Mengintegrasikan Security Command Center Enterprise dengan sistem pemberian tiket

Dokumen ini menjelaskan cara mengintegrasikan paket Enterprise Security Command Center dengan sistem pemberian tiket setelah mengonfigurasi orkestrasi, otomatisasi, dan respons keamanan (SOAR).

Integrasi dengan sistem penjualan tiket bersifat opsional dan memerlukan konfigurasi manual. Jika menggunakan konfigurasi Security Command Center Enterprise default, Anda tidak perlu melakukan prosedur ini. Anda dapat berintegrasi dengan sistem penjualan tiket nanti kapan saja.

Ringkasan

Anda dapat melacak temuan menggunakan konsol dan API dengan konfigurasi Security Command Center Enterprise default. Jika organisasi Anda menggunakan sistem pemberian tiket untuk melacak masalah, integrasikan dengan Jira atau ServiceNow setelah Anda mengonfigurasi instance Google Security Operations.

Setelah menerima temuan untuk resource, SCC Enterprise – Urgent Posture Findings Connector akan menganalisis dan mengelompokkan temuan tersebut ke dalam kasus baru atau yang sudah ada, bergantung pada jenis temuan.

Jika Anda berintegrasi dengan sistem pemberian tiket, Security Command Center akan membuat tiket baru setiap kali membuat kasus baru untuk temuan. Security Command Center otomatis memperbarui tiket terkait setiap kali kasus diperbarui.

Satu kasus dapat berisi beberapa temuan. Security Command Center membuat satu tiket untuk setiap kasus dan menyinkronkan konten dan informasi kasus dengan tiket yang sesuai untuk memberi tahu penerima tiket apa yang harus diperbaiki.

Sinkronisasi antara kasus dan tiketnya berfungsi dua arah:

  • Perubahan dalam kasus, seperti pembaruan status atau komentar baru, akan otomatis ditampilkan di tiket terkait.

  • Demikian pula, detail tiket disinkronkan kembali ke kasus, yang memperkayanya dengan informasi dari sistem penjualan tiket.

Sebelum memulai

Sebelum mengonfigurasi Jira atau ServiceNow, berikan alamat email yang valid untuk parameter Pemilik Penggantian di SCC Enterprise – Urgent Posture Findings Connector, dan pastikan email ini dapat ditetapkan di sistem pemberian tiket Anda.

Mengintegrasikan dengan Jira

Pastikan untuk menyelesaikan semua langkah integrasi guna menyinkronkan update kasus dengan masalah Jira dan memastikan alur playbook yang benar.

Prioritas kasus tercermin dalam tingkat keparahan masalah Jira.

Membuat project baru di Jira

Untuk membuat project baru di Jira untuk masalah Security Command Center Enterprise yang disebut Project SCC Enterprise (SCCE), jalankan tindakan manual dalam kasus tersebut. Anda dapat menggunakan kasus yang ada atau menyimulasikannya. Untuk informasi selengkapnya tentang menyimulasikan kasus, lihat halaman Menyimulasikan kasus dalam dokumentasi Google SecOps.

Membuat project Jira baru memerlukan kredensial tingkat admin Jira.

Untuk membuat project Jira baru, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Kasus.
  2. Pilih kasus yang ada atau kasus yang telah Anda simulasikan.
  3. Di tab Ringkasan Kasus, klik Tindakan Manual.
  4. Di kolom Telusuri tindakan manual, masukkan Create SCC Enterprise.
  5. Di hasil penelusuran pada integrasi SCCEnterprise, pilih tindakan Create SCC Enterprise Cloud Posture Ticket Type Jira. Jendela dialog akan terbuka.

  6. Untuk mengonfigurasi parameter API Root, masukkan root API instance Jira Anda, seperti https://YOUR_DOMAIN_NAME.atlassian.net

  7. Untuk mengonfigurasi parameter Username, masukkan nama pengguna yang Anda gunakan untuk login ke Jira sebagai administrator.

  8. Untuk mengonfigurasi parameter Sandi, masukkan sandi yang Anda gunakan untuk login ke Jira sebagai administrator.

  9. Untuk mengonfigurasi parameter Token API, masukkan token API akun admin Atlassian Anda yang dibuat di konsol Jira.

  10. Klik Jalankan. Tunggu hingga tindakan selesai.

Opsional: Mengonfigurasi tata letak masalah Jira kustom

  1. Login ke Jira sebagai administrator.
  2. Buka Projects > SCC Enterprise Project (SCCE).
  3. Sesuaikan dan urutkan ulang kolom masalah. Untuk mengetahui detail selengkapnya tentang cara mengelola kolom masalah, lihat Mengonfigurasi tata letak kolom masalah dalam dokumentasi Jira.

Mengonfigurasi integrasi Jira

  1. Di konsol Security Operations, buka Response > Integrations Setup.
  2. Pilih Default Environment.
  3. Di kolom Telusuri integrasi, masukkan Jira. Integrasi Jira ditampilkan sebagai hasil penelusuran.
  4. Klik Configure Instance. Jendela dialog akan terbuka.

  5. Untuk mengonfigurasi parameter API Root, masukkan root API instance Jira Anda, seperti https://YOUR_DOMAIN_NAME.atlassian.net

  6. Untuk mengonfigurasi parameter Username, masukkan nama pengguna yang Anda gunakan untuk login ke Jira. Jangan gunakan kredensial admin Anda.

  7. Untuk mengonfigurasi parameter Token API, masukkan token API akun Atlassian non-admin Anda yang dibuat di konsol Jira.

  8. Klik Simpan.

  9. Untuk menguji konfigurasi, klik Uji.

Mengaktifkan playbook Posture Findings With Jira

  1. Di konsol Security Operations, buka Respons > Playbook.
  2. Di kotak Telusuri Playbook, masukkan Generic.
  3. Pilih playbook Posture Findings - Generic. Playbook ini diaktifkan secara default.
  4. Alihkan tombol untuk menonaktifkan playbook.
  5. Klik Simpan.
  6. Di kotak Telusuri Playbook, masukkan Jira.
  7. Pilih playbook Posture Findings With Jira. Playbook ini dinonaktifkan secara default.
  8. Alihkan tombol ke aktifkan playbook.
  9. Klik Simpan.

Mengintegrasikan dengan ServiceNow

Pastikan untuk menyelesaikan semua langkah integrasi guna menyinkronkan update kasus Google SecOps dengan tiket ServiceNow dan memastikan alur playbook yang benar.

Membuat dan mengonfigurasi jenis tiket kustom ServiceNow

Pastikan untuk membuat dan mengonfigurasi jenis tiket kustom ServiceNow yang mengaktifkan tab Aktivitas di UI ServiceNow dan hindari penggunaan tata letak tiket yang salah.

Membuat jenis tiket kustom ServiceNow

Membuat jenis tiket ServiceNow kustom memerlukan kredensial tingkat admin ServiceNow.

Untuk membuat jenis tiket kustom, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Kasus.
  2. Pilih kasus yang ada atau kasus yang telah Anda simulasikan.
  3. Di tab Ringkasan Kasus, klik Tindakan Manual.
  4. Di kolom Telusuri tindakan manual, masukkan Create SCC Enterprise.
  5. Di hasil penelusuran pada integrasi SCCEnterprise, pilih tindakan Create SCC Enterprise Cloud Posture Ticket Type SNOW. Jendela dialog akan terbuka.

  6. Untuk mengonfigurasi parameter API Root, masukkan root API instance ServiceNow Anda, seperti https://INSTANCE_NAME.service-now.com/api/now/v1/

  7. Untuk mengonfigurasi parameter Username, masukkan nama pengguna yang Anda gunakan untuk login ke ServiceNow sebagai administrator.

  8. Untuk mengonfigurasi parameter Sandi, masukkan sandi yang Anda gunakan untuk login ke ServiceNow sebagai administrator.

  9. Untuk mengonfigurasi parameter Table Role, kosongkan kolom atau berikan nilai jika Anda memilikinya. Parameter ini hanya menerima satu nilai peran.

    Secara default, kolom Table Role kosong untuk membuat peran kustom baru di ServiceNow guna mengelola tiket Security Command Center Enterprise secara khusus. Hanya pengguna ServiceNow yang diberi peran kustom baru ini yang memiliki akses ke tiket Security Command Center Enterprise.

    Jika Anda sudah memiliki peran khusus untuk pengguna yang mengelola insiden di ServiceNow dan ingin menggunakan peran ini untuk mengelola temuan Security Command Center Enterprise, masukkan nama peran ServiceNow yang ada di kolom Table Role. Misalnya, jika Anda memberikan nilai incident_handler_role yang ada, semua pengguna yang diberi peran incident_handler_role di ServiceNow dapat mengakses tiket Security Command Center Enterprise.

  10. Klik Jalankan. Tunggu hingga tindakan selesai.

Mengonfigurasi tata letak tiket kustom ServiceNow

Untuk memastikan UI ServiceNow menampilkan pembaruan yang terkait dengan kasus dan komentar kasus secara akurat, selesaikan langkah-langkah berikut:

  1. Di akun administrator ServiceNow, buka tab Semua.
  2. Di kolom Telusuri, masukkan SCC Enterprise.
  3. Di menu drop-down, pilih SCC Enterprise Cloud Posture Ticket dan jalankan penelusuran.
  4. Pilih Posture Test Ticket. Halaman tata letak tiket ServiceNow akan terbuka.
  5. Di halaman tata letak tiket ServiceNow, buka Tindakan tambahan > Konfigurasi > Tata Letak Formulir.
  6. Buka bagian Tampilan dan bagian formulir.
  7. Di kolom Section, pilih u_scc_enterprise_cloud_posture_ticket.
  8. Klik Simpan. Setelah halaman diperbarui, template tiket memiliki kolom yang didistribusikan ke dalam dua kolom.
  9. Buka Tindakan tambahan > Konfigurasi > Tata Letak Formulir.
  10. Buka bagian Tampilan dan bagian formulir.
  11. Di kolom Section, pilih Summary.
  12. Klik Simpan. Setelah halaman diperbarui, template tiket akan memiliki struktur Ringkasan baru.

Mengonfigurasi integrasi ServiceNow

  1. Di konsol Security Operations, buka Response > Integrations Setup.
  2. Pilih Default Environment.
  3. Di kolom Telusuri integrasi, masukkan ServiceNow. Integrasi ServiceNow ditampilkan sebagai hasil penelusuran.
  4. Klik Configure Instance. Jendela dialog akan terbuka.

  5. Untuk mengonfigurasi parameter API Root, masukkan root API instance ServiceNow Anda, seperti https://INSTANCE_NAME.service-now.com/api/now/v1/

  6. Untuk mengonfigurasi parameter Username, masukkan nama pengguna yang Anda gunakan untuk login ke ServiceNow. Jangan gunakan kredensial admin Anda.

  7. Untuk mengonfigurasi parameter Sandi, masukkan sandi yang Anda gunakan untuk login ke ServiceNow. Jangan gunakan kredensial admin Anda.

  8. Klik Simpan.

  9. Untuk menguji konfigurasi, klik Uji.

Mengaktifkan playbook Posture Findings With SNOW

  1. Di konsol Security Operations, buka Respons > Playbook.
  2. Di kotak Telusuri Playbook, masukkan Generic.
  3. Pilih playbook Posture Findings - Generic. Playbook ini diaktifkan secara default.
  4. Alihkan tombol untuk menonaktifkan playbook.
  5. Klik Simpan.
  6. Di kotak Telusuri Playbook, masukkan SNOW.
  7. Pilih playbook Posture Findings With SNOW. Playbook ini dinonaktifkan secara default.
  8. Alihkan tombol ke aktifkan playbook.
  9. Klik Simpan.

Mengaktifkan sinkronisasi data kasus

Security Command Center otomatis menyinkronkan informasi antara kasus dan tiket yang sesuai, memastikan kecocokan prioritas, status, komentar, dan data relevan lainnya antara kasus dan tiketnya.

Untuk menyinkronkan data kasus, Security Command Center menggunakan proses otomatis internal yang disebut tugas sinkronisasi. Tugas Sinkronkan Tiket SCC-Jira dan Sinkronkan Tiket SCC-ServiceNow menyinkronkan data kasus antara Security Command Center dan sistem pemberian tiket terintegrasi. Kedua tugas ini awalnya dinonaktifkan dan mengharuskan Anda mengaktifkannya untuk memulai sinkronisasi data kasus otomatis.

Menutup kasus akan otomatis menyelesaikan tiket yang sesuai. Menyelesaikan tiket di Jira atau ServiceNow juga akan memicu tugas sinkronisasi untuk menutup kasus.

Sebelum memulai

Untuk mengaktifkan sinkronisasi kasus, Anda harus diberi salah satu peran SOC berikut di konsol Security Operations:

  • Administrator
  • Pengelola Kerentanan
  • Threat Manager

Untuk mengetahui detail selengkapnya tentang peran SOC di konsol Security Operations dan izin yang diperlukan untuk pengguna, lihat Mengontrol akses ke fitur di konsol Security Operations.

Mengaktifkan sinkronisasi untuk sistem penjualan tiket

Untuk memastikan informasi dalam kasus dan tiket otomatis disinkronkan, aktifkan tugas sinkronisasi yang relevan dengan sistem pemberian tiket yang Anda integrasikan.

Untuk mengaktifkan tugas sinkronisasi, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Response > Job Scheduler.

  2. Pilih tugas sinkronisasi yang benar:

    • Jika Anda berintegrasi dengan Jira, pilih tugas Sinkronkan Tiket SCC-Jira.

    • Jika Anda berintegrasi dengan ServiceNow, pilih tugas Sinkronkan Tiket SCC-ServiceNow.

  3. Alihkan tombol untuk mengaktifkan tugas yang dipilih.

  4. Klik Simpan untuk mengaktifkan Security Command Center agar otomatis menyinkronkan data kasus dengan sistem pemberian tiket.

Membuat tiket untuk kasus yang ada

Security Command Center otomatis membuat tiket hanya untuk kasus yang dibuka setelah Anda berintegrasi dengan sistem pemberian tiket dan tidak melampirkan playbook baru secara retroaktif ke pemberitahuan yang ada. Untuk membuat tiket untuk kasus yang dibuka sebelum berintegrasi dengan sistem penjualan tiket, gunakan salah satu pendekatan berikut:

  • Tutup kasus yang tidak memiliki tiket dan tunggu hingga SCC menyerap ulang temuan dan menetapkan playbook baru ke pemberitahuan kasus.

  • Tambahkan playbook secara manual ke pemberitahuan apa pun dalam kasus yang dibuka sebelum Anda terintegrasi dengan sistem pemberian tiket.

Menutup kasus tanpa tiket

Untuk menutup kasus yang tidak memiliki tiket, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Kasus.

  2. Klik Open Filter. Panel Filter antrean kasus akan terbuka.

  3. Di Case queue filter, tentukan hal berikut:

    1. Di kolom Rentang Waktu, tentukan jangka waktu untuk kasus yang terbuka.
    2. Tetapkan Operator logika ke AND.
    3. Untuk nilai pertama di bagian Logical operator, pilih Tags.
    4. Tetapkan kondisi ke IS.
    5. Untuk nilai kedua, pilih Internal-SCC-Ticket-Info.
    6. Klik Terapkan untuk memperbarui kasus dalam antrean kasus dan hanya menampilkan kasus yang cocok dengan filter yang Anda tentukan.

  4. Dari antrean kasus, pilih kasus.

  5. Di Tampilan kasus, pilih Tutup Kasus. Jendela Close Case akan terbuka.

  6. Di jendela Tutup Kasus, tentukan hal berikut:

    1. Pilih nilai untuk kolom Alasan guna menyatakan alasan penutupan kasus.

    2. Pilih nilai untuk kolom Root Cause guna menyatakan penyebab penutupan kasus.

    3. Opsional: Tambahkan komentar.

    4. Klik Tutup untuk menutup kasus. Security Command Center kemudian memasukkan kembali temuan ke dalam kasus baru dan otomatis melampirkan playbook yang benar ke temuan tersebut.

Menambahkan playbook ke pemberitahuan secara manual

Untuk melampirkan playbook secara manual ke pemberitahuan dalam kasus yang ada, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Kasus.

  2. Klik Open Filter. Panel Filter antrean kasus akan terbuka.

  3. Di Case queue filter, tentukan hal berikut:

    1. Di kolom Rentang Waktu, tentukan jangka waktu untuk kasus yang terbuka.
    2. Tetapkan Operator logika ke AND.
    3. Untuk nilai pertama di bagian Logical operator, pilih Tags.
    4. Tetapkan kondisi ke IS.
    5. Untuk nilai kedua, pilih Internal-SCC-Ticket-Info.
    6. Klik Terapkan untuk memperbarui kasus dalam antrean kasus dan hanya menampilkan kasus yang cocok dengan filter yang Anda tentukan.

  4. Dari antrean kasus, pilih kasus.

  5. Pilih pemberitahuan yang terdapat dalam kasus.

  6. Di tampilan pemberitahuan, buka tab Playbook.

  7. Klik add Tambahkan Playbook. Jendela Tambahkan Playbook dengan daftar playbook yang tersedia akan muncul.

  8. Di kolom penelusuran jendela Tambahkan Playbook, masukkan Posture Findings.

    • Jika Anda berintegrasi dengan Jira, pilih playbook Posture Findings With Jira.
    • Jika Anda berintegrasi dengan ServiceNow, pilih playbook Posture Findings With SNOW.

  9. Klik Tambahkan untuk menambahkan playbook ke pemberitahuan.

Setelah selesai, playbook akan membuat tiket untuk kasus dan otomatis mengisi tiket dengan informasi dari kasus tersebut.

Menambahkan playbook ke satu pemberitahuan dalam kasus sudah cukup untuk membuat tiket dan memicu sinkronisasi data.

Langkah selanjutnya