Update SCC Enterprise – Cloud Orchestration pada 15 Agustus 2024 dan Perbaikan kini tersedia. Memperbarui kasus penggunaan sesegera mungkin.
Kasus penggunaan ini menyediakan update pada fitur operasi keamanan Security Command Center tingkat perusahaan. Untuk menerapkan pembaruan, ikuti prosedur di halaman ini.
Prosedur update mencakup langkah-langkah tingkat tinggi berikut:
- Menyiapkan sistem untuk update dengan menonaktifkan konektor dan menghapus playbook tertentu yang sudah ada.
- Instal SCC Enterprise – Cloud versi terbaru Kasus penggunaan Orkestrasi dan Remediasi.
- Validasi penginstalan dan jalankan playbook yang diperbarui.
Konfirmasi bahwa Anda memiliki peran yang diperlukan
Untuk menyelesaikan prosedur ini, Anda harus diberi salah satu SOC berikut peran di konsol Security Operations:
- Administrator
- Pengelola Kerentanan
- Pengelola Ancaman
Untuk detail selengkapnya tentang peran SOC di konsol Security Operations, izin akses yang diperlukan untuk pengguna, lihat Kontrol akses ke fitur di konsol Security Operations.
Menyiapkan sistem untuk update
Sebelum memperbarui kasus penggunaan, Anda perlu menonaktifkan SCC Enterprise – Konektor Temuan Postur Mendesak dan menghapus playbook yang disediakan oleh versi kasus penggunaan saat ini.
Menonaktifkan konektor
Agar tidak muncul pemberitahuan tanpa lampiran playbook, nonaktifkan Konektor SCC Enterprise – Konektor Temuan Postur Mendesak sebelum menghapus playbook. Security Command Center menyerap temuan yang dikumpulkan saat konektor dinonaktifkan jika Anda mengupdate dan mengaktifkan konektor.
Untuk menonaktifkan konektor, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Settings > SOAR Settings > Penyerapan > Konektor.
- Di bagian SCCEnterprise, pilih SCC Enterprise – Urgent Konektor Temuan Postur.
- Alihkan tombol untuk menonaktifkan konektor.
- Klik Simpan.
Hapus playbook
Untuk menghindari duplikasi playbook, hapus playbook default yang Anda gunakan dalam versi kasus penggunaan Anda saat ini. Menghapus playbook sebelum mengupgrade kasus penggunaan tidak berdampak pada pengelolaan kasus.
Untuk menghapus playbook default, selesaikan langkah-langkah berikut:
Di konsol Security Operations, buka Response > Playbook. Filter drop-down disetel ke Tampilkan Semua secara default.
Pilih folder Siemplify Use Cases. Folder ini berisi hal berikut playbook default:
- Playbook Respons Ancaman AWS
- Playbook Respons Ancaman GCP
- Respons Pemberi Rekomendasi IAM
- Temuan Postur – Generik
- Temuan Postur – Generik – VM Manager
- Temuan Postur dengan Jira
- Temuan Postur Dengan ServiceNow
- Google Cloud – Eksekusi – Penambangan kripto
- Google Cloud – Eksekusi – Biner atau Library Dimuat Dijalankan
- Google Cloud – Eksekusi – Shell atau Skrip URL Berbahaya Memproses
- Google Cloud – Persistensi – Perilaku Mencurigakan
- Google Cloud – Persistensi – Pemberian IAM Tidak Wajar
- Postur – Playbook Kombinasi Toksik
- Pratinjau – Playbook Azure Threat Response
Di navigasi halaman Playbook, klik Edit untuk memilih beberapa item.
Di samping Kasus Penggunaan Siemplify, klik done_all Pilih semua untuk memilih semua playbook dan pemblokiran dalam folder.
Di navigasi halaman Playbook, klik daftar Menu > Hapus. Sebuah jendela akan muncul yang mengharuskan Anda untuk mengonfirmasi atau membatalkan penghapusan playbook yang dipilih.
Klik Confirm.
Sekarang Anda dapat mengupdate versi kasus penggunaan.
Menginstal kasus penggunaan Security Command Center Enterprise
Untuk menginstal kasus penggunaan SCC Enterprise versi terbaru ke versi terbaru dan memeriksa apakah semua integrasi yang disediakan dalam kasus penggunaan sudah hingga saat ini.
Instal kasus penggunaan terbaru
Untuk menginstal versi terbaru SCC Enterprise – Cloud Kasus penggunaan Orkestrasi dan Perbaikan, selesaikan langkah-langkah berikut:
- Di konsol konsol Security Operations, buka Marketplace > Kasus Penggunaan.
- Buka dialog Filter menurut kategori dengan mengklik ikon filter, .
- Dalam dialog Filter menurut kategori, ketik
SCC Enterprise
. Tujuan kasus penggunaan muncul di bagian Kasus Penggunaan. Dalam deskripsi SCC Enterprise – Cloud Orchestration dan Perbaikan, periksa tanggalnya.
- Jika tanggalnya lebih awal dari 10 Juli 2024, atau tidak ada tanggal dalam deskripsi, hapus kasus penggunaan. Terbaru kasus penggunaan muncul sebagai pengganti kasus penggunaan yang dihapus secara otomatis.
Jika tanggal di SCC Enterprise – Cloud Kasus penggunaan Orkestrasi dan Remediasi adalah 10 Juli 2024 atau setelahnya, konfirmasi bahwa playbook dalam kasus penggunaan terbaru diinstal dengan menyelesaikan langkah-langkah berikut:
- Klik kasus penggunaan untuk membuka wizard penginstalan.
- Perluas kategori playbook dan catat setiap entri baru atau yang diperbarui playbook.
- Pada Respons > Playbook di konsol Security Operations, telusuri playbook baru atau yang telah diperbarui. Jika Anda menemukan playbook terbaru, penginstalan kasus penggunaan sudah selesai.
Untuk menyelesaikan penginstalan kasus penggunaan, klik tombol SCC Enterprise – Cloud Orkestrasi dan Remediasi dan mengikuti instruksi penginstalan di wizard penginstalan.
Menerapkan dan memvalidasi konfigurasi dari kasus penggunaan baru
Anda perlu memvalidasi bahwa berbagai fitur yang disertakan dalam kasus penggunaan terbaru diperbarui dengan benar. Untuk fitur tertentu, Anda perlu menerapkan pembaruan dari kasus penggunaan baru secara manual.
Memvalidasi versi integrasi dalam kasus penggunaan
Untuk memastikan bahwa integrasi dalam kasus penggunaan sudah terbaru, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Marketplace > Integrasi.
- Di kolom Type, pilih All Integrations.
- Di kolom Status, pilih Upgrade yang Tersedia. Semua integrasi yang memerlukan upgrade akan ditampilkan.
- Untuk mengupgrade integrasi, klik ikon upgrade berbentuk lingkaran di integrasi tersebut dan menyelesaikan wizard upgrade. Mengupgrade Security Command Center Integrasi perusahaan diperlukan.
Mengupdate widget tampilan kasus
- Di konsol Security Operations, buka Settings > SOAR Setelan > Data Kasus > Penayangan.
- Pilih Default Case View.
- Pilih tab Standar.
Tarik widget dari tab Standar ke Tampilan Kasus Default dalam urutan yang direkomendasikan berikut:
- Ringkasan Kasus
- Jalur serangan kombinasi toksik
- Temuan
- Investigasi AI/Ringkasan Gemini
- Ringkasan Temuan
- SCC – Status Penemuan
- Aset yang Terpengaruh
- Aset AWS yang Terpengaruh
- Informasi Tiket
- Tindakan Tertunda
- Grafik Entity
- Sorotan Entity
Klik Simpan Tampilan.
Memvalidasi widget
Untuk memastikan bahwa Anda mendapatkan informasi yang benar, validasi bahwa hal berikut widget berisi kondisi yang benar:
- Jalur serangan kombinasi toksik
- Menemukan
- Grafik Entity
- Ringkasan Gemini/Investigasi AI
- Menemukan Ringkasan
- SCC – Status Penemuan
Untuk memvalidasi widget, selesaikan langkah-langkah berikut:
Di konsol Security Operations, buka Settings > Setelan SOAR > Data Kasus > Penayangan.
Pilih Default Case View.
Untuk widget Jalur serangan kombinasi toksik dan Menemukan, klik setelan Konfigurasi.
Di bagian Setelan Lanjutan, di bagian Kondisi, kondisinya akan menjadi seperti berikut:
[Case.Tags] () Toxic Combination
. Jika belum, perbarui kondisi, lalu klik Simpan.Untuk Grafik Entity dan Ringkasan Investigasi AI/Gemini widget, klik setelan Konfigurasi.
Di Setelan Lanjutan, di bagian Kondisi, syaratnya adalah sebagai berikut:
[Case.Tags] !() Toxic Combination
. Jika tidak, perbarui kondisinya, lalu klik Simpan.Untuk widget Finding Summary, klik settingsConfiguration.
Di Setelan Lanjutan, di bagian Kondisi, kondisinya adalah sebagai berikut:
[Case.Tags] () SCC-TICKET-INFO
[Case.Tags] !() Toxic Combination
[Case.Tags] !() CIEM
[Event.parentDisplayName] !() VM Manager
Jika tidak, perbarui kondisinya, lalu klik Simpan.
Untuk widget SCC – Finding State, klik Delete. Jika dialog konfirmasi terbuka, klik Yes.
Untuk menginstal widget SCC – Finding State yang dikonfigurasi untuk versi kasus penggunaan, tarik widget SCC – Finding State dari Standar ke Tampilan Kasus Default.
Klik Simpan Tampilan.
Mengaktifkan playbook
Guna mengaktifkan playbook untuk memproses kerentanan dan kesalahan konfigurasi, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Response > Playbook.
Pilih folder Siemplify Use Cases.
Jika Anda belum mengintegrasikan sistem tiket, pastikan bahwa Temuan Postur – Temuan Generik dan Postur – Generik – Playbook VM Manager diaktifkan.
Jika Anda melakukan integrasi dengan sistem tiket, selesaikan langkah-langkah berikut:
- Pilih playbook Temuan Postur – Generik.
- Tekan tombol untuk menonaktifkannya.
- Klik Simpan.
- Pilih Temuan Postur – Generik – VM Manager playbook.
- Tekan tombol untuk menonaktifkannya.
- Klik Simpan.
- Jika Anda terintegrasi dengan Jira, pilih Posture Findings With Jira
playbook.
- Tekan tombol untuk mengaktifkan playbook.
- Klik Simpan.
- Jika Anda berintegrasi dengan ServiceNow, pilih Temuan Postur Dengan
Playbook ServiceNow.
- Tekan tombol untuk mengaktifkan playbook.
- Klik Simpan.
Update konektor
Memperbarui kasus penggunaan tidak akan memperbarui konektor secara otomatis. Untuk memastikan bahwa penyerapan data berfungsi seperti yang diharapkan setelah pembaruan kasus penggunaan, update konektor.
Untuk mengupdate konektor, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Settings > SOAR Setelan > Penyerapan > Konektor.
- Di bagian SCCEnterprise, pilih SCC Enterprise – Konektor Temuan Postur Mendesak.
- Klik Perbarui yang disimpan dalam cache.
- Alihkan tombol untuk mengaktifkan konektor.
- Klik Simpan.
Memverifikasi konfigurasi update
Untuk memastikan semua komponen kasus penggunaan berhasil diupdate, uji konektor dan tugas.
Menguji konektor
- Di konsol Security Operations, buka Settings > Setelan SOAR > Penyerapan > Konektor.
- Di bagian SCCEnterprise, pilih SCC Enterprise – Urgent Konektor Temuan Postur.
- Buka tab Pengujian.
- Klik Run Connector once. Jika konfigurasi konektor sudah benar, tanda centang muncul.
Menguji tugas
- Di konsol Security Operations, buka Respons > Job Scheduler.
- Di bagian GoogleSecurityCommandCenter, pilih Sync SCC Data.
- Klik Run Now. Jika pekerjaan berjalan seperti yang diharapkan, status pekerjaannya adalah
Success
.
Pemecahan masalah
Tugas Sync SCC Data menampilkan error berikut:
TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)
Tunggu selama sepuluh menit, lalu klik Run Now. Jika error masih berlanjut, selesaikan langkah-langkah berikut:
- Di bagian Parameter tugas, hapus ID Organisasi nilai parameter.
- Masukkan nilai parameter Organization ID.
- Klik Simpan.
- Klik Run Now.
Tugas Sync SCC Data menampilkan error autentikasi jika gagal diperbarui secara otomatis selama pembaruan kasus penggunaan. Untuk memperbaiki sinkronisasi masalah tugas, masukkan nilai untuk Project ID dan Quota secara manual Parameter ID project.
Untuk menentukan parameter value yang benar, selesaikan langkah-langkah berikut:
- Buka Setelan > Setelan SOAR > Penyerapan > Konektor.
- Di bagian SCCEnterprise, pilih SCC Enterprise – Urgent Konektor Temuan Postur.
- Di bagian Parameters, salin nilai Quota Project ID .
- Buka Response > Job Scheduler.
- Di bagian SCCEnterprise, pilih Sync SCC Data.
- Di bagian Parameters pada tugas Sync SCC Data, masukkan nilai yang disalin di kolom Project ID dan Quota Project ID.
- Klik Simpan.
Setelah pembaruan kasus penggunaan, playbook baru tidak akan berlaku untuk pemberitahuan yang ada.
Untuk menerapkan playbook baru ke pemberitahuan yang ada dan merender ulang Pemberitahuan widget, tutup kasus dan tunggu hingga konektor menyerap pemberitahuan lagi dengan playbook baru yang dilampirkan.