Integra Security Command Center Enterprise con sistemas de tickets

En este documento, se explica cómo integrar el nivel empresarial de Security Command Center con los sistemas de tickets después de configurar la funcionalidad de organización, automatización y respuesta de seguridad (SOAR) con la tecnología de Google Security Operations.

La integración en los sistemas de tickets es opcional y requiere configuración manual. Si usas la configuración predeterminada de Security Command Center Enterprise, no necesitas realizar este procedimiento. Puedes realizar la integración con un sistema de tickets más adelante en cualquier momento.

Descripción general

Puedes hacer un seguimiento de los resultados mediante la consola y las APIs con la configuración predeterminada de Security Command Center Enterprise. Si tu organización usa sistemas de tickets para realizar un seguimiento de los problemas, intégralos en Jira o ServiceNow después de configurar tu instancia de Google Security Operations.

Después de recibir los hallazgos de los recursos, el conector de SCC Enterprise: Hallazgos de postura urgente analiza y filtra los hallazgos durante la transferencia, y los agrupa en casos nuevos o existentes, según el tipo de hallazgo.

Si integras un sistema de tickets, Security Command Center crea un ticket nuevo cada vez que se crea un caso nuevo para los resultados. Security Command Center actualiza automáticamente el ticket relacionado cada vez que se actualiza un caso.

Un solo caso puede contener varios resultados. Security Command Center crea un ticket para cada caso y sincroniza la información y el contenido del caso con el ticket correspondiente para que los destinatarios del ticket sepan qué corregir.

La sincronización entre un caso y su ticket funciona en ambos sentidos:

• Los cambios que se realizan en un caso, como una actualización de estado o un comentario nuevo, se reflejan de forma automática en el ticket asociado.

• De manera similar, los detalles de los tickets se sincronizan con el caso, lo que lo enriquece con información del sistema de tickets.

Antes de comenzar

Antes de configurar Jira o ServiceNow, proporciona una dirección de correo electrónico válida para el parámetro Propietario de resguardo en SCC Enterprise - Conector de hallazgos urgentes de la postura y asegúrate de que este correo electrónico se pueda asignar en tu sistema de tickets.

Integrar con Jira

Asegúrate de completar todos los pasos de integración para sincronizar las actualizaciones de los casos con los problemas de Jira y garantizar el flujo de la guía correcto.

La prioridad del caso se refleja en la gravedad del problema de Jira.

Crea un proyecto nuevo en Jira

Si quieres crear un proyecto nuevo en Jira para los problemas de Security Command Center Enterprise llamados SCC Enterprise Project (SCCE), ejecuta una acción manual en el caso. Puedes usar cualquier caso existente o simular uno. Si quieres obtener más información para simular casos, consulta la página Simula casos de la documentación de Google SecOps.

Para crear un nuevo proyecto de Jira, se requieren credenciales de nivel de administrador de Jira.

Para crear un nuevo proyecto de Jira, completa los siguientes pasos:

1. En la consola de Operaciones de seguridad, ve a Casos.
2. Selecciona un caso existente o el que simulaste.
3. En la pestaña Case Overview, haz clic en Manual Action.
4. En el campo Buscar de la acción manual, ingresa Create SCC Enterprise.
5. En los resultados de la búsqueda en la integración de SCCEnterprise, selecciona la acción Crear Jira de tipo de ticket de postura de nube empresarial de SCC. Se abrirá la ventana de diálogo.

6. Para configurar el parámetro API Root, ingresa la raíz de API de tu instancia de Jira, como https://YOUR_DOMAIN_NAME.atlassian.net.

7. Para configurar el parámetro Nombre de usuario, ingresa el nombre de usuario que usas para acceder a Jira como administrador.

8. Para configurar el parámetro Contraseña, ingresa la contraseña que usas para acceder a Jira como administrador.

9. Para configurar el parámetro API Token, ingresa el token de API de tu cuenta de administrador de Atlassian que se generó en la consola de Jira.

10. Haz clic en Ejecutar. Espera hasta que se complete la acción.

Opcional: Configura un diseño personalizado de problemas de Jira

1. Accede a Jira como administrador.
2. Ve a Proyectos > SCC Enterprise Project (SCCE).
3. Ajusta y reordena los campos de problemas. Para obtener más detalles sobre cómo administrar los campos de problemas, consulta Configura el diseño del campo de problema en la documentación de Jira.

Configura la integración de Jira

1. En la consola de operaciones de seguridad, ve a Respuesta > Configuración de integraciones.
2. Selecciona el Entorno predeterminado.
3. En el campo Buscar de la integración, ingresa Jira. La integración de Jira se muestra como un resultado de la búsqueda.
4. Haz clic en settings Configurar instancia. Se abrirá la ventana de diálogo.

5. Para configurar el parámetro API Root, ingresa la raíz de API de tu instancia de Jira, como https://YOUR_DOMAIN_NAME.atlassian.net.

6. Para configurar el parámetro Nombre de usuario, ingresa el nombre de usuario que usas para acceder a Jira. No uses tus credenciales de administrador.

7. Para configurar el parámetro Token de API, ingresa el token de API de tu cuenta de Atlassian que no sea de administrador que se generó en la consola de Jira.

8. Haz clic en Guardar.

9. Para probar la configuración, haz clic en Probar.

Habilita los hallazgos de postura con la guía de Jira

1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.
2. En la barra de búsqueda de la guía, ingresa Generic.
3. Selecciona la guía Posture Findings - Generic. Esta guía está habilitada de forma predeterminada.
4. Mueve el botón de activación para inhabilitar la guía.
5. Haz clic en Guardar.
6. En la barra de búsqueda de la guía, ingresa Jira.
7. Selecciona la guía Postura Hallazgos con Jira. Esta guía está inhabilitada de forma predeterminada.
8. Mueve el botón de activación para habilitar la guía.
9. Haz clic en Guardar.

Cómo realizar la integración con ServiceNow

Asegúrate de completar todos los pasos de integración para sincronizar las actualizaciones de los casos de Google SecOps con los tickets de ServiceNow y asegúrate de usar el flujo de la guía correcto.

Crea y configura el tipo de ticket personalizado de ServiceNow

Asegúrate de crear y configurar el tipo de ticket personalizado de ServiceNow, habilita la pestaña Actividades en la IU de ServiceNow y evita usar el diseño de ticket erróneo.

Crea un tipo de ticket personalizado de ServiceNow

Para crear un tipo de ticket personalizado de ServiceNow, se requieren credenciales de nivel de administrador de ServiceNow.

Para crear un tipo de ticket personalizado, completa los siguientes pasos:

1. En la consola de Operaciones de seguridad, ve a Casos.
2. Selecciona un caso existente o el que simulaste.
3. En la pestaña Case Overview, haz clic en Manual Action.
4. En el campo Buscar de la acción manual, ingresa Create SCC Enterprise.
5. En los resultados de la búsqueda en la integración de SCCEnterprise, selecciona la acción Crear tipo de ticket de postura de nube de SCC Enterprise. Se abrirá la ventana de diálogo.

6. Para configurar el parámetro API Root, ingresa la raíz de la API de tu instancia de ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Para configurar el parámetro Username, ingresa el nombre de usuario que usas para acceder a ServiceNow como administrador.

8. Para configurar el parámetro Password, ingresa la contraseña que usas para acceder a ServiceNow como administrador.

9. Para configurar el parámetro Función de tabla, deja el campo vacío o proporciona un valor si tienes uno. Este parámetro solo acepta un valor de rol.

   De forma predeterminada, el campo Función de tabla está vacío para crear una nueva función personalizada en ServiceNow que permite administrar de manera específica los tickets de Security Command Center Enterprise. Solo los usuarios de ServiceNow con este nuevo rol personalizado tienen acceso a los tickets de Security Command Center Enterprise.

   Si ya tienes una función dedicada a los usuarios que administran incidentes en ServiceNow y deseas usarla para administrar los hallazgos de Security Command Center Enterprise, ingresa el nombre de la función existente de ServiceNow en el campo Función de tabla. Por ejemplo, si proporcionas el valor incident_handler_role existente, todos los usuarios a los que se les otorgó la función incident_handler_role en ServiceNow pueden acceder a los tickets de Security Command Center Enterprise.

10. Haz clic en Ejecutar. Espera hasta que se complete la acción.

Configura el diseño de ticket personalizado de ServiceNow

Para asegurarte de que la IU de ServiceNow muestre con precisión las actualizaciones relacionadas con los casos y sus comentarios, completa los siguientes pasos:

1. En tu cuenta de administrador de ServiceNow, ve a la pestaña Todos.
2. En el campo Buscar, ingresa SCC Enterprise.
3. En la lista desplegable, selecciona el SCC Enterprise Cloud Posture Ticket y ejecuta una búsqueda.
4. Selecciona el ticket de prueba de postura. Se abrirá la página de diseño de tickets de ServiceNow.
5. En la página de diseño de tickets de ServiceNow, ve a Acciones adicionales > Configurar > Diseño de formulario.
6. Ve a la sección Vista y sección del formulario.
7. En el campo Sección, selecciona u_scc_enterprise_cloud_posture_ticket.
8. Haz clic en Guardar. Después de que se actualiza la página, la plantilla del ticket tiene campos distribuidos en dos columnas.
9. Ve a Acciones adicionales > Configurar > Diseño del formulario.
10. Ve a la sección Vista y sección del formulario.
11. En el campo Sección, selecciona Resumen.
12. Haz clic en Guardar. Después de que se actualiza la página, la plantilla del ticket tiene la nueva estructura Summary.

Configura la integración de ServiceNow

1. En la consola de operaciones de seguridad, ve a Respuesta > Configuración de integraciones.
2. Selecciona el Entorno predeterminado.
3. En el campo Buscar de la integración, ingresa ServiceNow. La integración ServiceNow se muestra como un resultado de la búsqueda.
4. Haz clic en settings Configurar instancia. Se abrirá la ventana de diálogo.

5. Para configurar el parámetro API Root, ingresa la raíz de la API de tu instancia de ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/.

6. Para configurar el parámetro Username, ingresa el nombre de usuario que usas para acceder a ServiceNow. No uses tus credenciales de administrador.

7. Para configurar el parámetro Password, ingresa la contraseña que usas para acceder a ServiceNow. No uses tus credenciales de administrador.

8. Haz clic en Guardar.

9. Para probar la configuración, haz clic en Probar.

Habilita los hallazgos de la postura con la guía SNOW

1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.
2. En la barra de búsqueda de la guía, ingresa Generic.
3. Selecciona la guía Posture Findings - Generic. Esta guía está habilitada de forma predeterminada.
4. Mueve el botón de activación para inhabilitar la guía.
5. Haz clic en Guardar.
6. En la barra de búsqueda de la guía, ingresa SNOW.
7. Selecciona la guía Postura Hallazgos con NIEVE. Esta guía está inhabilitada de forma predeterminada.
8. Mueve el botón de activación para habilitar la guía.
9. Haz clic en Guardar.

Habilitar la sincronización de datos del caso

Security Command Center sincroniza automáticamente la información entre un caso y su ticket correspondiente, lo que garantiza que la prioridad, el estado, los comentarios y otros datos relevantes coincidan entre un caso y su ticket.

Para sincronizar los datos de casos, Security Command Center usa procesos automáticos internos llamados trabajos de sincronización. Los trabajos Sync SCC-Jira Tickets y Sync SCC-ServiceNow Tickets sincronizan los datos de casos entre Security Command Center y los sistemas de tickets integrados. En un principio, ambos trabajos están inhabilitados y requieren que los habilites para iniciar la sincronización automática de datos del caso.

Cerrar un caso resuelve automáticamente el ticket correspondiente. La resolución de un ticket en Jira o ServiceNow activa los trabajos de sincronización para que también se cierre el caso.

Antes de comenzar

Para habilitar la sincronización de casos, debes tener alguna de las siguientes funciones de SOC en la consola de operaciones de seguridad:

• Administrador
• Administrador de vulnerabilidades
• Administrador de amenazas

Para obtener más detalles sobre las funciones del SOC en la consola de operaciones de seguridad y los permisos necesarios para los usuarios, consulta Controla el acceso a las funciones en la consola de operaciones de seguridad.

Habilitar la sincronización para los sistemas de tickets

Para garantizar que la información en los casos y tickets se sincronice de forma automática, habilita el trabajo de sincronización relevante para el sistema de tickets con el que te integraste.

Para habilitar el trabajo de sincronización, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Respuesta > Programador de trabajos.

2. Elige el trabajo de sincronización correcto:

   • Si realizaste la integración con Jira, selecciona el trabajo Sync SCC-Jira Tickets.

   • Si integraste ServiceNow, selecciona el trabajo de sincronización de tickets de SCC-ServiceNow.

3. Usa el botón de activación para habilitar el trabajo seleccionado.

4. Haz clic en Guardar para habilitar que Security Command Center sincronice de forma automática los datos del caso con un sistema de tickets.

Crear tickets para casos existentes

Security Command Center crea tickets de forma automática solo para los casos que se abren después de que te hayas integrado a un sistema de tickets y no adjunta guías nuevas a alertas existentes de forma retroactiva. Si deseas crear tickets para casos abiertos antes de integrarse con un sistema de tickets, usa uno de los siguientes enfoques:

• Cierra un caso que no tenga ticket y espera hasta que SCC revise los resultados y asigne una guía nueva a las alertas de casos.

• Agrega de forma manual una guía a cualquier alerta en un caso que se haya abierto antes de la integración en un sistema de tickets.

Cierra un caso sin ticket

Para cerrar un caso que no tiene ticket, sigue estos pasos:

1. En la consola de Operaciones de seguridad, ve a Casos.

2. Haz clic en Abrir filtro. Se abrirá el panel Filtro de cola de casos.

3. En el filtro de cola de casos, especifica lo siguiente:

   1. En el campo Período (Time Frame), especifica el período de los casos abiertos.
   2. Configura el Operador lógico como AND.
   3. Para el primer valor en Operador lógico, selecciona Etiquetas.
   4. Establece la condición en IS.
   5. Para el segundo valor, selecciona Internal-SCC-Ticket-Info.
   6. Haz clic en Aplicar para actualizar los casos en la cola de casos y mostrar solo aquellos que coincidan con el filtro que especificaste.

4. Selecciona el caso en la cola de casos.

5. En la vista del caso, selecciona Cerrar caso. Se abrirá la ventana Close Case.

6. En la ventana Close Case, especifica lo siguiente:

   1. Selecciona un valor para el campo Reason a fin de indicar el motivo por el que se cierra el caso.

   2. Selecciona un valor en el campo Root Cause para establecer la causa por la que se cierra el caso.

   3. Opcional: Agrega un comentario.

   4. Haz clic en Cerrar para cerrar el caso. Luego, Security Command Center transfiere los resultados a un caso nuevo y les adjunta de forma automática una guía correcta.

Agrega una guía a una alerta de forma manual

Para adjuntar de forma manual una guía a una alerta en un caso existente, completa los siguientes pasos:

1. En la consola de Operaciones de seguridad, ve a Casos.

2. Haz clic en Abrir filtro. Se abrirá el panel Filtro de cola de casos.

3. En el filtro de cola de casos, especifica lo siguiente:

   1. En el campo Período (Time Frame), especifica el período de los casos abiertos.
   2. Configura el Operador lógico como AND.
   3. Para el primer valor en Operador lógico, selecciona Etiquetas.
   4. Establece la condición en IS.
   5. Para el segundo valor, selecciona Internal-SCC-Ticket-Info.
   6. Haz clic en Aplicar para actualizar los casos en la cola de casos y mostrar solo aquellos que coincidan con el filtro que especificaste.

4. Selecciona el caso en la cola de casos.

5. Selecciona cualquier alerta incluida en un caso.

6. En una vista de alerta, ve a la pestaña Guías.

7. Haz clic en add Agregar guía. Aparecerá la ventana Add a Playbook con una lista de guías disponibles.

8. En el campo de búsqueda de la ventana Add a Playbook, ingresa Posture Findings.

   • Si realizaste la integración con Jira, selecciona la guía Posture Findings With Jira.
   • Si integraste ServiceNow, selecciona la guía Posture Findings With SNOW.

9. Haz clic en Add para agregar una guía a una alerta.

Cuando finaliza, la guía crea un ticket para un caso y lo propaga automáticamente con su información.

Agregar una guía a una sola alerta dentro de un caso es suficiente para crear un ticket y activar la sincronización de datos.

¿Qué sigue?

• Obtén información para determinar la propiedad de los resultados de postura.

• Obtén información para agrupar los resultados en casos.

• Obtén información para asignar tickets según los casos de postura.