Atualizar o caso de uso empresarial

A atualização de 10 de julho de 2024 do SCC Enterprise – Cloud Orchestrator e correção já está disponível. Atualizar o caso de uso assim que possível.

Este caso de uso fornece atualizações para os recursos de operações de segurança do Nível empresarial do Security Command Center. Para aplicar as atualizações, siga os procedimentos nesta página.

O procedimento de atualização inclui estas etapas gerais:

  1. Preparar o sistema para atualização desativando e excluindo um conector determinados playbooks.
  2. Instale a versão mais recente do SCC Enterprise – Cloud Caso de uso de orquestração e correção.
  3. Valide a instalação e execute os playbooks atualizados.

Verifique se você tem os papéis necessários

Para concluir esse procedimento, você precisa ter qualquer um dos seguintes papéis no console de Operações de Segurança:

  • Administrador
  • Gerenciador de vulnerabilidades
  • Gerenciador de ameaças

Para mais detalhes sobre os papéis do SOC no console de Operações de Segurança e as permissões necessárias para os usuários, consulte Controle o acesso a recursos no console de operações de segurança.

Preparar o sistema para a atualização

Antes de atualizar o caso de uso, é preciso desativar o SCC Enterprise: conector de descobertas de posturas urgentes e excluir os playbooks fornecidos pela versão do caso de uso atual.

Desativar o conector

Para evitar alertas sem playbooks anexados, desative a Conector do SCC Enterprise: conector de descobertas de posturas urgentes antes de excluir playbooks. O Security Command Center ingere as descobertas coletadas enquanto o conector está desativado quando você o atualiza e ativa.

Para desativar o conector, siga estas etapas:

  1. No console de Operações de Segurança, acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise – Urgente Conector de descobertas de postura.
  3. Alterne o botão para desativar o conector.
  4. Clique em Salvar.

Excluir playbooks

Para evitar a duplicação do playbook, exclua os playbooks padrão que você usa na versão atual do seu caso de uso. Excluir playbooks antes de atualizar o caso de uso não afeta o gerenciamento de casos.

Para excluir playbooks padrão, conclua as etapas a seguir:

  1. No console de Operações de Segurança, acesse Resposta > Playbooks.
  2. Para filtrar os playbooks dos blocos na página Playbooks, mude a variável filtro suspenso de Mostrar tudo para Playbooks.
  3. Selecione Siemplify Use Cases. A pasta contém o seguinte playbooks padrão:
    • Manual de resposta a ameaças da AWS
    • Manual de resposta a ameaças do GCP
    • Resposta do recomendador do IAM
    • Descobertas de postura – Genérica
    • Descobertas de postura com o Jira
    • Descobertas de postura com o ServiceNow
  4. Na página de navegação da página "playbooks", clique em Editar para selecionar vários itens.
  5. Ao lado de Siemplify Use Cases, clique em done_all Selecionar tudo para selecionar todos os playbooks na pasta.
  6. Na navegação nas páginas Playbooks, clique em list Menu > Excluir. Será exibida uma janela que solicita a confirmação ou o cancelamento do exclusão dos playbooks selecionados.

  7. Clique em Confirm.

    Agora é possível atualizar a versão do caso de uso.

Instalar o caso de uso do Security Command Center Enterprise

Para instalar a versão mais recente do caso de uso do SCC Enterprise para a versão mais recente e verifique se todas as integrações fornecidas no caso de uso estão ativadas até o momento.

Instalar o caso de uso mais recente

Para instalar a versão mais recente do SCC Enterprise – Cloud Orquestração e correção, siga estas etapas:

  1. No console do Security Operations, acesse Marketplace > Casos de uso.
  2. Abra a caixa de diálogo Filtrar por categorias clicando no ícone de filtro.
  3. Na caixa de diálogo Filtrar por categorias, digite SCC Enterprise. A caso de uso específico aparece na seção Casos de uso.

  4. Na descrição do pacote SCC Enterprise – Cloud Orchestrator e correção, verifique se há uma data.

    • Se a data for anterior a 10 de julho de 2024 ou não houver data na descrição, exclua o caso de uso. Novidades caso de uso excluído apareça automaticamente no lugar do excluído.

    • Se a data no campo SCC Enterprise – Cloud O caso de uso de orquestração e correção vai ser em 10 de julho de 2024, confirmar que os playbooks no caso de uso mais recente são instalados seguindo estas etapas:

      1. Clique no caso de uso para abrir o assistente de instalação.
      2. Expanda a categoria "playbooks" e anote todas as atualizações playbooks.
      3. Na página Resposta > página de playbooks no console de Operações de segurança, procure pelo playbook novo ou atualizado. Se você encontrar a versão nova atualizado, a instalação do caso de uso já estará concluída.

  5. Para concluir a instalação do caso de uso, clique no botão SCC Enterprise – caso de uso de orquestração e correção do Cloud e siga as no assistente de instalação.

Aplique e valide as configurações do novo caso de uso

Você precisa validar se os diversos recursos incluídos no caso de uso mais recente sejam atualizados corretamente. Para determinados recursos, você precisa aplicar as atualizações do novo caso de uso manualmente.

Validar versões de integração no caso de uso

Para garantir que as integrações do caso de uso estejam atualizadas, siga estas etapas:

  1. No console de Operações de segurança, acesse Marketplace > Integrações.
  2. No campo Type, selecione All Integrations.
  3. No campo Status, selecione Upgrade disponível. Todas as integrações que exigem upgrade são exibidas.
  4. Para fazer upgrade de uma integração, clique no ícone circular. e conclua o assistente de upgrade. Como fazer upgrade do Security Command Center A integração empresarial é obrigatória.

Validar o job de sincronização

Depois de instalar a versão mais recente do caso de uso e validar o de integração, verifique se o job Sincronizar dados do SCC contém parâmetros atualizados.

Para validar o job de sincronização, siga estas etapas:

  1. No console de Operações de Segurança, vá para Resposta > Programador de jobs
  2. Em GoogleSecurityCommandCenter, selecione Sincronizar dados do SCC.

  3. Na seção Parâmetros, verifique se os campos ID do projeto e Os valores do parâmetro ID do projeto de cota são os mesmos.

    Se os valores forem os mesmos, o job está atualizado. Você pode continuar para atualizar os widgets de visualização de casos.

    Se os valores forem diferentes, prossiga para a próxima seção.

Atualizar os parâmetros do job de sincronização

Se o trabalho de sincronização não foi atualizado automaticamente durante o caso de uso atual, será preciso inserir manualmente os valores do Parâmetros ID do projeto e ID do projeto de cota.

Para especificar os valores de parâmetro corretos, siga estas etapas:

  1. Acesse Configurações > Configurações do SOAR > Processamento > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise – Urgente Conector de descobertas de postura.
  3. Na seção Parâmetros, copie o valor do ID do projeto de cota. .
  4. Acesse Resposta > Programador de jobs.
  5. Em GoogleSecurityCommandCenter, selecione Sincronizar dados do SCC.
  6. Na seção Parâmetros do job Sincronizar dados do SCC, insira o valor copiado nos campos ID do projeto e ID do projeto de cota.
  7. Clique em Salvar.

Atualizar widgets de visualização de casos

  1. No console de Operações de Segurança, acesse Configurações > SOAR Configurações > Dados do caso > Visualizações.
  2. Selecione Visualização de caso padrão.
  3. Selecione a guia Predefinida.
  4. No painel Visualização de caso padrão, exclua os seguintes widgets:
    • Resumo das descobertas (configuração incorreta)
    • Resumo de descobertas (vulnerabilidade)
    • SCC: estado da descoberta
    • Próximas etapas do SCC
    • Informações sobre passagens

  5. Arraste os widgets da guia Predefinida para a Visualização de caso padrão. na seguinte ordem recomendada:

    1. Resumo do caso
    2. Caminho do ataque de combinação tóxica
    3. Descobertas
    4. Investigação de IA/Resumo do Gemini
    5. Resumo dos resultados
    6. SCC: estado de descoberta
    7. Recursos afetados
    8. Recursos da AWS afetados
    9. Informações sobre passagens
    10. Ações pendentes
    11. Alertas
    12. Gráfico de entidades
    13. Destaques das entidades
    14. Atividade mais recente no Painel de casos
    15. Recomendações
    16. Estatísticas

  6. Clique em Salvar visualização.

Validar widgets

Para garantir que você receba as informações corretas, confirme se os seguintes os widgets contêm a condição correta:

  • Caminho de ataque de combinação tóxica
  • Descoberta
  • Gráfico de entidades
  • Investigação de IA/Resumo do Gemini

Para validar os widgets, siga estas etapas:

  1. No console de Operações de Segurança, vá para Configurações > Configurações do SOAR > Dados do caso > Visualizações.
  2. Selecione Visualização de caso padrão.
  3. Para os widgets Caminho de ataque de combinação tóxica e Descoberta, Clique em Configurações Configuração.
  4. Em Configurações avançadas, na seção Condições, a condição será o seguinte: [Case.Tags] () Toxic Combination. Caso contrário, atualize a condição e clique em Salvar.
  5. Para o Gráfico de entidades e Investigação de IA/Resumo do Gemini widgets, clique em Configurações Configuração.
  6. Em Configurações avançadas, na seção Condições, o deve ser a seguinte: [Case.Tags] !() Toxic Combination. Caso contrário, atualize a condição e clique em Salvar.

Criar uma regra de agrupamento de alertas

Para oferecer suporte às atualizações da versão mais recente do caso de uso, crie um novo alerta regra de agrupamento.

Para criar uma regra de alerta, siga estas etapas:

  1. No console de Operações de Segurança, vá para Configurações > Configurações do SOAR > Avançado > Agrupamento de alertas.
  2. Na seção Regras, clique em add Adicionar. A A janela Adicionar regra de agrupamento será aberta.
  3. No campo Categoria, selecione Fonte de dados.
  4. No campo Fonte de dados, selecione SCCEnterprise.
  5. No campo Agrupar por, selecione Identificador do agrupamento de origem.
  6. Clique em Criar.
  7. Na página Agrupamento de alertas, clique em Salvar.

Ativar playbooks

Para ativar um playbook de processamento de vulnerabilidades e configurações incorretas, siga estas etapas:

  1. No console de Operações de Segurança, acesse Resposta > Playbooks.

  2. Selecione a pasta Siemplify Use Cases.

    Se você não fez a integração com sistemas de emissão de tíquetes, garanta que o Descobertas de postura – Geral está ativado.

    Se você fez a integração com sistemas de tíquetes, siga estas etapas:

    1. Selecione o playbook Descobertas de postura – Genérica.
    2. Alterne o botão para desativá-la.
    3. Clique em Salvar.
    4. Se você fez a integração com o Jira, selecione Descobertas de postura com o Jira playbook.
      1. Alterne o botão para ativar o playbook.
      2. Clique em Salvar.
    5. Se você fez a integração com o ServiceNow, selecione a opção Descobertas de postura com ServiceNow (em inglês).
      1. Alterne o botão para ativar o playbook.
      2. Clique em Salvar.

Executar playbooks novamente

Para aplicar os novos playbooks aos alertas existentes, execute-os novamente. Executando novamente ele não cria tíquetes para os alertas atuais.

Para executar novamente um playbook, siga estas etapas:

  1. No console de Operações de Segurança, acesse Casos.
  2. Selecione um caso aberto.
  3. Em Visualização do caso, selecione um alerta para executar novamente um playbook.
  4. Na guia Playbooks, ao lado do nome do playbook, clique em Executar o playbook novamente.

Atualizar o conector

Atualizar o caso de uso não atualiza o conector automaticamente. Para garantir que a ingestão de dados funcione conforme o esperado após a atualização do caso de uso, atualize o conector.

Para atualizar o conector, siga estas etapas:

  1. No console de Operações de Segurança, acesse Configurações > SOAR Configurações > Processamento > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise: conector de descobertas de posturas urgentes.
  3. Clique em Atualizar em cache.
  4. Alterne o botão para ativar o conector.
  5. Clique em Salvar.

Verificar a configuração da atualização

Para garantir que todos os componentes do caso de uso sejam atualizados, teste o conector e job.

Testar o conector

  1. No console de Operações de Segurança, vá para Configurações > Configurações do SOAR > Processamento > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise – Urgente Conector de descobertas de postura.
  3. Acesse a guia Testes.
  4. Clique em Executar conector uma vez. Se a configuração do conector estiver correta, a marca de seleção aparecerá.

Testar o job

  1. No console de Operações de Segurança, acesse Resposta > Programador de jobs.
  2. Em GoogleSecurityCommandCenter, selecione Sincronizar dados do SCC.
  3. Clique em Executar agora. Se o job funcionar como esperado, o status dele será Success.

Solução de problemas

  • No widget Resumo da descoberta, se a seção Próximas etapas de um encontrar alerta está formatado incorretamente ou ausente, execute o playbook novamente um alerta para o caso afetado.

  • O job Sincronizar dados do SCC exibe o seguinte erro:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Aguarde dez minutos e clique em Executar agora. Se o erro persistir, conclua as seguintes etapas:

    1. Na seção Parâmetros do job, exclua o ID da organização. .
    2. Insira o valor do parâmetro ID da organização.
    3. Clique em Salvar.
    4. Clique em Executar agora.