更新企业应用场景

SCC 企业 - 云编排的 2024 年 10 月 9 日更新 和修复用例现已推出。请尽快更新使用情形。

此用例为 Google Cloud 的 Security Command Center 的企业层级。如需应用更新,请按照本页面上的步骤操作。

更新过程包括以下简要步骤:

  1. 停用连接器并删除,使系统做好更新准备 某些现有策略方案。
  2. 安装最新版本的 SCC Enterprise - Cloud Orchestration and Remediation 用例。
  3. 验证安装并运行更新后的 Playbook。

确认您拥有所需的角色

若要完成此过程,您必须在安全运营控制台中被授予以下任一 SOC 角色:

  • 管理员
  • 漏洞管理器
  • 威胁管理器

如需详细了解安全操作控制台中的 SOC 角色和 用户所需的权限,请参阅 控制对 Security Operations 控制台中功能的访问权限

使系统做好更新准备

在更新使用情形之前,您需要停用 SCC Enterprise - Urgent Posture Findings 连接器,并删除当前使用情形版本提供的 Playbook。

停用连接器

为避免出现未附加 Playbook 的提醒,请先停用 SCC Enterprise - Urgent Posture Findings 连接器,然后再删除 Playbook。Security Command Center 注入收集的发现结果 。

如需停用连接器,请完成以下步骤:

  1. 在 Security Operations 控制台中,转到 Settings > SOAR Settings > 提取 > 连接器
  2. SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings Connector
  3. 切换开关以停用连接器。
  4. 点击保存

删除 playbook

为避免 playbook 重复,请删除您使用的默认 playbook 应用场景的当前版本。在升级用例之前删除 Playbook 对支持请求管理没有影响。

如需删除默认的 Playbook,请完成以下步骤:

  1. 在 Security Operations 控制台中,转到响应 > playbook。 默认情况下,下拉过滤条件设置为全部显示

  2. 选择 Siemplify Use Cases 文件夹。此文件夹包含以下默认 Playbook:

    • AWS 威胁响应指南
    • GCP 威胁响应手册
    • IAM Recommender 响应
    • 状况发现结果 - 通用
    • 状态发现结果 - 通用 - 虚拟机管理器
    • 通过 Jira 查看安全状况发现结果
    • 使用 ServiceNow 发现状况
    • Google Cloud - 执行 - 加密货币挖矿
    • Google Cloud - 执行 - 加载的二进制文件或库已执行
    • Google Cloud - 执行 - 恶意网址脚本或 Shell 流程
    • Google Cloud - 持久性 - 可疑行为
    • Google Cloud - 持久性 - IAM 异常授予
    • 安全态势 – 恶意组合指南
    • 预览版 - Azure 威胁响应手册

  3. Playbook 网页导航栏中,点击 修改可选择多项。

  4. 点击“简化用例”旁边的 done_all 全选,以选择该文件夹中的所有 Playbook 和块。

  5. 游戏大本营页面导航栏中,依次点击列表菜单 > 删除。这时会出现一个窗口,要求您确认或取消 删除所选 playbook。

  6. 点击确认

    现在,您可以更新用例版本了。

安装 Security Command Center Enterprise 用例

将最新版 SCC 企业版用例安装到最新版本,并检查用例中提供的所有集成是否是最新的。

安装最新用例

要安装最新版本的 SCC Enterprise - Cloud 编排和修复用例时,请完成以下步骤:

  1. 在 Security Operations 控制台中,转到 Marketplace > 使用场景
  2. 点击过滤器图标,打开按类别过滤对话框。
  3. 按类别过滤对话框中,输入 SCC Enterprise。该用例会显示在用例部分中。

  4. SCC Enterprise - Cloud Orchestration and Remediation 用例的说明中,检查日期。

    • 如果该日期早于 2024 年 7 月 10 日或 说明中没有日期,请删除相应用例。最新的用例会自动显示,取代已删除的用例。

    • 如果 SCC Enterprise - 云端编排和修复用例中的日期为 2024 年 7 月 10 日或之后,请完成以下步骤,确认最新用例中的 Playbook 已安装:

      1. 点击相应用例以打开安装向导。
      2. 展开“Playbook”类别,并记下所有新的或更新的 Playbook。
      3. 响应 >Playbook 页面。 搜索新的或更新的 playbook。如果您发现新的 更新后的 playbook,则用例安装已完成。

  5. 要完成用例的安装,请点击 SCC Enterprise – Cloud 编排和修复用例,并遵循 安装向导中的说明。

应用并验证新用例中的配置

您需要验证 正确更新。对于某些功能,您需要 手动应用新用例中的更新。

验证用例中的集成版本

该用例中包含的集成每周都会推出新版本。尽早将集成更新到最新版本 。

新版本的集成引入了更新,包括但不限于: 问题修复、新的微件和操作、对现有微件和操作的更改、 增强了警报处理功能,并改进了检测处理逻辑 和工作流程映射

如需为集成应用更新,请完成以下步骤:

  1. 在 Security Operations 控制台中,转到 Marketplace > Integrations(集成)。
  2. Type(类型)字段中,选择 All Integrations(所有集成)。
  3. 状态字段中,选择可用升级。系统会显示所有需要升级的集成。
  4. 如需升级集成,请点击 升级到版本 VERSION
  5. 如果系统显示 Updating INTEGRATION 对话框,请点击 Confirm
  6. 如果系统显示确认对话框,请点击批准
  7. 确认覆盖映射对话框中,选择以下选项: 安装新的本体配置并替换现有配置,并且 然后点击确认

您必须升级 SCC Enterprise 集成,并为所有升级后的集成安装新的元语言配置。

配置 Cloud Storage 集成

为了修复公开存储桶 ACL 发现的问题,2024 年 10 月 9 日更新的 SCC 企业版 - 云协调和修复用例引入了额外的集成,即 Cloud Storage 集成。

为了让 playbook 丰富和修正 PUBLIC BUCKET ACL 发现结果类型, 完成以下操作,以配置 Cloud Storage 集成 步骤:

  1. 配置集成参数。
  2. 为 playbook 启用公共存储桶修复。
配置集成参数

要配置 Cloud Storage 集成参数,请完成 操作步骤:

  1. 在安全运营控制台中,依次选择市场 > 集成
  2. 搜索字段中,输入 Storage。Cloud Storage 集成卡片。
  3. 在集成卡片上,点击配置。配置对话框 会打开。
  4. 配置 Workload Identity 电子邮件地址项目 ID配额项目 ID 参数。您可以从任何其他 Google Cloud 集成(例如 Cloud Asset Inventory 集成)复制参数值。
  5. 点击保存
  6. 点击测试以测试配置。
为 playbook 启用公共存储桶修复

如需为态势发现 Playbook 启用公开存储桶修复措施,请参阅启用公开存储桶修复措施

更新了支持请求视图微件

  1. 在 Security Operations 控制台中,转到 Settings > SOAR “Settings”(设置)>“Case Data”(支持请求数据)>“Views”(视图)
  2. 选择 Default Case View(默认案例视图)。
  3. 选择预定义标签页。

  4. 按照以下建议顺序,将预定义标签页中的微件拖动到默认支持请求视图中:

    1. 支持请求摘要
    2. 恶意组合攻击路径
    3. 发现结果
    4. AI 调查/Gemini 摘要
    5. 发现结果摘要
    6. SCC - 发现结果状态
    7. 受影响的资产
    8. 票务信息
    9. 待处理的操作
    10. 实体图
    11. 实体的突出显示字段

  5. 点击 Save View

验证微件

为确保您获得正确的信息,请验证以下 widget 是否包含正确的条件:

  • 恶意组合攻击路径
  • 发现
  • 实体图
  • AI 调查/Gemini 摘要
  • 发现结果摘要
  • 受影响的资源
  • SCC - 发现状态
  • 受影响的素材资源
  • 受影响的 AWS 资源

如需验证微件,请完成以下步骤:

  1. 在 Security Operations 控制台中,转到设置 > SOAR 设置 > 案例数据 > 视图

  2. 选择 Default Case View(默认案例视图)。

  3. 对于恶意组合攻击路径发现结果 widget,请点击设置 配置

    高级设置下的条件部分中,选择条件 应如下所示:[Case.Tags] () Toxic Combination。如果不是,请更新 条件,然后点击保存

  4. 对于实体图AI 调查/Gemini 摘要 小程序,点击设置 配置

    高级设置下的条件部分中, 条件应为:[Case.Tags] !() Toxic Combination。 如果不是,请更新条件,然后点击保存

  5. 对于 Finding Summary 微件,点击 settingsConfiguration.

    高级设置下的条件部分,条件应如下所示:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    如果没有,请更新条件,然后点击保存

  6. 对于受影响的资源微件,请点击设置 配置

    高级设置下的条件部分,条件应如下所示:[Case.Tags] () Toxic Combination。如果不是,请更新条件,然后点击保存

  7. 对于 SCC - 查找状态微件,请点击删除。当 在打开确认对话框时,点击

    如需安装针对最新版本配置的 SCC - 查找状态 widget,请执行以下操作: 用例版本中,请将 SCC - 查找状态微件从 预定义标签页到默认案例视图

  8. 对于受影响的资产微件,点击删除。当 在打开确认对话框时,点击

    如需安装针对最新版本配置的受影响的资产微件,请执行以下操作: 用例版本,请将受影响的资产微件从 预定义标签页到默认案例视图

  9. 对于受影响的 AWS 资产微件,点击删除。当 在打开确认对话框时,点击

  10. 点击 Save View

启用 Playbook

如需启用 playbook 以处理漏洞和错误配置, 请完成以下步骤:

  1. 在安全运营控制台中,依次选择响应 > 预设响应方案

  2. 选择 Siemplify Use Cases 文件夹。

    如果您未与服务工单系统集成,请确保启用态势发现 - 常规。启用态势发现 - 通用 - 虚拟机管理器 Playbook 是可选操作。

    如果您已与票务系统集成,请完成以下步骤:

    1. 选择 Posture Findings - Generic 手册。
    2. 切换切换开关即可停用该功能。
    3. 点击保存
    4. 选择 Posture Findings – Generic – VM Manager 剧本。
    5. 切换切换开关即可停用该功能。
    6. 点击保存
    7. 如果您已与 Jira 集成,请选择 Posture Findings With Jira playbook。
      1. 切换开关以启用该 Playbook。
      2. 点击保存
    8. 如果您已与 ServiceNow 集成,请选择 Posture Findings With ServiceNow 手册。
      1. 切换切换开关以启用此 playbook。
      2. 点击保存

更新连接器

更新用例不会自动更新现有连接器。为确保 确保数据注入在用例更新后按预期运行; 更新 SCC Enterprise - Urgent Posture Findings ConnectorGoogle Chronicle – Chronicle Alerts Connector 连接器。

更新 SCC Enterprise – Urgent Posture Findings Connector 请完成以下步骤:

  1. 在 Security Operations 控制台中,转到 Settings > SOAR 设置 > 提取 > 连接器
  2. SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings Connector。系统会打开连接器参数配置页面。
  3. 点击缓存 更新
  4. Run Every 参数设置为 1 分钟。
  5. 切换开关以启用连接器。
  6. 点击保存

如需更新 Google Chronicle - Chronicle Alerts Connector 连接器,请完成以下步骤:

  1. 在安全运营控制台中,依次选择设置 > SOAR 设置 > 提取 > 连接器
  2. GoogleChronicle 下,选择 Google Chronicle - Chronicle Alerts 连接器。系统随即会打开连接器参数配置页面。
  3. 点击缓存 更新
  4. Run Every 参数设置为 1 分钟。
  5. 在“产品字段名称”参数字段中,输入 SCCE
  6. 切换开关以启用连接器。
  7. 点击保存

验证更新配置

为了确保所有用例组件都已成功更新,请测试 连接器和作业。

测试连接器

  1. 在 Security Operations 控制台中,转到设置 > SOAR 设置 > 提取 > Connectors
  2. SCCEnterprise 下,选择 SCC Enterprise - 紧急 Posture Findings Connector
  3. 转到测试标签页。
  4. 点击运行连接器一次。如果连接器配置正确, 复选标记。

测试作业

  1. 在安全运营控制台中,依次选择响应 > 作业调度程序
  2. GoogleSecurityCommandCenter 下,选择同步 SCC 数据
  3. 点击立即运行。如果作业按预期运行,则作业状态为 Success

问题排查

  • 同步 SCC 数据作业会显示以下错误:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    等待十分钟,然后点击立即运行。如果错误仍然存在,请完成以下步骤:

    1. 在作业的参数部分中,删除 Organization ID 参数值。
    2. 输入组织 ID 参数值。
    3. 点击保存
    4. 点击立即运行

  • 如果 Sync SCC Data 作业在用例更新期间未能自动更新,则会显示身份验证错误。解决同步问题 作业问题,手动输入项目 ID配额的值 Project ID 参数。

    如需指定正确的参数值,请完成以下步骤:

    1. 依次前往设置 > SOAR 设置 > 提取 > 连接器
    2. SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings Connector
    3. 参数部分,复制配额项目 ID 参数的值。
    4. 依次选择响应 > 作业调度程序
    5. SCCEnterprise 下,选择 Sync SCC Data(同步 SCC 数据)。
    6. 同步 SCC 数据作业的参数部分,在项目 ID配额项目 ID 字段中输入复制的值。
    7. 点击保存

  • 更新用例后,新的 playbook 不会应用于现有提醒。

    如需将新 playbook 应用于现有提醒并重新渲染 Alert widget,请关闭一个支持请求,然后等待连接器再次提取附加了新 playbook 的提醒。