Mettre à jour le cas d'utilisation Enterprise

La mise à jour du 4 septembre 2024 du cas d'utilisation SCC Enterprise – Orchestration et correction dans le cloud est désormais disponible. Mettre à jour le cas d'utilisation dès que possible.

Ce cas d'utilisation met à jour les fonctionnalités d'opérations de sécurité du Niveau professionnel de Security Command Center. Pour appliquer les mises à jour, suivez les procédures décrites sur cette page.

La procédure de mise à jour comprend les étapes générales suivantes :

  1. Préparez le système à la mise à jour en désactivant un connecteur et en supprimant certains playbooks existants.
  2. Installez la dernière version de SCC Enterprise – Cloud d'orchestration et de remédiation.
  3. Validez l'installation et exécutez les playbooks mis à jour.

Confirmer que vous disposez des rôles requis

Pour terminer cette procédure, vous devez disposer de l'un des dans la console Opérations de sécurité:

  • Administrateur
  • Gestionnaire des failles
  • Gestionnaire des menaces

Pour en savoir plus sur les rôles du SOC dans la console Security Operations et les autorisations requises pour les utilisateurs, consultez la section Contrôler l'accès aux fonctionnalités de la console Security Operations.

Préparer le système à la mise à jour

Avant de mettre à jour le cas d'utilisation, vous devez désactiver le connecteur SCC Enterprise – Urgent Posture Findings et supprimer les playbooks fournis par la version actuelle du cas d'utilisation.

Désactiver le connecteur

Pour éviter d'avoir des alertes sans playbooks associés, désactivez le connecteur SCC Enterprise – Urgent Posture Findings Connector avant de supprimer les playbooks. Security Command Center ingère les résultats collectés lorsque le connecteur est désactivé lorsque vous le mettez à jour et l'activez.

Pour désactiver le connecteur, procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à Paramètres > Paramètres SOAR. > Ingestion > Connecteurs.
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Posture Findings Connector (SCC Enterprise – Connecteur Urgent Posture Findings).
  3. Désactivez le connecteur.
  4. Cliquez sur Enregistrer.

Supprimer les playbooks

Pour éviter la duplication de playbooks, supprimez les playbooks par défaut que vous utilisez dans la version actuelle de votre cas d'utilisation. Suppression des playbooks avant le la mise à niveau du cas d'utilisation n'a aucune incidence sur la gestion des cas.

Pour supprimer les playbooks par défaut, procédez comme suit :

  1. Dans la console Security Operations, accédez à Réponse > Playbooks. Par défaut, le filtre déroulant est défini sur Tout afficher.

  2. Sélectionnez le dossier Siemplify Use Cases (Cas d'utilisation de Siemplify). Ce dossier contient les playbooks par défaut suivants :

    • Playbook AWS Threat Response
    • Playbook de réponse aux menaces dans GCP
    • Réponse de l'outil de recommandation IAM
    • Observations sur la posture - Générique
    • Résultats de la stratégie – Générique – VM Manager
    • Conclusions de la posture avec Jira
    • Résultats de l'évaluation de la posture avec ServiceNow
    • Google Cloud : exécution - Cryptomining
    • Google Cloud - Execution – Binary or Library Loaded executed
    • Google Cloud - Execution – Malicious URL Script or Shell Procedure
    • Google Cloud – Persistence – Suspicious Behaviour
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Posture – Playbook sur les combinaisons toxiques
    • Preview – Playbook Azure Threat Response

  3. Dans la navigation sur les pages Playbooks, cliquez sur Appuyez sur Modifier pour sélectionner plusieurs éléments.

  4. À côté de Siemplify Use Cases (Simplifier les cas d'utilisation), cliquez sur done_all (Tout sélectionner) pour sélectionner tous les playbooks et les blocs du dossier.

  5. Dans la navigation sur les pages Playbooks, cliquez sur Menu liste > Supprimer. Dans la fenêtre qui s'affiche, vous devez confirmer ou annuler la suppression des playbooks sélectionnés.

  6. Cliquez sur Confirmer.

    Vous pouvez maintenant mettre à jour la version de votre cas d'utilisation.

Installer le cas d'utilisation Security Command Center Enterprise

Pour installer la dernière version du cas d'utilisation SCC Enterprise et vérifier que toutes les intégrations fournies dans le cas d'utilisation sont à jour.

Installer le dernier cas d'utilisation

Pour installer la dernière version de SCC Enterprise – Cloud d'orchestration et de remédiation, procédez comme suit:

  1. Dans la console Security Operations, accédez à Marketplace > Cas d'utilisation.
  2. Ouvrez la boîte de dialogue Filtrer par catégorie en cliquant sur l'icône Filtre,
  3. Dans la boîte de dialogue Filtrer par catégorie, saisissez SCC Enterprise. La cas d'utilisation apparaît dans la section Cas d'utilisation.

  4. Dans la description du cas d'utilisation SCC Enterprise : orchestration et correction dans le cloud, recherchez une date.

    • si la date est antérieure au 10 juillet 2024 ; ou la description ne contient pas de date, supprimez le cas d'utilisation. Le dernier cas d'utilisation apparaît automatiquement à la place du cas d'utilisation supprimé.

    • Si la date du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation est le 10 juillet 2024 ou une date ultérieure, vérifiez que les playbooks du dernier cas d'utilisation sont installés en procédant comme suit :

      1. Cliquez sur le cas d'utilisation pour ouvrir l'assistant d'installation.
      2. Développez la catégorie "Playbooks" et notez les playbooks nouveaux ou mis à jour.
      3. Sur la page Réponse > Playbooks de la console Security Operations recherchez le nouveau playbook ou celui mis à jour. Si vous trouvez le playbook nouveau ou mis à jour, l'installation du cas d'utilisation est déjà terminée.

  5. Pour terminer l'installation du cas d'utilisation, cliquez sur le lien SCC Enterprise – cas d'utilisation Cloud Orchestration et remédiation, et suivez les de l'assistant d'installation.

Appliquer et valider les configurations du nouveau cas d'utilisation

Vous devez vérifier que les différentes fonctionnalités incluses dans le dernier cas d'utilisation sont correctement mises à jour. Pour certaines fonctionnalités, vous devez appliquer manuellement les mises à jour d'un nouveau cas d'utilisation.

Valider les versions d'intégration dans le cas d'utilisation

Les nouvelles versions des intégrations incluses dans le cas d'utilisation sont disponibles semaine. Mettez à jour les intégrations vers leurs dernières versions dès que possible.

Les nouvelles versions des intégrations introduisent des mises à jour, y compris, mais sans s'y limiter, corrections de problèmes, nouveaux widgets et nouvelles actions, modifications apportées aux widgets et actions existants, Améliorations apportées à la gestion des alertes et à la logique de traitement de la détection et la mise en correspondance des workflows.

Pour appliquer les mises à jour aux intégrations, procédez comme suit:

  1. Dans la console Security Operations, accédez à Marketplace > Integrations (Place de marché > Intégrations).
  2. Dans le champ Type, sélectionnez Toutes les intégrations.
  3. Dans le champ État, sélectionnez Mise à niveau disponible. Toutes les les intégrations nécessitant une mise à niveau sont affichées.
  4. Pour mettre à niveau une intégration, cliquez sur Mettre à niveau vers la version VERSION dans la fiche de l'intégration.
  5. Si la boîte de dialogue Mettre à jour INTEGRATION s'affiche, cliquez sur Confirmer.
  6. Si la boîte de dialogue Confirmation s'affiche, cliquez sur Approuver.
  7. Dans la boîte de dialogue Confirmer le remplacement du mappage, sélectionnez l'option suivante : Installer la nouvelle configuration de l'ontologie et remplacer l'existante, puis cliquez sur Confirmer.

Mise à niveau de l'intégration SCC Enterprise et installation de la nouvelle ontologie est requise pour toutes les intégrations mises à niveau.

Configurer l'intégration de Cloud Storage

Pour corriger les résultats des LCA de bucket publics, la mise à jour du 4 septembre 2024 du cas d'utilisation SCC Enterprise : orchestration et correction dans le cloud introduit une intégration supplémentaire, l'intégration Cloud Storage.

Pour que les playbooks puissent enrichir et corriger le type de résultat PUBLIC BUCKET ACL, configurer l'intégration de Cloud Storage en procédant comme suit : étapes:

  1. Configurez les paramètres d'intégration.
  2. Activez la correction des buckets publics pour les playbooks.
Configurer les paramètres d'intégration

Pour configurer les paramètres d'intégration de Cloud Storage, suivez les en suivant les étapes ci-dessous:

  1. Dans la console Security Operations, accédez à Marketplace > Intégrations.
  2. Dans le champ Rechercher, saisissez Storage. L'API Cloud Storage s'affiche.
  3. Sur la fiche d'intégration, cliquez sur Configurer. La boîte de dialogue de configuration s'ouvre.
  4. Configurez l'adresse e-mail Workload Identity, l'ID du projet et Paramètres d'ID du projet de quota. Vous pouvez copier les valeurs de paramètre à partir de n'importe quelle autre intégration Google Cloud, telle que l'intégration de Cloud Asset Inventory.
  5. Cliquez sur Enregistrer.
  6. Cliquez sur Tester pour tester la configuration.
Activer la correction des buckets publics pour les playbooks

Pour activer la correction du bucket public pour les playbooks sur les résultats de stratégie, consultez Activer le bucket public correction.

Mettre à jour les widgets d'affichage de la demande

  1. Dans la console Opérations de sécurité, accédez à Paramètres > SOAR. Paramètres > Données de cas > Vues.
  2. Sélectionnez Vue des demandes par défaut.
  3. Sélectionnez l'onglet Prédéfini.

  4. Faites glisser les widgets de l'onglet Prédéfini vers la Vue par défaut de la demande. dans l'ordre recommandé suivant:

    1. Résumé du cas
    2. Chemin d'attaque de la combinaison toxique
    3. Résultats
    4. Investigation IA/Résumé Gemini
    5. Récapitulatif des résultats
    6. SCC – Finding State
    7. Éléments concernés
    8. Informations sur le billet
    9. Actions en attente
    10. Graphique des entités
    11. Champs des entités mis en avant

  5. Cliquez sur Enregistrer la vue.

Valider les widgets

Pour vous assurer d'obtenir les informations correctes, vérifiez que les éléments suivants les widgets contiennent l'état correct:

  • Chemin d'attaque de la combinaison toxique
  • Recherche
  • Graphique des entités
  • Résumé de l'enquête sur l'IA/Gemini
  • Résumé des résultats
  • SCC – Finding State
  • Éléments concernés
  • Éléments AWS concernés

Pour valider les widgets, procédez comme suit :

  1. Dans la console Security Operations, accédez à Settings > SOAR Settings > Case Data > Views (Paramètres > Paramètres SOAR > Données de demande > Vues).

  2. Sélectionnez Vue des demandes par défaut.

  3. Pour les widgets Chemin d'attaque de la combinaison toxique et Recherche, cliquez sur Paramètres > Configuration.

    Sous Paramètres avancés, dans la section Conditions, la condition doit être la suivante : [Case.Tags] () Toxic Combination. Si ce n'est pas le cas, modifiez la condition, puis cliquez sur Enregistrer.

  4. Pour les widgets Graphique des entités et Enquête AI/Récapitulatif Gemini, cliquez sur Paramètres > Configuration.

    Sous Paramètres avancés, dans la section Conditions, doit être la suivante: [Case.Tags] !() Toxic Combination. Si ce n'est pas le cas, mettez à jour la condition, puis cliquez sur Enregistrer.

  5. Pour le widget Récapitulatif des résultats, cliquez sur settingsConfiguration.

    Sous Paramètres avancés, dans la section Conditions, les conditions doivent être les suivantes :

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    Si ce n'est pas le cas, modifiez les conditions et cliquez sur Enregistrer.

  6. Pour le widget SCC – Finding State, cliquez sur Supprimer. Lorsque la boîte de dialogue de confirmation s'ouvre, cliquez sur Oui.

    Pour installer le widget SCC – Finding State, configuré pour la dernière version pour le cas d'utilisation, faites glisser le widget SCC – Finding State Prédéfini dans la Vue par défaut de la demande.

  7. Pour le widget Éléments concernés, cliquez sur Supprimer. Lorsque s'ouvre, cliquez sur Oui.

    Pour installer le widget Éléments concernés configuré pour la dernière pour le cas d'utilisation, faites glisser le widget Éléments concernés Prédéfini dans la Vue par défaut de la demande.

  8. Pour le widget Éléments AWS concernés, cliquez sur Supprimer. Lorsque s'ouvre, cliquez sur Oui.

  9. Cliquez sur Enregistrer la vue.

Activer les playbooks

Pour activer les playbooks afin de traiter les failles et les erreurs de configuration, procédez comme suit :

  1. Dans la console Security Operations, accédez à Réponse > Playbooks.

  2. Sélectionnez le dossier Siemplify Use Cases (Cas d'utilisation de Siemplify).

    Si vous n'avez pas intégré de systèmes de gestion des tickets, assurez-vous que l'option Posture Findings – Generic (Résultats de l'analyse de la posture - générique) est activée. L'activation du playbook Résultats de l'analyse de la posture - Générique - VM Manager est facultative.

    Si vous avez intégré des systèmes de billetterie, procédez comme suit :

    1. Sélectionnez le playbook Posture Findings – Generic (Résultats de la posture – Générique).
    2. Appuyez sur le bouton pour la désactiver.
    3. Cliquez sur Enregistrer.
    4. Sélectionnez le playbook Posture Findings – Generic – VM Manager (Résultats de l'évaluation de la posture - Générique - Gestionnaire de VM).
    5. Appuyez sur le bouton pour la désactiver.
    6. Cliquez sur Enregistrer.
    7. Si vous avez intégré Jira, sélectionnez Posture Findings With Jira (Résultats de la stratégie avec Jira) playbook.
      1. Activez le bouton bascule pour activer le playbook.
      2. Cliquez sur Enregistrer.
    8. Si vous avez effectué l'intégration avec ServiceNow, sélectionnez le playbook Résultats de l'analyse de la posture avec ServiceNow.
      1. Appuyez sur le bouton pour activer le playbook.
      2. Cliquez sur Enregistrer.

Mettre à jour les connecteurs

La mise à jour du cas d'utilisation ne met pas automatiquement à jour les connecteurs existants. Pour vous assurer que l'ingestion de données fonctionne comme prévu après la mise à jour du cas d'utilisation, mettez à jour les connecteurs SCC Enterprise – Urgent Posture Findings Connector (Connecteur SCC Enterprise – Résultats de la posture urgente) et Google Chronicle – Chronicle Alerts Connector (Connecteur Google Chronicle – Connecteur Chronicle Alerts).

Pour mettre à jour le connecteur SCC Enterprise – Urgent Posture Findings Connector, procédez comme suit :

  1. Dans la console Opérations de sécurité, accédez à Paramètres > SOAR. Paramètres > Ingestion > Connecteurs.
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Posture Findings Connector (SCC Enterprise – Connecteur pour les résultats urgents sur la posture). La page de configuration des paramètres du connecteur s'ouvre.
  3. Cliquez sur Mettre à jour en cache.
  4. Définissez le paramètre Exécuter toutes les sur 1 minute.
  5. Activez le bouton bascule pour activer le connecteur.
  6. Cliquez sur Enregistrer.

Pour mettre à jour le connecteur d'alertes Google Chronicle, , procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à Paramètres > SOAR. Paramètres > Ingestion > Connecteurs.
  2. Sous GoogleChronicle, sélectionnez Google Chronicle – Alertes Chronicle Connecteur. La page de configuration des paramètres du connecteur s'ouvre.
  3. Cliquez sur Mettre à jour en cache.
  4. Définissez le paramètre Exécuter toutes les sur 1 minute.
  5. Dans le champ de paramètre Product Field Name (Nom du champ de produit), saisissez SCCE.
  6. Activez le bouton bascule pour activer le connecteur.
  7. Cliquez sur Enregistrer.

Vérifier la configuration de la mise à jour

Pour vous assurer que tous les composants des cas d'utilisation sont correctement mis à jour, testez le connecteur et le job.

Tester le connecteur

  1. Dans la console Security Operations, accédez à Settings > SOAR Settings > Ingestion > Connectors (Paramètres > Paramètres SOAR > Ingestion > Connecteurs).
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Connecteur de résultats de stratégie.
  3. Accédez à l'onglet Test.
  4. Cliquez sur Exécuter le connecteur une fois. Si la configuration du connecteur est correcte, la coche s'affiche.

Tester le job

  1. Dans la console Security Operations, accédez à Réponse > Planificateur de tâches.
  2. Sous GoogleSecurityCommandCenter, sélectionnez Sync SCC Data (Synchroniser les données SCC).
  3. Cliquez sur Exécuter maintenant. Si la tâche fonctionne comme prévu, son état est Success.

Dépannage

  • La tâche Sync SCC Data (Synchroniser les données SCC) affiche l'erreur suivante:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Patientez dix minutes, puis cliquez sur Exécuter maintenant. Si l'erreur persiste, procédez comme suit :

    1. Dans la section Paramètres de la tâche, supprimez l'ID de l'organisation. .
    2. Saisissez la valeur du paramètre ID de l'organisation.
    3. Cliquez sur Enregistrer.
    4. Cliquez sur Exécuter maintenant.

  • La tâche Sync SCC Data (Synchroniser les données du SCC) affiche une erreur d'authentification lorsqu'elle ne parvient pas à se mettre à jour automatiquement lors de la mise à jour du cas d'utilisation. Pour résoudre le problème de tâche de synchronisation, saisissez manuellement les valeurs des paramètres ID de projet et ID de projet de quota.

    Pour spécifier les valeurs de paramètre correctes, procédez comme suit:

    1. Accédez à Settings > SOAR Settings > Ingestion > Connectors (Paramètres > Paramètres SOAR > Ingestion > Connecteurs).
    2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Posture Findings Connector (SCC Enterprise – Connecteur pour les résultats urgents sur la posture).
    3. Dans la section Paramètres, copiez la valeur du paramètre ID de projet de quota.
    4. Accédez à Réponse > Planificateur de tâches.
    5. Sous SCCEnterprise, sélectionnez Sync SCC Data (Synchroniser les données SCC).
    6. Dans la section Paramètres du job Synchroniser les données SCC, saisissez la valeur copiée dans les champs ID du projet et ID du projet de quota.
    7. Cliquez sur Enregistrer.

  • Après la mise à jour du cas d'utilisation, les nouveaux playbooks ne s'appliqueront plus aux alertes existantes.

    Pour appliquer les nouveaux playbooks aux alertes existantes et afficher à nouveau le widget Alerte, fermez une demande et attendez que le connecteur ingère à nouveau les alertes avec les nouveaux playbooks associés.