Memperbarui kasus penggunaan Enterprise

Update SCC Enterprise – Cloud Orchestration pada 10 Juli 2024 dan Perbaikan kini tersedia. Memperbarui kasus penggunaan sesegera mungkin.

Kasus penggunaan ini menyediakan update pada fitur operasi keamanan Security Command Center tingkat perusahaan. Untuk menerapkan pembaruan, ikuti prosedur di halaman ini.

Prosedur update mencakup langkah-langkah tingkat tinggi berikut:

  1. Menyiapkan sistem untuk update dengan menonaktifkan konektor dan menghapus playbook tertentu yang sudah ada.
  2. Instal SCC Enterprise – Cloud versi terbaru Kasus penggunaan Orkestrasi dan Remediasi.
  3. Validasi penginstalan dan jalankan playbook yang diperbarui.

Konfirmasi bahwa Anda memiliki peran yang diperlukan

Untuk menyelesaikan prosedur ini, Anda harus diberi salah satu SOC berikut peran di konsol Security Operations:

  • Administrator
  • Pengelola Kerentanan
  • Pengelola Ancaman

Untuk detail selengkapnya tentang peran SOC di konsol Security Operations, izin akses yang diperlukan untuk pengguna, lihat Kontrol akses ke fitur di konsol Security Operations.

Menyiapkan sistem untuk update

Sebelum memperbarui kasus penggunaan, Anda perlu menonaktifkan SCC Enterprise – Konektor Temuan Postur Mendesak dan menghapus playbook yang disediakan oleh versi kasus penggunaan saat ini.

Menonaktifkan konektor

Agar tidak muncul pemberitahuan tanpa lampiran playbook, nonaktifkan Konektor SCC Enterprise – Konektor Temuan Postur Mendesak sebelum menghapus playbook. Security Command Center menyerap temuan yang dikumpulkan saat konektor dinonaktifkan jika Anda mengupdate dan mengaktifkan konektor.

Untuk menonaktifkan konektor, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Settings > SOAR Settings > Penyerapan > Konektor.
  2. Di bagian SCCEnterprise, pilih SCC Enterprise – Urgent Konektor Temuan Postur.
  3. Alihkan tombol untuk menonaktifkan konektor.
  4. Klik Simpan.

Hapus playbook

Untuk menghindari duplikasi playbook, hapus playbook default yang Anda gunakan dalam versi kasus penggunaan Anda saat ini. Menghapus playbook sebelum mengupgrade kasus penggunaan tidak berdampak pada pengelolaan kasus.

Untuk menghapus playbook default, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Response > Playbook.
  2. Untuk memfilter playbook dari pemblokiran di halaman Playbook, ubah filter drop-down dari Tampilkan Semua ke Playbook.
  3. Pilih Kasus Penggunaan Siemplify. Folder tersebut berisi hal-hal berikut playbook default:
    • Playbook Respons Ancaman AWS
    • Playbook Respons Ancaman GCP
    • Respons Pemberi Rekomendasi IAM
    • Temuan Postur – Generik
    • Temuan Postur dengan Jira
    • Temuan Postur Dengan ServiceNow
  4. Di navigasi halaman Playbook, klik Edit untuk memilih beberapa item.
  5. Di samping Kasus Penggunaan Siemplify, klik done_all Pilih semua untuk memilih semua playbook di folder.
  6. Di navigasi halaman Playbook, klik daftar Menu > Hapus. Sebuah jendela akan muncul yang mengharuskan Anda untuk mengonfirmasi atau membatalkan penghapusan playbook yang dipilih.

  7. Klik Confirm.

    Sekarang Anda dapat mengupdate versi kasus penggunaan.

Menginstal kasus penggunaan Security Command Center Enterprise

Untuk menginstal kasus penggunaan SCC Enterprise versi terbaru ke versi terbaru dan memeriksa apakah semua integrasi yang disediakan dalam kasus penggunaan sudah hingga saat ini.

Instal kasus penggunaan terbaru

Untuk menginstal versi terbaru SCC Enterprise – Cloud Kasus penggunaan Orkestrasi dan Perbaikan, selesaikan langkah-langkah berikut:

  1. Di konsol konsol Security Operations, buka Marketplace > Kasus Penggunaan.
  2. Buka dialog Filter menurut kategori dengan mengklik ikon filter, .
  3. Dalam dialog Filter menurut kategori, ketik SCC Enterprise. Tujuan kasus penggunaan muncul di bagian Kasus Penggunaan.

  4. Dalam deskripsi SCC Enterprise – Cloud Orchestration dan Perbaikan, periksa tanggalnya.

    • Jika tanggalnya sebelum 10 Juli 2024 atau tidak ada tanggal dalam deskripsi, hapus kasus penggunaan. Terbaru kasus penggunaan muncul sebagai pengganti kasus penggunaan yang dihapus secara otomatis.

    • Jika tanggal di SCC Enterprise – Cloud Kasus penggunaan Orkestrasi dan Remediasi adalah 10 Juli 2024, konfirmasi bahwa playbook dalam kasus penggunaan terbaru diinstal dengan menyelesaikan langkah-langkah berikut:

      1. Klik kasus penggunaan untuk membuka wizard penginstalan.
      2. Perluas kategori playbook dan catat setiap entri baru atau yang diperbarui playbook.
      3. Pada Respons > Playbook di konsol Security Operations, telusuri playbook baru atau yang telah diperbarui. Jika Anda menemukan playbook terbaru, penginstalan kasus penggunaan sudah selesai.

  5. Untuk menyelesaikan penginstalan kasus penggunaan, klik tombol SCC Enterprise – Cloud Orkestrasi dan Remediasi dan mengikuti instruksi instalasi di wizard penginstalan.

Menerapkan dan memvalidasi konfigurasi dari kasus penggunaan baru

Anda perlu memvalidasi bahwa berbagai fitur yang disertakan dalam kasus penggunaan terbaru diperbarui dengan benar. Untuk fitur tertentu, Anda perlu menerapkan pembaruan dari kasus penggunaan baru secara manual.

Memvalidasi versi integrasi dalam kasus penggunaan

Untuk memastikan bahwa integrasi dalam kasus penggunaan sudah terbaru, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Marketplace > Integrasi.
  2. Di kolom Type, pilih All Integrations.
  3. Di kolom Status, pilih Upgrade yang Tersedia. Semua integrasi yang memerlukan upgrade akan ditampilkan.
  4. Untuk mengupgrade integrasi, klik ikon upgrade berbentuk lingkaran di integrasi tersebut dan menyelesaikan wizard upgrade. Mengupgrade Security Command Center Integrasi perusahaan diperlukan.

Memvalidasi tugas sinkronisasi

Setelah menginstal versi kasus penggunaan terbaru dan memvalidasi versi integrasi, pastikan tugas Sync SCC Data berisi parameter yang diperbarui.

Untuk memvalidasi tugas sinkronisasi, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Response &gt; {i>Job Scheduler<i}.
  2. Di bagian GoogleSecurityCommandCenter, pilih Sync SCC Data.

  3. Di bagian Parameters, periksa apakah Project ID dan Nilai parameter Quota Project ID sama.

    Jika nilainya sama, berarti tugas sudah diupdate. Anda dapat melanjutkan untuk mengupdate widget tampilan kasus.

    Jika nilainya berbeda, lanjutkan ke bagian berikut.

Memperbarui parameter tugas sinkronisasi

Jika tugas sinkronisasi gagal diperbarui secara otomatis selama dalam kasus penggunaan Anda, Anda harus memasukkan nilai secara manual untuk Parameter Project ID dan Quota Project ID.

Untuk menentukan parameter value yang benar, selesaikan langkah-langkah berikut:

  1. Buka Setelan &gt; Setelan SOAR &gt; Penyerapan &gt; Konektor.
  2. Di bagian SCCEnterprise, pilih SCC Enterprise – Urgent Konektor Temuan Postur.
  3. Di bagian Parameters, salin nilai Quota Project ID .
  4. Buka Response &gt; Job Scheduler.
  5. Di bagian GoogleSecurityCommandCenter, pilih Sync SCC Data.
  6. Di bagian Parameters pada tugas Sync SCC Data, masukkan nilai yang disalin di kolom Project ID dan Quota Project ID.
  7. Klik Simpan.

Mengupdate widget tampilan kasus

  1. Di konsol Security Operations, buka Settings > SOAR Setelan > Data Kasus > Penayangan.
  2. Pilih Default Case View.
  3. Pilih tab Standar.
  4. Dari panel Default Case View, hapus widget berikut:
    • Ringkasan Pencarian (Kesalahan Konfigurasi)
    • Menemukan Ringkasan (Kerentanan)
    • SCC - Status Penemuan
    • Langkah berikutnya SCC
    • Informasi Tiket

  5. Tarik widget dari tab Standar ke Tampilan Kasus Default dalam urutan yang direkomendasikan berikut:

    1. Ringkasan Kasus
    2. Jalur serangan kombinasi toksik
    3. Temuan
    4. Investigasi AI/Ringkasan Gemini
    5. Ringkasan Temuan
    6. SCC - Status Penemuan
    7. Aset yang Terpengaruh
    8. Aset AWS yang Terpengaruh
    9. Informasi Tiket
    10. Tindakan Tertunda
    11. Notifikasi
    12. Grafik Entity
    13. Sorotan Entity
    14. Aktivitas Repositori Kasus Terbaru
    15. Rekomendasi
    16. Statistik

  6. Klik Simpan Tampilan.

Memvalidasi widget

Untuk memastikan bahwa Anda mendapatkan informasi yang benar, validasi bahwa hal berikut widget berisi kondisi yang benar:

  • Jalur serangan kombinasi toksik
  • Menemukan
  • Grafik Entity
  • Ringkasan Gemini/Investigasi AI

Untuk memvalidasi widget, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Settings &gt; Setelan SOAR &gt; Data Kasus &gt; Penayangan.
  2. Pilih Default Case View.
  3. Untuk widget Jalur serangan kombinasi toksik dan Menemukan, klik setelan Konfigurasi.
  4. Di bagian Setelan Lanjutan, di bagian Kondisi, kondisinya akan menjadi seperti berikut: [Case.Tags] () Toxic Combination. Jika belum, perbarui kondisi dan klik Simpan.
  5. Untuk Grafik Entity dan Ringkasan Investigasi AI/Gemini widget, klik setelan Konfigurasi.
  6. Di Setelan Lanjutan, di bagian Kondisi, syaratnya adalah sebagai berikut: [Case.Tags] !() Toxic Combination. Jika tidak, perbarui kondisinya, lalu klik Simpan.

Membuat aturan pengelompokan notifikasi

Untuk mendukung update pada versi kasus penggunaan terbaru, buat pemberitahuan baru aturan pengelompokan.

Untuk membuat aturan pemberitahuan, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Settings &gt; Setelan SOAR &gt; Lanjutan &gt; Pengelompokan Pemberitahuan.
  2. Di bagian Aturan, klik add Add. Tujuan Jendela Tambahkan aturan pengelompokan akan terbuka.
  3. Di kolom Kategori, pilih Sumber Data.
  4. Di kolom Sumber Data, pilih SCCEnterprise.
  5. Di kolom Group By, pilih Source Grouping Identifier.
  6. Klik Create.
  7. Di halaman Alerts Grouping, klik Save.

Mengaktifkan playbook

Guna mengaktifkan playbook untuk memproses kerentanan dan kesalahan konfigurasi, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Response &gt; Playbook.

  2. Pilih folder Siemplify Use Cases.

    Jika Anda belum mengintegrasikan sistem tiket, pastikan bahwa Temuan Postur – Playbook Umum diaktifkan.

    Jika Anda melakukan integrasi dengan sistem tiket, selesaikan langkah-langkah berikut:

    1. Pilih playbook Temuan Postur – Generik.
    2. Tekan tombol untuk menonaktifkannya.
    3. Klik Simpan.
    4. Jika Anda terintegrasi dengan Jira, pilih Posture Findings With Jira playbook.
      1. Tekan tombol untuk mengaktifkan playbook.
      2. Klik Simpan.
    5. Jika Anda berintegrasi dengan ServiceNow, pilih Temuan Postur Dengan Playbook ServiceNow.
      1. Tekan tombol untuk mengaktifkan playbook.
      2. Klik Simpan.

Jalankan ulang playbook

Untuk menerapkan playbook baru ke pemberitahuan yang sudah ada, jalankan kembali playbook. Menjalankan kembali playbook tidak membuat tiket baru untuk pemberitahuan yang sudah ada.

Untuk menjalankan kembali playbook, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Cases.
  2. Pilih kasus yang terbuka.
  3. Dalam Tampilan Kasus, pilih pemberitahuan untuk menjalankan kembali playbook.
  4. Di tab Playbook, di samping nama playbook, klik Jalankan Kembali Playbook.

Update konektor

Memperbarui kasus penggunaan tidak akan memperbarui konektor secara otomatis. Untuk memastikan bahwa penyerapan data berfungsi seperti yang diharapkan setelah pembaruan kasus penggunaan, update konektor.

Untuk mengupdate konektor, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Settings &gt; SOAR Setelan &gt; Penyerapan &gt; Konektor.
  2. Di bagian SCCEnterprise, pilih SCC Enterprise – Konektor Temuan Postur Mendesak.
  3. Klik Perbarui yang disimpan dalam cache.
  4. Alihkan tombol untuk mengaktifkan konektor.
  5. Klik Simpan.

Memverifikasi konfigurasi update

Untuk memastikan semua komponen kasus penggunaan berhasil diupdate, uji konektor dan tugas.

Menguji konektor

  1. Di konsol Security Operations, buka Settings &gt; Setelan SOAR &gt; Penyerapan &gt; Konektor.
  2. Di bagian SCCEnterprise, pilih SCC Enterprise – Urgent Konektor Temuan Postur.
  3. Buka tab Pengujian.
  4. Klik Run Connector once. Jika konfigurasi konektor sudah benar, tanda centang muncul.

Menguji tugas

  1. Di konsol Security Operations, buka Respons &gt; Job Scheduler.
  2. Di bagian GoogleSecurityCommandCenter, pilih Sync SCC Data.
  3. Klik Run Now. Jika pekerjaan berjalan seperti yang diharapkan, status pekerjaannya adalah Success.

Pemecahan masalah

  • Di widget Finding Summary, jika bagian Langkah Berikutnya pada notifikasi temuan tidak diformat dengan benar atau tidak ada, jalankan kembali playbook di satu peringatan dari kasus yang terdampak.

  • Tugas Sync SCC Data menampilkan error berikut:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Tunggu selama sepuluh menit, lalu klik Run Now. Jika error masih berlanjut, selesaikan langkah-langkah berikut:

    1. Di bagian Parameter tugas, hapus ID Organisasi nilai parameter.
    2. Masukkan nilai parameter Organization ID.
    3. Klik Simpan.
    4. Klik Run Now.