Security Command Center Enterprise in Ticketsysteme einbinden

In diesem Dokument wird beschrieben, wie Sie die Enterprise-Stufe von Security Command Center nach der Konfiguration von SOAR (Security Orchestration, Automation and Response) in Ticketsysteme einbinden.

Die Einbindung in Ticketsysteme ist optional und erfordert eine manuelle Konfiguration. Wenn Sie die Standardkonfiguration von Security Command Center Enterprise verwenden, müssen Sie diese Schritte nicht ausführen. Sie können die Einbindung in ein Ticketsystem später jederzeit vornehmen.

Übersicht

Mit der Standardkonfiguration von Security Command Center Enterprise können Sie Ergebnisse über die Console und APIs verfolgen. Wenn Ihre Organisation ein Ticketsystem zur Erfassung von Problemen verwendet, integrieren Sie es nach der Konfiguration Ihrer Google Security Operations-Instanz in Jira oder ServiceNow.

Wenn Ergebnisse für Ressourcen empfangen werden, werden sie vom SCC Enterprise – Urgent Posture Findings Connector analysiert und je nach Ergebnistyp in neue oder vorhandene Fälle gruppiert.

Wenn Sie eine Ticketsystem-Integration verwenden, wird in Security Command Center jedes Mal ein neues Ticket erstellt, wenn ein neuer Fall für Ergebnisse erstellt wird. Das zugehörige Ticket wird in Security Command Center automatisch aktualisiert, sobald ein Fall aktualisiert wird.

Ein einzelner Fall kann mehrere Ergebnisse enthalten. In Security Command Center wird für jeden Fall ein Ticket erstellt und der Fallinhalt und die Informationen werden mit dem entsprechenden Ticket synchronisiert, damit die zugewiesenen Personen wissen, was zu tun ist.

Die Synchronisierung zwischen einem Fall und seinem Ticket funktioniert in beide Richtungen:

  • Änderungen an einer Anfrage, z. B. eine Statusaktualisierung oder ein neuer Kommentar, werden automatisch im zugehörigen Ticket übernommen.

  • Ebenso werden Ticketdetails mit dem Fall synchronisiert und mit Informationen aus dem Ticketsystem angereichert.

Hinweise

Geben Sie vor der Konfiguration von Jira oder ServiceNow eine gültige E-Mail-Adresse für den Parameter Fallback Owner im SCC Enterprise – Connector für dringende Posture-Ergebnisse an und achten Sie darauf, dass diese E-Mail-Adresse in Ihrem Ticketsystem zugewiesen werden kann.

Mit Jira integrieren

Führe alle Integrationsschritte aus, um die Fallaktualisierungen mit Jira-Problemen zu synchronisieren und den korrekten Ablauf des Playbooks zu gewährleisten.

Die Fallpriorität wird in der Problemschwere in Jira berücksichtigt.

Neues Projekt in Jira erstellen

Wenn Sie ein neues Projekt in Jira für die Security Command Center Enterprise-Probleme mit dem Namen SCC Enterprise Project (SCCE) erstellen möchten, führen Sie eine manuelle Aktion im Fall aus. Sie können einen vorhandenen Fall verwenden oder einen simulieren. Weitere Informationen zum Simulieren von Fällen finden Sie auf der Seite Fälle simulieren in der Google SecOps-Dokumentation.

Zum Erstellen eines neuen Jira-Projekts sind Anmeldedaten auf Jira-Administratorebene erforderlich.

So erstellen Sie ein neues Jira-Projekt:

  1. Klicken Sie in der Security Operations Console auf Fälle.
  2. Wählen Sie einen vorhandenen Fall oder den simulierten Fall aus.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie im Feld Suchen der manuellen Aktion Create SCC Enterprise ein.
  5. Wählen Sie in den Suchergebnissen unter der Integration SCCEnterprise die Aktion Create SCC Enterprise Cloud Posture Ticket Type Jira (SCC Enterprise-Tickettyp „Cloud-Posture“ in Jira erstellen) aus. Das Dialogfeld wird geöffnet.
  6. Geben Sie zum Konfigurieren des Parameters API-Stamm den API-Stamm Ihrer Jira-Instanz ein, z. B. https://YOUR_DOMAIN_NAME.atlassian.net.

  7. Geben Sie den Nutzernamen ein, mit dem Sie sich als Administrator in Jira anmelden, um den Parameter Username zu konfigurieren.

  8. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, mit dem Sie sich als Administrator in Jira anmelden.

  9. Geben Sie zum Konfigurieren des Parameters API-Token das API-Token Ihres Atlassian-Administratorkontos ein, das in der Jira-Konsole generiert wurde.

  10. Klicken Sie auf Ausführen. Warten Sie, bis die Aktion abgeschlossen ist.

Optional: Benutzerdefiniertes Jira-Problemlayout konfigurieren

  1. Melden Sie sich als Administrator in Jira an.
  2. Gehen Sie zu Projects > SCC Enterprise Project (SCCE).
  3. Passen Sie die Problemfelder an und ordnen Sie sie neu an. Weitere Informationen zum Verwalten von Problemfeldern finden Sie in der Jira-Dokumentation unter Layout von Problemfeldern konfigurieren.

Jira-Integration konfigurieren

  1. Klicken Sie in der Security Operations Console auf Response > Integrationseinrichtung.
  2. Wählen Sie die Standardumgebung aus.
  3. Geben Sie im Feld Suchen der Integration Jira ein. Die Jira wird als Suchergebnis zurückgegeben.
  4. Klicken Sie auf Instanz konfigurieren. Das Dialogfeld wird geöffnet.
  5. Geben Sie zum Konfigurieren des Parameters API-Stamm den API-Stamm Ihrer Jira-Instanz ein, z. B. https://YOUR_DOMAIN_NAME.atlassian.net.

  6. Geben Sie den Nutzernamen ein, mit dem Sie sich in Jira anmelden, um den Parameter Username zu konfigurieren. Verwenden Sie nicht Ihre Administratoranmeldedaten.

  7. Geben Sie zum Konfigurieren des Parameters API-Token das API-Token Ihres nicht-administratorischen Atlassian-Kontos ein, das in der Jira-Konsole generiert wurde.

  8. Klicken Sie auf Speichern.

  9. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook „Posture Findings With Jira“ aktivieren

  1. Klicken Sie in der Security Operations Console auf Response > Playbooks.
  2. Geben Sie in der Suchleiste des Playbooks Generic ein.
  3. Wählen Sie das Playbook Posture Findings – Generic (Ergebnisse zur Position – allgemein) aus. Dieses Playbook ist standardmäßig aktiviert.
  4. Stellen Sie den Schalter auf Aus, um das Playbook zu deaktivieren.
  5. Klicken Sie auf Speichern.
  6. Geben Sie in der Suchleiste des Playbooks Jira ein.
  7. Wählen Sie das Playbook Posture Findings With Jira aus. Dieses Playbook ist standardmäßig deaktiviert.
  8. Stellen Sie den Schalter auf Aktivieren, um das Playbook zu aktivieren.
  9. Klicken Sie auf Speichern.

Integration mit ServiceNow

Führe alle Integrationsschritte aus, um die Updates von Google SecOps-Anfragen mit ServiceNow-Tickets zu synchronisieren und den korrekten Ablauf des Playbooks zu gewährleisten.

Benutzerdefinierten ServiceNow-Tickettyp erstellen und konfigurieren

Erstellen und konfigurieren Sie den benutzerdefinierten Tickettyp von ServiceNow, aktivieren Sie den Tab „Aktivitäten“ in der ServiceNow-Benutzeroberfläche und vermeiden Sie das fehlerhafte Ticketlayout.

Benutzerdefinierten ServiceNow-Tickettyp erstellen

Zum Erstellen eines benutzerdefinierten ServiceNow-Tickettyps sind Anmeldedaten auf ServiceNow-Administratorebene erforderlich.

So erstellen Sie einen benutzerdefinierten Tickettyp:

  1. Klicken Sie in der Security Operations Console auf Cases (Fälle).
  2. Wählen Sie einen vorhandenen Fall oder den simulierten Fall aus.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie im Feld Suchen der manuellen Aktion Create SCC Enterprise ein.
  5. Wähle in den Suchergebnissen unter der Integration SCCEnterprise die Aktion Create SCC Enterprise Cloud Posture Ticket Type SNOW (SCC Enterprise-Tickettyp „Cloud-Status“ erstellen) aus. Das Dialogfeld wird geöffnet.
  6. Geben Sie zum Konfigurieren des Parameters API-Stamm den API-Stamm Ihrer ServiceNow-Instanz ein, z. B. https://INSTANCE_NAME.service-now.com/api/now/v1/.

  7. Geben Sie den Nutzernamen ein, mit dem Sie sich als Administrator in ServiceNow anmelden, um den Parameter Username zu konfigurieren.

  8. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, mit dem Sie sich als Administrator in ServiceNow anmelden.

  9. Wenn Sie den Parameter Table Role konfigurieren möchten, lassen Sie das Feld leer oder geben Sie einen Wert an, falls vorhanden. Für diesen Parameter ist nur ein Rollenwert zulässig.

    Das Feld Table Role (Tabellenrolle) ist standardmäßig leer. Hier können Sie eine neue benutzerdefinierte Rolle in ServiceNow erstellen, um speziell die Security Command Center Enterprise-Tickets zu verwalten. Nur ServiceNow-Nutzer, denen diese neue benutzerdefinierte Rolle zugewiesen wurde, haben Zugriff auf die Security Command Center Enterprise-Tickets.

    Wenn Sie bereits eine spezielle Rolle für Nutzer haben, die Vorfälle in ServiceNow verwalten, und diese Rolle zum Verwalten der Ergebnisse von Security Command Center Enterprise verwenden möchten, geben Sie den Namen der vorhandenen ServiceNow-Rolle in das Feld Tabellenrolle ein. Wenn Sie beispielsweise den vorhandenen Wert incident_handler_role angeben, können alle Nutzer, denen in ServiceNow die Rolle incident_handler_role zugewiesen wurde, auf die Security Command Center Enterprise-Tickets zugreifen.

  10. Klicken Sie auf Ausführen. Warten Sie, bis die Aktion abgeschlossen ist.

Benutzerdefiniertes Ticketlayout für ServiceNow konfigurieren

Führen Sie die folgenden Schritte aus, damit die Updates zu Supportanfragen und zu Supportanfragekommentaren in der ServiceNow-Benutzeroberfläche korrekt angezeigt werden:

  1. Rufen Sie in Ihrem ServiceNow-Administratorkonto den Tab Alle auf.
  2. Geben Sie im Feld Suchen SCC Enterprise ein.
  3. Wählen Sie in der Drop-down-Liste SCC Enterprise Cloud Posture Ticket aus und führen Sie eine Suche aus.
  4. Wählen Sie das Ticket für den Haltungstest aus. Die Seite mit dem Ticketlayout von ServiceNow wird geöffnet.
  5. Gehen Sie auf der Seite „Ticketlayout“ von ServiceNow zu Zusätzliche Aktionen > Konfigurieren > Formularlayout.
  6. Gehen Sie zum Abschnitt Formularanzeige und Bereich.
  7. Wählen Sie im Feld Section die Option u_scc_enterprise_cloud_posture_ticket aus.
  8. Klicken Sie auf Speichern. Nach der Aktualisierung der Seite sind die Felder der Ticketvorlage in zwei Spalten angeordnet.
  9. Gehen Sie zu Zusätzliche Aktionen > Konfigurieren > Formularlayout.
  10. Gehen Sie zum Abschnitt Formularanzeige und Bereich.
  11. Wählen Sie im Feld Abschnitt die Option Zusammenfassung aus.
  12. Klicken Sie auf Speichern. Nach der Aktualisierung der Seite hat die Ticketvorlage die neue Zusammenfassungsstruktur.

ServiceNow-Integration konfigurieren

  1. Klicken Sie in der Security Operations Console auf Response > Integrations setup (Reaktion > Integrationseinrichtung).
  2. Wählen Sie die Standardumgebung aus.
  3. Geben Sie im Feld Suchen der Integration ServiceNow ein. Die ServiceNow-Integration wird als Suchergebnis zurückgegeben.
  4. Klicken Sie auf Instanz konfigurieren. Das Dialogfeld wird geöffnet.
  5. Geben Sie zum Konfigurieren des Parameters API-Stamm den API-Stamm Ihrer ServiceNow-Instanz ein, z. B. https://INSTANCE_NAME.service-now.com/api/now/v1/.

  6. Geben Sie den Nutzernamen ein, mit dem Sie sich in ServiceNow anmelden, um den Parameter Username zu konfigurieren. Verwenden Sie nicht Ihre Administratoranmeldedaten.

  7. Geben Sie zum Konfigurieren des Parameters Passwort das Passwort ein, mit dem Sie sich in ServiceNow anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

  8. Klicken Sie auf Speichern.

  9. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook „Posture Findings With SNOW“ aktivieren

  1. Klicken Sie in der Security Operations Console auf Response > Playbooks.
  2. Geben Sie in der Suchleiste des Playbooks Generic ein.
  3. Wählen Sie das Playbook Posture Findings – Generic (Ergebnisse zur Position – allgemein) aus. Dieses Playbook ist standardmäßig aktiviert.
  4. Stellen Sie den Schalter auf Aus, um das Playbook zu deaktivieren.
  5. Klicken Sie auf Speichern.
  6. Geben Sie in der Suchleiste des Playbooks SNOW ein.
  7. Wählen Sie das Playbook Posture Findings With SNOW aus. Dieses Playbook ist standardmäßig deaktiviert.
  8. Stellen Sie den Schalter auf Aktivieren, um das Playbook zu aktivieren.
  9. Klicken Sie auf Speichern.

Synchronisierung von Falldaten aktivieren

Im Security Command Center werden die Informationen zwischen einem Fall und dem zugehörigen Ticket automatisch synchronisiert, sodass Priorität, Status, Kommentare und andere relevante Daten zwischen einem Fall und dem zugehörigen Ticket übereinstimmen.

Zum Synchronisieren von Falldaten verwendet Security Command Center interne automatische Prozesse, die als Synchronisierungsjobs bezeichnet werden. Mit den Jobs SCC-Jira-Tickets synchronisieren und SCC-ServiceNow-Tickets synchronisieren werden Falldaten zwischen Security Command Center und integrierten Ticketsystemen synchronisiert. Beide Jobs sind anfangs deaktiviert und müssen aktiviert werden, damit die automatische Synchronisierung von Falldaten gestartet werden kann.

Wenn du einen Fall schließt, wird das entsprechende Ticket automatisch geschlossen. Wenn Sie ein Ticket in Jira oder ServiceNow schließen, werden auch die Synchronisierungsjobs ausgelöst, um den Fall zu schließen.

Hinweise

Damit die Fallsynchronisierung aktiviert werden kann, müssen Sie in der Security Operations Console eine der folgenden SOC-Rollen haben:

  • Administrator
  • Vulnerability Manager
  • Threat Manager

Weitere Informationen zu SOC-Rollen in der Security Operations Console und zu den für Nutzer erforderlichen Berechtigungen finden Sie unter Zugriff auf Funktionen in der Security Operations Console steuern.

Synchronisierung für Ticketsysteme aktivieren

Damit die Informationen in Anfragen und Tickets automatisch synchronisiert werden, aktivieren Sie den Synchronisierungsjob, der für das Ticketsystem relevant ist, das Sie eingebunden haben.

Führen Sie die folgenden Schritte aus, um den Synchronisierungsjob zu aktivieren:

  1. Klicken Sie in der Security Operations Console auf Response > Job Scheduler.

  2. Wählen Sie den richtigen Synchronisierungsjob aus:

    • Wenn Sie Jira eingebunden haben, wählen Sie den Job SCC-Jira-Tickets synchronisieren aus.

    • Wenn Sie eine Integration mit ServiceNow vorgenommen haben, wählen Sie den Job SCC-ServiceNow-Tickets synchronisieren aus.

  3. Aktivieren Sie den ausgewählten Job.

  4. Klicken Sie auf Speichern, damit Security Command Center automatisch mit einem Ticketsystem synchronisiert werden.

Tickets für bestehende Anfragen erstellen

Im Security Command Center werden nur für Fälle, die nach der Einbindung in ein Ticketsystem erstellt wurden, automatisch Tickets erstellt. Vorhandene Benachrichtigungen werden nicht rückwirkend mit neuen Playbooks verknüpft. Wenn Sie Tickets für Anfragen erstellen möchten, die vor der Einbindung in ein Ticketsystem erstellt wurden, haben Sie folgende Möglichkeiten:

  • Schließe einen Fall ohne Ticket und warte, bis das SCC die Ergebnisse noch einmal eingibt und den Fallbenachrichtigungen ein neues Playbook zuweist.

  • Fügen Sie jeder Benachrichtigung in einem Fall, der vor der Einbindung in ein Ticketsystem geöffnet wurde, manuell ein Playbook hinzu.

Fall ohne Ticket schließen

So schließen Sie einen Fall ohne Ticket:

  1. Klicken Sie in der Security Operations Console auf Cases (Fälle).

  2. Klicken Sie auf  Filter öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.

  3. Geben Sie im Filter für die Fallwarteschlange Folgendes an:

    1. Geben Sie im Feld Zeitraum den Zeitraum für offene Fälle an.
    2. Legen Sie Logischer Operator auf AND fest.
    3. Wählen Sie für den ersten Wert unter Logischer Operator die Option Tags aus.
    4. Legen Sie die Bedingung auf IS fest.
    5. Wählen Sie für den zweiten Wert Internal-SCC-Ticket-Info aus.
    6. Klicken Sie auf Übernehmen, um die Fälle in der Fallwarteschlange zu aktualisieren und nur die Fälle anzuzeigen, die dem von Ihnen angegebenen Filter entsprechen.
  4. Wählen Sie in der Fallwarteschlange den Fall aus.

  5. Wähle in der Anfrageansicht  Anfrage schließen aus. Das Fenster Case schließen wird geöffnet.

  6. Gib im Fenster Fall schließen Folgendes an:

    1. Wählen Sie für das Feld Grund einen Wert aus, um den Grund für das Schließen des Falls anzugeben.

    2. Wählen Sie einen Wert für das Feld Grund aus, um den Grund für das Schließen des Falls anzugeben.

    3. Optional: Fügen Sie einen Kommentar hinzu.

    4. Klicken Sie auf Schließen, um den Fall zu schließen. Die Ergebnisse werden dann im Security Command Center in einen neuen Fall aufgenommen und automatisch mit dem richtigen Playbook verknüpft.

Playbook manuell zu einer Benachrichtigung hinzufügen

So hängen Sie in einem vorhandenen Fall manuell ein Playbook an eine Benachrichtigung an:

  1. Klicken Sie in der Security Operations Console auf Fälle.

  2. Klicken Sie auf  Filter öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.

  3. Geben Sie im Filter für die Fallwarteschlange Folgendes an:

    1. Geben Sie im Feld Zeitraum den Zeitraum für offene Fälle an.
    2. Legen Sie Logischer Operator auf AND fest.
    3. Wählen Sie für den ersten Wert unter Logischer Operator die Option Tags aus.
    4. Legen Sie die Bedingung auf IS fest.
    5. Wählen Sie für den zweiten Wert Internal-SCC-Ticket-Info aus.
    6. Klicken Sie auf Übernehmen, um die Fälle in der Fallwarteschlange zu aktualisieren und nur die Fälle anzuzeigen, die dem von Ihnen angegebenen Filter entsprechen.
  4. Wählen Sie in der Fallwarteschlange den Fall aus.

  5. Wählen Sie eine Benachrichtigung in einem Fall aus.

  6. Rufen Sie in einer Benachrichtigungsübersicht den Tab Playbooks auf.

  7. Klicken Sie auf Hinzufügen Playbook hinzufügen. Das Fenster Playbook hinzufügen mit einer Liste der verfügbaren Playbooks wird angezeigt.

  8. Geben Sie im Suchfeld des Fensters Playbook hinzufügen den Wert Posture Findings ein.

    • Wenn Sie Jira eingebunden haben, wählen Sie das Playbook Posture-Ergebnisse mit Jira aus.
    • Wenn Sie eine Integration mit ServiceNow vorgenommen haben, wählen Sie das Playbook Posture Findings With SNOW aus.
  9. Klicken Sie auf Hinzufügen, um einer Benachrichtigung ein Playbook hinzuzufügen.

Nach Abschluss erstellt das Playbook ein Ticket für einen Fall und füllt es automatisch mit Informationen aus dem Fall aus.

Wenn Sie einer einzelnen Benachrichtigung in einem Fall ein Playbook hinzufügen, wird ein Ticket erstellt und die Datensynchronisierung ausgelöst.

Nächste Schritte