Posture Findings With il playbook ServiceNow.
      1. Attiva l'opzione per attivare il playbook.
      2. Fai clic su Salva.

Aggiornamento connettori

L'aggiornamento del caso d'uso non aggiorna automaticamente i connettori esistenti. Per assicurarti che l'importazione dei dati funzioni come previsto dopo l'aggiornamento del caso d'uso, aggiorna i connettori SCC Enterprise – Urgent Posture Findings Connector e Google Chronicle – Chronicle Alerts Connector.

Per aggiornare il connettore SCC Enterprise - Urgent Posture Findings completa i seguenti passaggi:

  1. In Security Operations Console, vai a Settings (Impostazioni) > SOAR Impostazioni > Importazione > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Connettore Urgent Posture Findings. Il connettore si apre la pagina di configurazione dei parametri.
  3. Fai clic su Aggiorna in cache.
  4. Imposta il parametro Run Every (Esegui ogni) su 1 minuto.
  5. Attiva l'opzione per attivare il connettore.
  6. Fai clic su Salva.

Per aggiornare Google Chronicle - Connettore Avvisi Chronicle completa i seguenti passaggi:

  1. In Security Operations Console, vai a Settings (Impostazioni) > SOAR Impostazioni > Importazione > Connettori.
  2. In GoogleChronicle, seleziona Google Chronicle - Connettore di avviso di Chronicle. Si apre la pagina di configurazione dei parametri del connettore.
  3. Fai clic su Aggiorna memorizzata nella cache.
  4. Imposta il parametro Run Every (Esegui ogni) su 1 minuto.
  5. Nel campo del parametro Nome campo prodotto, inserisci SCCE.
  6. Attiva l'opzione di attivazione/disattivazione per attivare il connettore.
  7. Fai clic su Salva.

Verificare la configurazione dell'aggiornamento

Per assicurarti che tutti i componenti del caso d'uso vengano aggiornati correttamente, testa il connettore e il job.

Prova il connettore

  1. Nella Security Operations Console, vai a Settings (Impostazioni) > Impostazioni SOAR > Importazione > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Posture Findings Connector.
  3. Vai alla scheda Test.
  4. Fai clic su Esegui il connettore una volta. Se la configurazione del connettore è corretta, viene visualizzato il segno di spunta.

Testa il job

  1. In Security Operations Console, vai a Risposta > Pianificazione job.
  2. In GoogleSecurityCommandCenter, seleziona Sincronizza i dati di SCC.
  3. Fai clic su Esegui ora. Se il job funziona come previsto, lo stato del job è Success.

Risoluzione dei problemi

  • Il job Sync SCC Data mostra il seguente errore:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Attendi dieci minuti e fai clic su Esegui ora. Se l'errore persiste, completa i seguenti passaggi:

    1. Nella sezione Parametri del job, elimina il valore del parametro ID organizzazione.
    2. Inserisci il valore del parametro ID organizzazione.
    3. Fai clic su Salva.
    4. Fai clic su Esegui ora.

  • Il job Sincronizza i dati SCC mostra un errore di autenticazione quando non è riuscito a actualizarsi automaticamente durante l'aggiornamento del caso d'uso. Per correggere la sincronizzazione un problema di job, inserisci manualmente i valori per l'ID progetto e la Quota Parametri ID progetto.

    Per specificare i valori parametro corretti, completa i seguenti passaggi:

    1. Vai a Impostazioni > Impostazioni SOAR > Importazione > Connettori.
    2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Posture Findings Connector.
    3. Nella sezione Parametri, copia il valore del parametro Quota Project ID.
    4. Vai a Risposta > Pianificazione job.
    5. In SCCEnterprise, seleziona Sync SCC Data (Sincronizza dati SCC).
    6. Nella sezione Parametri del job Sincronizza i dati SCC, inserisci il valore copiato nei campi ID progetto e ID progetto quota.
    7. Fai clic su Salva.

  • Dopo l'aggiornamento del caso d'uso, i nuovi playbook non si applicano agli avvisi esistenti.

    Per applicare i nuovi playbook agli avvisi esistenti ed eseguire nuovamente il rendering dell'Avviso. chiudi una richiesta e attendi che il connettore importi di nuovo gli avvisi con i nuovi playbook in allegato.