Actualiza el caso de uso empresarial

Ya está disponible la actualización del 9 de octubre de 2024 del caso de uso de SCC Enterprise: orquestación y solución de problemas en la nube. Actualiza el caso de uso lo antes posible.

Este caso de uso proporciona actualizaciones de las funciones de operaciones de seguridad del nivel Enterprise de Security Command Center. Para aplicar las actualizaciones, sigue los procedimientos que se indican en esta página.

El procedimiento de actualización incluye los siguientes pasos de alto nivel:

  1. Para preparar el sistema para la actualización, inhabilita un conector y borra ciertos libros de jugadas existentes.
  2. Instala la versión más reciente del caso de uso de SCC Enterprise: orquestación y solución de problemas en la nube.
  3. Valida la instalación y ejecuta los libros de jugadas actualizados.

Confirma que tienes los roles necesarios

Para completar este procedimiento, debes tener uno de los siguientes roles de SOC en la consola de Operaciones de seguridad:

  • Administrador
  • Administrador de vulnerabilidades
  • Administrador de amenazas

Para obtener más detalles sobre los roles de SOC en la consola de Security Operations y los permisos necesarios para los usuarios, consulta Controla el acceso a las funciones en la consola de Security Operations.

Prepara el sistema para la actualización

Antes de actualizar el caso de uso, debes inhabilitar el conector SCC Enterprise – Urgent Posture Findings y borrar los libros de jugadas que proporciona la versión actual del caso de uso.

Inhabilita el conector

Para evitar tener alertas sin guías adjuntas, inhabilita el conector SCC Enterprise – Urgent Posture Findings Connector antes de borrar las guías. Security Command Center transfiere los resultados recopilados mientras el conector está inhabilitado cuando lo actualizas y habilitas.

Para inhabilitar el conector, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
  2. En SCCEnterprise, selecciona SCC Enterprise: conector de Urgent Posture Findings.
  3. Mueve el interruptor para inhabilitar el conector.
  4. Haz clic en Guardar.

Borra guías

Para evitar la duplicación de las guías de acción, borra las guías de acción predeterminadas que usas en la versión actual de tu caso de uso. Borrar los libros de jugadas antes de actualizar el caso de uso no tiene ningún impacto en la administración de casos.

Para borrar las guías predeterminadas, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Respuesta > Guías de respuesta. El filtro desplegable está configurado de forma predeterminada en Mostrar todo.

  2. Selecciona la carpeta Casos de uso de Siemplify. Esta carpeta contiene los siguientes libros de jugadas predeterminados:

    • Guía de respuesta a amenazas de AWS
    • Guía de respuesta a amenazas de GCP
    • Respuesta del recomendador de IAM
    • Resultados de la postura: genéricos
    • Resultados de la postura: Genérico: VM Manager
    • Resultados de la postura con Jira
    • Resultados de la postura con ServiceNow
    • Google Cloud: Ejecución: Criptominería
    • Google Cloud: Ejecución: Se cargó o ejecutó un objeto binario o una biblioteca
    • Google Cloud: Ejecución: Secuencia de comandos de URL o proceso de shell malicioso
    • Google Cloud: Persistencia: Comportamiento sospechoso
    • Google Cloud: Persistencia: IAM Anomalous Grant
    • Postura: Guía de combinación tóxica
    • Versión preliminar: Guía de respuesta a amenazas de Azure

  3. En la navegación de la página Playbooks, haz clic en Editar para seleccionar varios elementos.

  4. Junto a Simplificar casos de uso, haz clic en done_all Seleccionar todo para seleccionar todos los playbooks y bloques de la carpeta.

  5. En la navegación de la página Guías de planificación, haz clic en el menú lista > Eliminar. Aparecerá una ventana en la que deberás confirmar o cancelar la eliminación de los playbooks seleccionados.

  6. Haz clic en Confirmar.

    Ahora puedes actualizar la versión de tu caso de uso.

Instala el caso de uso de Security Command Center Enterprise

Para instalar la versión más reciente del caso de uso de SCC Enterprise en la versión más reciente y verificar que todas las integraciones proporcionadas en el caso de uso estén actualizadas.

Instala el caso de uso más reciente

Para instalar la versión más reciente del caso de uso de SCC Enterprise: orquestación y solución de problemas en la nube, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Marketplace > Case Studies.
  2. Haz clic en el ícono de filtro, , para abrir el diálogo Filtrar por categorías.
  3. En el diálogo Filtrar por categorías, escribe SCC Enterprise. El caso de uso aparece en la sección Casos de uso.

  4. En la descripción del caso de uso de SCC Enterprise: orquestación y solución de problemas en la nube, busca una fecha.

    • Si la fecha es anterior al 10 de julio de 2024 o no hay una fecha en la descripción, borra el caso de uso. El caso de uso más reciente aparece automáticamente en lugar del caso de uso borrado.

    • Si la fecha del caso de uso de SCC Enterprise: orquestación y remediación en la nube es el 10 de julio de 2024 o una fecha posterior, completa los siguientes pasos para confirmar que las guías de referencia del caso de uso más reciente estén instaladas:

      1. Haz clic en el caso de uso para abrir el asistente de instalación.
      2. Expande la categoría de guías y toma nota de las guías nuevas o actualizadas.
      3. En la página Response > Playbooks de la consola de Security Operations, busca la guía de respuesta nueva o actualizada. Si encuentras la guía de prácticas nueva o actualizada, significa que la instalación del caso de uso ya se completó.

  5. Para completar la instalación del caso de uso, haz clic en el caso de uso SCC Enterprise: orquestación y solución de problemas en la nube y sigue las instrucciones del asistente de instalación.

Aplica y valida las configuraciones del nuevo caso de uso

Debes validar que las diversas funciones que se incluyen en el caso de uso más reciente se hayan actualizado correctamente. Para ciertas funciones, debes aplicar las actualizaciones del caso de uso nuevo de forma manual.

Valida las versiones de integración en el caso de uso

Las nuevas versiones de las integraciones incluidas en el caso de uso están disponibles cada semana. Actualiza las integraciones a sus versiones más recientes lo antes posible.

Las nuevas versiones de las integraciones presentan actualizaciones que incluyen, sin limitaciones, correcciones de problemas, widgets y acciones nuevos, cambios en widgets y acciones existentes, mejoras en el manejo de alertas y mejoras en la lógica de procesamiento de detección y la asignación de flujos de trabajo.

Para aplicar las actualizaciones de las integraciones, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Marketplace > Integraciones.
  2. En el campo Tipo, selecciona Todas las integraciones.
  3. En el campo Estado, selecciona Actualización disponible. Se muestran todas las integraciones que requieren una actualización.
  4. Para actualizar una integración, haz clic en Actualizar a la versión VERSION en la tarjeta de integración.
  5. Si aparece el diálogo Actualizando INTEGRATION, haz clic en Confirmar.
  6. Si aparece el diálogo Confirmation, haz clic en Approve.
  7. En el cuadro de diálogo Confirm Overwrite Mapping, selecciona la siguiente opción: Install the new ontology configuration and override the existing one y, luego, haz clic en Confirm.

Es necesario actualizar la integración de SCC Enterprise e instalar la nueva configuración de la ontología para todas las integraciones actualizadas.

Configura la integración de Cloud Storage

Para solucionar los hallazgos de las ACL de bucket públicos, la actualización del 9 de octubre de 2024 del caso de uso de SCC Enterprise: orquestación y solución de problemas en la nube presenta una integración adicional, la integración de Cloud Storage.

Para permitir que los playbooks enriquezcan y corrijan el tipo de hallazgo PUBLIC BUCKET ACL, completa los siguientes pasos para configurar la integración de Cloud Storage:

  1. Configura los parámetros de integración.
  2. Habilita la remediación de bucket públicos para las guías.
Configura los parámetros de integración

Para configurar los parámetros de integración de Cloud Storage, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Marketplace > Integraciones.
  2. En el campo Buscar, ingresa Storage. Aparecerá la tarjeta de integración de Cloud Storage.
  3. En la tarjeta de integración, haz clic en Configurar. Se abrirá el cuadro de diálogo de configuración.
  4. Configura los parámetros Workload Identity Email, Project ID y Quota Project ID. Puedes copiar los valores de los parámetros de cualquier otra integración de Google Cloud, como la integración de Cloud Asset Inventory.
  5. Haz clic en Guardar.
  6. Haz clic en Probar para probar la configuración.
Habilita la remediación de bucket públicos para las guías

Para habilitar la remediación de bucket público para las guías de acción de los resultados de la postura, consulta Habilita la remediación de bucket público.

Actualiza los widgets de la vista de caso

  1. En la consola de Security Operations, ve a Configuración > Configuración de SOAR > Datos de casos > Vistas.
  2. Selecciona Vista de caso predeterminada.
  3. Selecciona la pestaña Predefinidos.

  4. Arrastra los widgets de la pestaña Predefinidos a la Vista de caso predeterminada en el siguiente orden recomendado:

    1. Resumen del caso
    2. Ruta de ataque de combinación tóxica
    3. Resultados
    4. Resumen de la investigación de IA o Gemini
    5. Resumen de resultados
    6. SCC: Estado de los hallazgos
    7. Recursos afectados
    8. Información del boleto
    9. Acciones pendientes
    10. Gráfico de entidades
    11. Lo más destacado de las entidades

  5. Haz clic en Guardar vista.

Cómo validar widgets

Para asegurarte de obtener la información correcta, valida que los siguientes widgets contengan la condición correcta:

  • Ruta de ataque de combinación tóxica
  • Cómo encontrar
  • Gráfico de entidades
  • Resumen de la investigación de IA o Gemini
  • Resumen de resultados
  • Recursos afectados
  • SCC: Estado de los resultados
  • Recursos afectados
  • Recursos de AWS afectados

Para validar los widgets, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Configuración > Configuración de SOAR > Datos de casos > Vistas.

  2. Selecciona Vista de caso predeterminada.

  3. En los widgets Ruta de ataque de combinación tóxica y Resultado, haz clic en Configuración Configuración.

    En Configuración avanzada, en la sección Condiciones, la condición debería ser la siguiente: [Case.Tags] () Toxic Combination. De lo contrario, actualiza la condición y, luego, haz clic en Guardar.

  4. En los widgets Entities Graph y AI Investigation/Gemini Summary, haz clic en Configuración Configuración.

    En Configuración avanzada, en la sección Condiciones, la condición debe ser la siguiente: [Case.Tags] !() Toxic Combination. De lo contrario, actualiza la condición y, luego, haz clic en Guardar.

  5. En el widget Finding Summary, haz clic en ConfiguraciónConfiguración.

    En Configuración avanzada, en la sección Condiciones, las condiciones deben ser las siguientes:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    De lo contrario, actualiza las condiciones y, luego, haz clic en Guardar.

  6. En el widget Recursos afectados, haz clic en Configuración Configuración.

    En Configuración avanzada, en la sección Condiciones, la condición debe ser la siguiente: [Case.Tags] () Toxic Combination. De lo contrario, actualiza la condición y, luego, haz clic en Guardar.

  7. En el widget SCC – Finding State, haz clic en Borrar. Cuando se abra el diálogo de confirmación, haz clic en .

    Para instalar el widget SCC – Finding State configurado para la versión más reciente del caso de uso, arrastra el widget SCC – Finding State de la pestaña Predefined a la Default Case View.

  8. En el widget Recursos afectados, haz clic en Borrar. Cuando se abra el diálogo de confirmación, haz clic en .

    Para instalar el widget Impacted Assets configurado para la versión más reciente del caso de uso, arrastra el widget Impacted Assets de la pestaña Predefined a la Default Case View.

  9. En el widget Impacted AWS Assets, haz clic en Borrar. Cuando se abra el diálogo de confirmación, haz clic en .

  10. Haz clic en Guardar vista.

Habilitar guías

Para habilitar las guías para procesar vulnerabilidades y parámetros de configuración incorrectos, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Respuesta > Guías de respuesta.

  2. Selecciona la carpeta Casos de uso de Siemplify.

    Si no realizaste la integración con los sistemas de tickets, asegúrate de que la opción Posture Findings – Generic esté habilitada. Habilita la guía de Resultados de la postura: Genérico: VM Manager de forma opcional.

    Si realizaste la integración con sistemas de venta de entradas, completa los siguientes pasos:

    1. Selecciona la guía de Hallazgos de postura: genérico.
    2. Mueve el botón de activación para inhabilitarlo.
    3. Haz clic en Guardar.
    4. Selecciona la guía de Resultados de la postura: Genérico: Administrador de VM.
    5. Mueve el botón de activación para inhabilitarlo.
    6. Haz clic en Guardar.
    7. Si realizaste la integración con Jira, selecciona la guía Posture Findings With Jira.
      1. Activa el botón de activación para habilitar la guía.
      2. Haz clic en Guardar.
    8. Si realizaste la integración con ServiceNow, selecciona la guía de Resultados de la postura con ServiceNow.
      1. Activa el botón de activación para habilitar la guía.
      2. Haz clic en Guardar.

Actualizar conectores

La actualización del caso de uso no actualiza los conectores existentes automáticamente. Para asegurarte de que la transferencia de datos funcione como se espera después de la actualización del caso de uso, actualiza los conectores SCC Enterprise: Conector de resultados de postura urgente y Google Chronicle: Conector de alertas de Chronicle.

Para actualizar el conector SCC Enterprise – Urgent Posture Findings Connector, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
  2. En SCCEnterprise, selecciona SCC Enterprise: Conector de Urgent Posture Findings. Se abrirá la página de configuración de parámetros del conector.
  3. Haz clic en almacenada en caché Actualizar.
  4. Establece el parámetro Run Every en 1 minuto.
  5. Activa el interruptor para habilitar el conector.
  6. Haz clic en Guardar.

Para actualizar el conector Google Chronicle – Chronicle Alerts Connector, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
  2. En GoogleChronicle, selecciona Google Chronicle: Conector de alertas de Chronicle. Se abrirá la página de configuración de los parámetros del conector.
  3. Haz clic en almacenada en caché Actualizar.
  4. Establece el parámetro Run Every en 1 minuto.
  5. En el campo del parámetro Product Field Name, ingresa SCCE.
  6. Activa el interruptor para habilitar el conector.
  7. Haz clic en Guardar.

Verifica la configuración de actualización

Para asegurarte de que todos los componentes del caso de uso se actualicen correctamente, prueba el conector y el trabajo.

Prueba el conector

  1. En la consola de Security Operations, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
  2. En SCCEnterprise, selecciona SCC Enterprise: conector de Urgent Posture Findings.
  3. Ve a la pestaña Pruebas.
  4. Haz clic en Ejecutar el conector una vez. Si la configuración del conector es correcta, aparecerá la marca de verificación.

Prueba el trabajo

  1. En la consola de Security Operations, ve a Respuesta > Programador de tareas.
  2. En GoogleSecurityCommandCenter, selecciona Sync SCC Data.
  3. Haz clic en Ejecutar ahora. Si la tarea funciona como se espera, su estado es Success.

Soluciona problemas

  • El trabajo Sync SCC Data muestra el siguiente error:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Espera diez minutos y haz clic en Run Now. Si el error persiste, completa los siguientes pasos:

    1. En la sección Parámetros del trabajo, borra el valor del parámetro ID de la organización.
    2. Ingresa el valor del parámetro Organization ID.
    3. Haz clic en Guardar.
    4. Haz clic en Ejecutar ahora.

  • El trabajo Sync SCC Data muestra un error de autenticación cuando no se pudo actualizar automáticamente durante la actualización del caso de uso. Para solucionar el problema de la tarea de sincronización, ingresa manualmente los valores de los parámetros Project ID y Quota Project ID.

    Para especificar los valores de parámetros correctos, sigue estos pasos:

    1. Ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
    2. En SCCEnterprise, selecciona SCC Enterprise: conector de Urgent Posture Findings.
    3. En la sección Parameters, copia el valor del parámetro Quota Project ID.
    4. Ve a Response > Job Scheduler.
    5. En SCCEnterprise, selecciona Sync SCC Data.
    6. En la sección Parameters de la tarea Sync SCC Data, ingresa el valor copiado en los campos Project ID y Quota Project ID.
    7. Haz clic en Guardar.

  • Después de la actualización del caso de uso, los nuevos libros de jugadas no se aplican a las alertas existentes.

    Para aplicar las nuevas guías a las alertas existentes y volver a renderizar el widget Alert, cierra un caso y espera a que el conector vuelva a transferir las alertas con las guías nuevas adjuntas.