Anwendungsfall „Enterprise“ aktualisieren

Die Aktualisierung von SCC Enterprise – Cloud-Orchestrierung vom 10. Juli 2024 und Abhilfe, ist jetzt verfügbar. Anwendungsfall aktualisieren sobald wie möglich.

Dieser Anwendungsfall enthält Aktualisierungen der Security Operations-Funktionen des Enterprise-Stufe von Security Command Center. So wenden Sie die Aktualisierungen an: die Verfahren auf dieser Seite.

Das Aktualisierungsverfahren umfasst die folgenden übergeordneten Schritte:

  1. Bereiten Sie das System auf die Aktualisierung vor, indem Sie einen Connector deaktivieren und bestimmte vorhandene Playbooks.
  2. Installieren Sie die neueste Version von SCC Enterprise – Cloud Anwendungsfall „Orchestrierung und Behebung“
  3. Prüfen Sie die Installation und führen Sie die aktualisierten Playbooks aus.

Prüfen, ob Sie die erforderlichen Rollen haben

Um diesen Vorgang abzuschließen, Sie benötigen eines der folgenden Sicherheitscenter Rollen in der Security Operations-Konsole:

  • Administrator
  • Sicherheitslückenmanager
  • Threat Manager

Weitere Informationen zu SOC-Rollen in der Security Operations-Konsole und Berechtigungen, die für Nutzer erforderlich sind, siehe Zugriff auf Funktionen in der Security Operations-Konsole steuern

System auf Update vorbereiten

Bevor Sie den Anwendungsfall aktualisieren, müssen Sie die Funktion SCC Enterprise – Urgent Posture Findings Connector und die von der aktuellen Anwendungsfallversion bereitgestellten Playbooks löschen.

Connector deaktivieren

Um zu vermeiden, dass Benachrichtigungen ohne angehängte Playbooks angezeigt werden, deaktivieren Sie die SCC Enterprise – Urgent Posture Findings Connector-Connector bevor Sie Playbooks löschen. Security Command Center nimmt erfasste Ergebnisse auf während der Connector deaktiviert ist, wenn Sie ihn aktualisieren und aktivieren.

So deaktivieren Sie den Connector:

  1. Gehen Sie in der Security Operations-Konsole zu Settings > SOAR Settings (SOAR-Einstellungen). > Datenaufnahme > Connectors.
  2. Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Dringend aus. Status-Connector für Ergebnisse.
  3. Deaktivieren Sie den Connector mithilfe der Ein/Aus-Schaltfläche.
  4. Klicken Sie auf Speichern.

Playbooks löschen

Löschen Sie die verwendeten Standard-Playbooks, um eine Duplizierung des Playbooks zu vermeiden in der aktuellen Version Ihres Anwendungsfalls. Playbooks werden gelöscht vor dem Das Upgrade des Anwendungsfalls hat keine Auswirkungen auf die Fallverwaltung.

Führen Sie die folgenden Schritte aus, um Standard-Playbooks zu löschen:

  1. Gehen Sie in der Security Operations-Konsole zu Antwort > Playbooks.
  2. Um Playbooks aus Blockierungen auf der Seite Playbooks zu filtern, ändern Sie die von Alle anzeigen bis Playbooks.
  3. Wählen Sie Siemplify-Anwendungsfälle aus. Der Ordner enthält Folgendes: Standard-Playbooks:
    • AWS Threat Response Playbook
    • Playbook zur GCP-Bedrohungsabwehr
    • IAM Recommender-Antwort
    • Statusergebnisse – allgemein
    • Statusergebnisse mit Jira
    • Statusergebnisse mit ServiceNow
  4. Klicken Sie in der Seitennavigation „Playbooks“ auf Bearbeiten, um mehrere Elemente auszuwählen.
  5. Klicken Sie neben Siemplify Use Cases (Anwendungsfälle von Siemplify) auf done_all Alle auswählen um alle Playbooks im Ordner auszuwählen.
  6. Klicken Sie in der Navigation auf der Seite Playbooks auf list-Menü > Löschen. Daraufhin öffnet sich ein Fenster, in dem Sie den Vorgang Löschen der ausgewählten Playbooks.

  7. Klicken Sie auf Bestätigen.

    Sie können jetzt die Version Ihres Anwendungsfalls aktualisieren.

Anwendungsfall für Security Command Center Enterprise installieren

Zum Installieren der neuesten Version des SCC Enterprise-Anwendungsfalls auf die neueste Version Prüfen Sie, ob alle im Anwendungsfall bereitgestellten Integrationen aktiviert sind. bis heute.

Aktuellen Anwendungsfall installieren

Um die neueste Version von SCC Enterprise – Cloud zu installieren Orchestrierung und Behebung verwenden, führen Sie die folgenden Schritte aus:

  1. Klicken Sie in der Security Operations-Konsole auf Marketplace >. Anwendungsfälle.
  2. Öffnen Sie das Dialogfeld Nach Kategorien filtern, indem Sie auf das Filtersymbol klicken.
  3. Geben Sie im Dialogfeld Nach Kategorien filtern den Wert SCC Enterprise ein. Die finden Sie im Bereich Anwendungsfälle.

  4. In der Beschreibung von SCC Enterprise – Cloud Orchestration und Abhilfe, suchen Sie nach einem Datum.

    • Wenn das Datum vor dem 10. Juli 2024 liegt oder wenn die Beschreibung kein Datum enthält, löschen Sie den Anwendungsfall. Das Neueste automatisch anstelle des gelöschten Anwendungsfalls angezeigt.

    • Wenn das Datum im SCC Enterprise – Cloud Anwendungsfall „Orchestrierung und Behebung“ ist der 10. Juli 2024 Bestätigen Sie, dass die Playbooks im aktuellen Anwendungsfall installiert werden. Führen Sie dazu die folgenden Schritte aus:

      1. Klicken Sie auf den Anwendungsfall, um den Installationsassistenten zu öffnen.
      2. Maximieren Sie die Playbooks-Kategorie und notieren Sie sich neue oder aktualisierte Playbooks.
      3. In der Antwort > Playbooks in der Security Operations Console suchen Sie nach dem neuen oder aktualisierten Playbook. Wenn Sie das neue oder Playbook aktualisiert haben, ist die Installation des Anwendungsfalls bereits abgeschlossen.

  5. Klicken Sie auf den Anwendungsfall SCC Enterprise – Anwendungsfall: Cloud Orchestration and Remediation im Installationsassistenten.

Konfigurationen aus dem neuen Anwendungsfall anwenden und validieren

Sie müssen überprüfen, ob die verschiedenen Funktionen, die in der aktuellen Anwendungsfall korrekt aktualisiert. Für bestimmte Funktionen müssen Sie die Aktualisierungen des neuen Anwendungsfalls manuell anwenden.

Integrationsversionen im Anwendungsfall validieren

Damit die Integrationen im Anwendungsfall auf dem neuesten Stand sind, führen Sie die folgenden Schritte aus:

  1. Rufen Sie in der Security Operations-Konsole Marketplace > auf. Integrationen.
  2. Wählen Sie im Feld Type (Typ) die Option All Integrations (Alle Integrationen) aus.
  3. Wählen Sie im Feld Status die Option Verfügbares Upgrade aus. Alle Integrationen, die ein Upgrade erfordern, werden angezeigt.
  4. Wenn du eine Integration upgraden möchtest, klicke auf das runde Upgrade-Symbol in der Integration und führen Sie den Upgrade-Assistenten aus. Security Command Center aktualisieren Enterprise-Integration ist erforderlich.

Synchronisierungsjob validieren

Nach der Installation der neuesten Anwendungsfallversion und der Validierung der Integrationsversionen prüfen, ob der Job SCC-Daten synchronisieren aktualisierte Parameter.

Führen Sie die folgenden Schritte aus, um den Synchronisierungsjob zu validieren:

  1. Gehen Sie in der Security Operations-Konsole zu Antwort > Jobplaner.
  2. Wählen Sie unter GoogleSecurityCommandCenter die Option SCC-Daten synchronisieren aus.

  3. Prüfen Sie im Abschnitt Parameters (Parameter) die Project ID und die Die Parameterwerte für Kontingentprojekt-ID sind identisch.

    Wenn die Werte identisch sind, ist der Job auf dem neuesten Stand. Du kannst fortfahren zum Aktualisieren der Fallansichts-Widgets.

    Wenn sich die Werte unterscheiden, fahren Sie mit dem folgenden Abschnitt fort.

Parameter des Synchronisierungsjobs aktualisieren

Wenn der Synchronisierungsjob während der Anwendungsfall aktualisieren, müssen Sie die Werte für die Projekt-ID und Kontingentprojekt-ID

So geben Sie die richtigen Parameterwerte an:

  1. Gehen Sie zu Einstellungen > SOAR-Einstellungen > Datenaufnahme. > Connectors.
  2. Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Dringend aus. Status-Connector für Ergebnisse.
  3. Kopieren Sie im Abschnitt Parameters (Parameter) den Wert von Quota Project ID (Kontingentprojekt-ID). .
  4. Klicken Sie auf Antwort > Jobplaner.
  5. Wählen Sie unter GoogleSecurityCommandCenter die Option SCC-Daten synchronisieren aus.
  6. Geben Sie im Abschnitt Parameters des Jobs Sync SCC Data (SCC-Daten synchronisieren) Folgendes ein: den kopierten Wert in den Feldern Projekt-ID und Kontingentprojekt-ID.
  7. Klicken Sie auf Speichern.

Fallansichts-Widgets aktualisieren

  1. Gehen Sie in der Security Operations-Konsole zu Settings > SOAR (Einstellungen > SOAR). Einstellungen > Falldaten > Ansichten.
  2. Wähle Standardmäßige Fallansicht aus.
  3. Wählen Sie den Tab Vordefiniert aus.
  4. Löschen Sie im Bereich Default Case View (Standardfallansicht) die folgenden Widgets:
    • Zusammenfassung des Ergebnisses (Fehlkonfiguration)
    • Zusammenfassung der Ergebnisse (Sicherheitslücken)
    • SCC – Ergebnisstatus
    • Nächste Schritte bei SCC
    • Ticketinformationen

  5. Ziehen Sie die Widgets vom Tab Vordefiniert in die Standardansicht für Anfragen. in der folgenden empfohlenen Reihenfolge:

    1. Zusammenfassung der Anfrage
    2. Angriffspfad zu schädlichen Kombinationen
    3. Ergebnisse
    4. KI-Prüfung/Zusammenfassung von Gemini
    5. Ergebniszusammenfassung
    6. SCC – Ergebnisstatus
    7. Betroffene Assets
    8. Betroffene AWS-Assets
    9. Ticketinformationen
    10. Ausstehende Aktionen
    11. Benachrichtigungen
    12. Entitätendiagramm
    13. Wichtige Felder der Entitäten
    14. Letzte Aktivität im Fall‑Repository
    15. Empfehlungen
    16. Statistiken

  6. Klicken Sie auf Ansicht speichern.

Widgets validieren

Überprüfen Sie Folgendes, um sicherzustellen, dass Sie die richtigen Informationen erhalten: Widgets die richtige Bedingung enthalten:

  • Angriffspfad für schädliche Kombinationen
  • Ergebnisse
  • Grafik zur Entität
  • KI-Untersuchung/Zusammenfassung für Gemini

So validieren Sie die Widgets:

  1. Gehen Sie in der Security Operations-Konsole zu Einstellungen >. SOAR-Einstellungen > Falldaten > Ansichten.
  2. Wähle Standardmäßige Fallansicht aus.
  3. Sowohl für das Widget Angriffspfad der toxischen Kombination als auch für das Widget Finden gilt Folgendes: Klicken Sie auf Einstellungen. Konfiguration.
  4. Unter Erweiterte Einstellungen im Bereich Bedingungen wird die Bedingung sollte so aussehen: [Case.Tags] () Toxic Combination. Falls nicht, aktualisieren Sie die Bedingung und klicken Sie auf Speichern.
  5. Für Entities Graph und AI Investigation/Gemini-Zusammenfassung klicken Sie auf Einstellungen Konfiguration.
  6. Unter Erweiterte Einstellungen im Bereich Bedingungen sollte so aussehen: [Case.Tags] !() Toxic Combination. Falls nicht, aktualisieren Sie die Bedingung und klicken Sie auf Speichern.

Gruppierungsregel für Benachrichtigungen erstellen

Erstellen Sie eine neue Benachrichtigung, um Updates auf die neueste Version des Anwendungsfalls zu unterstützen Gruppierungsregel.

So erstellen Sie eine Benachrichtigungsregel:

  1. Gehen Sie in der Security Operations-Konsole zu Einstellungen >. SOAR-Einstellungen > Erweitert > Benachrichtigungsgruppierung.
  2. Klicken Sie im Abschnitt Regeln auf add Hinzufügen: Die Das Fenster Gruppierungsregel hinzufügen wird geöffnet.
  3. Wählen Sie im Feld Kategorie die Option Datenquelle aus.
  4. Wählen Sie im Feld Datenquelle die Option SCCEnterprise aus.
  5. Wählen Sie im Feld Gruppieren nach die Option Quellgruppierungs-ID aus.
  6. Klicken Sie auf Erstellen.
  7. Klicken Sie auf der Seite Benachrichtigungsgruppierung auf Speichern.

Playbooks aktivieren

Um ein Playbook für die Verarbeitung von Sicherheitslücken und Fehlkonfigurationen zu ermöglichen, führen Sie die folgenden Schritte aus:

  1. Gehen Sie in der Security Operations-Konsole zu Antwort > Playbooks.

  2. Wählen Sie den Ordner Siemplify Use Cases aus.

    Wenn Sie das Ticketing-System nicht integriert haben, Statusergebnisse – allgemeines Playbook ist aktiviert.

    Wenn du Ticketsysteme eingebunden hast, führe die folgenden Schritte aus:

    1. Wählen Sie das Playbook Statusergebnisse – allgemein aus.
    2. Stellen Sie die Ein/Aus-Schaltfläche auf „Deaktivieren“.
    3. Klicken Sie auf Speichern.
    4. Wenn Sie Jira integriert haben, wählen Sie Statusergebnisse mit Jira aus. Playbook.
      1. Stellen Sie die Ein/Aus-Schaltfläche auf „Ein“, um das Playbook zu aktivieren.
      2. Klicken Sie auf Speichern.
    5. Wenn Sie ServiceNow integriert haben, wählen Sie die Option Statusergebnisse mit ServiceNow-Playbook lesen.
      1. Stellen Sie die Ein/Aus-Schaltfläche auf „Ein“, um das Playbook zu aktivieren.
      2. Klicken Sie auf Speichern.

Playbooks noch einmal ausführen

Um die neuen Playbooks auf vorhandene Benachrichtigungen anzuwenden, führen Sie die Playbooks noch einmal aus. Wird noch einmal ausgeführt werden in einem Playbook keine neuen Tickets für vorhandene Benachrichtigungen erstellt.

Führen Sie die folgenden Schritte aus, um ein Playbook noch einmal auszuführen:

  1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
  2. Wählen Sie einen offenen Fall aus.
  3. Wählen Sie in der Fallansicht eine Benachrichtigung aus, für die ein Playbook noch einmal ausgeführt werden soll.
  4. Klicken Sie auf dem Tab Playbooks neben dem Namen des Playbooks auf Playbook noch einmal ausführen

Connector aktualisieren

Beim Aktualisieren des Anwendungsfalls wird der Connector nicht automatisch aktualisiert. Um sicherzustellen, dass die Datenaufnahme nach der Aktualisierung des Anwendungsfalls wie erwartet funktioniert, aktualisieren Sie den Connector.

So aktualisieren Sie den Connector:

  1. Gehen Sie in der Security Operations-Konsole zu Settings > SOAR (Einstellungen > SOAR). Einstellungen > Datenaufnahme > Connectors.
  2. Wählen Sie unter SCCEnterprise SCC Enterprise – Urgent Posture Findings Connector
  3. Klicken Sie auf Im Cache gespeichert Aktualisieren.
  4. Stellen Sie die Ein/Aus-Schaltfläche auf „Ein“, um den Connector zu aktivieren.
  5. Klicken Sie auf Speichern.

Updatekonfiguration prüfen

Testen Sie die Connector und Job.

Connector testen

  1. Gehen Sie in der Security Operations-Konsole zu Einstellungen >. SOAR-Einstellungen > Datenaufnahme > Connectors.
  2. Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Dringend aus. Status-Connector für Ergebnisse.
  3. Rufen Sie den Tab Test auf.
  4. Klicken Sie auf Connector einmal ausführen. Wenn die Connector-Konfiguration korrekt ist, erscheint das Häkchen.

Job testen

  1. Gehen Sie in der Security Operations-Konsole zu Antwort > Jobplaner.
  2. Wählen Sie unter GoogleSecurityCommandCenter die Option SCC-Daten synchronisieren aus.
  3. Klicken Sie auf Jetzt ausführen. Wenn der Job wie erwartet funktioniert, lautet der Jobstatus Success.

Fehlerbehebung

  • Wenn im Widget Zusammenfassung der Ergebnisse der Abschnitt Nächste Schritte eines die Benachrichtigung falsch formatiert ist oder fehlt, führen Sie das Playbook noch einmal aus für eine Benachrichtigung für den betroffenen Fall.

  • Der Job SCC-Daten synchronisieren zeigt den folgenden Fehler an:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Warten Sie zehn Minuten und klicken Sie dann auf Run Now (Jetzt ausführen). Wenn der Fehler weiterhin auftritt, führen Sie führen Sie die folgenden Schritte aus:

    1. Löschen Sie im Abschnitt Parameter des Jobs die Organisations-ID. Parameterwert eingeben.
    2. Geben Sie den Parameterwert für die Organisations-ID ein.
    3. Klicken Sie auf Speichern.
    4. Klicken Sie auf Jetzt ausführen.