Integra Security Command Center Enterprise con i sistemi di gestione dei ticket

Questo documento spiega come integrare il livello Enterprise di Security Command Center con i sistemi di gestione dei ticket dopo aver configurato la funzionalità SOAR (Security Orchestration, Automation and Response) basata su Google Security Operations.

L'integrazione con i sistemi di gestione dei ticket è facoltativa e richiede la configurazione manuale. Se utilizzi la configurazione predefinita di Security Command Center Enterprise, non è necessario eseguire questa procedura. Puoi eseguire l'integrazione con un sistema di gestione delle richieste di assistenza in un secondo momento in qualsiasi momento.

Panoramica

Puoi tenere traccia dei risultati utilizzando la console e le API con la configurazione predefinita di Security Command Center Enterprise. Se la tua organizzazione utilizza sistemi di gestione dei ticket per monitorare i problemi, esegui l'integrazione con Jira o ServiceNow dopo aver configurato l'istanza di Google Security Operations.

Dopo aver ricevuto i risultati per le risorse, il connettore SCC Enterprise - Urgent Posture Findings analizza e filtra i risultati durante l'importazione e li raggruppa in casi nuovi o esistenti, a seconda del tipo di risultato.

Se esegui l'integrazione con un sistema di gestione dei ticket, Security Command Center crea un nuovo ticket ogni volta che crea una nuova richiesta per i risultati. Security Command Center aggiorna automaticamente il ticket correlato ogni volta che viene aggiornata una richiesta.

Un singolo caso può contenere più risultati. Security Command Center crea un ticket per ogni richiesta e sincronizza i contenuti e le informazioni della richiesta con il ticket corrispondente per consentire agli assegnatari del ticket di sapere cosa correggere.

La sincronizzazione tra una richiesta e il relativo ticket funziona in entrambi i modi:

  • Le modifiche all'interno di una richiesta, ad esempio un aggiornamento dello stato o un nuovo commento, vengono riflesse automaticamente nel ticket associato.

  • Allo stesso modo, i dettagli dei ticket vengono sincronizzati con la richiesta, arricchendola con le informazioni del sistema di gestione dei ticket.

Prima di iniziare

Prima di configurare Jira o ServiceNow, fornisci un indirizzo email valido per il parametro Fallback Owner (Proprietario di riserva) nel connettore SCC Enterprise - Urgent Posture Findings e assicurati che l'email sia assegnabile nel sistema di gestione dei ticket.

Integrazione con Jira

Assicurati di completare tutti i passaggi di integrazione per sincronizzare gli aggiornamenti delle richieste con i problemi di Jira e assicurarti che il flusso del playbook sia corretto.

La priorità della richiesta è riflessa nella gravità del problema di Jira.

Crea un nuovo progetto in Jira

Per creare un nuovo progetto in Jira per i problemi di Security Command Center Enterprise denominato SCC Enterprise Project (SCCE), esegui un'azione manuale nella richiesta. Puoi utilizzare qualsiasi richiesta esistente o simularne una. Per saperne di più su come simulare le richieste, consulta la pagina Simula richieste nella documentazione di Google SecOps.

Per creare un nuovo progetto Jira sono necessarie le credenziali di livello amministratore Jira.

Per creare un nuovo progetto Jira, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Richieste.
  2. Seleziona una richiesta esistente o quella che hai simulato.
  3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
  4. Nel campo Ricerca dell'azione manuale, inserisci Create SCC Enterprise.
  5. Nei risultati di ricerca sotto l'integrazione SCCEnterprise, seleziona l'azione Crea tipo di ticket di postura SCC Enterprise Cloud Posture. Si apre la finestra di dialogo.

  6. Per configurare il parametro API Root, inserisci la radice API della tua istanza Jira, ad esempio https://YOUR_DOMAIN_NAME.atlassian.net

  7. Per configurare il parametro Username, inserisci il nome utente che utilizzi per accedere a Jira come amministratore.

  8. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a Jira come amministratore.

  9. Per configurare il parametro Token API, inserisci il token API del tuo account amministratore Atlassian generato nella console Jira.

  10. Fai clic su Execute (Esegui). Attendi il completamento dell'azione.

(Facoltativo) Configurare il layout personalizzato dei problemi Jira

  1. Accedi a Jira come amministratore.
  2. Vai a Progetti > Progetto SCC Enterprise (SCCE).
  3. Modifica e riordina i campi dei problemi. Per ulteriori dettagli sulla gestione dei campi relativi ai problemi, consulta Configurare il layout dei campi relativi ai problemi nella documentazione di Jira.

Configura l'integrazione Jira

  1. Nella Security Operations Console, vai a Risposta > Configurazione integrazioni.
  2. Seleziona l'ambiente predefinito.
  3. Nel campo Ricerca dell'integrazione, inserisci Jira. L'integrazione Jira viene restituita come risultato di ricerca.
  4. Fai clic su Configura istanza. Si apre la finestra di dialogo.

  5. Per configurare il parametro API Root, inserisci la radice API della tua istanza Jira, ad esempio https://YOUR_DOMAIN_NAME.atlassian.net

  6. Per configurare il parametro Username, inserisci il nome utente che utilizzi per accedere a Jira. Non utilizzare le tue credenziali di amministratore.

  7. Per configurare il parametro Token API, inserisci il token API del tuo account Atlassian non amministratore che è stato generato nella console Jira.

  8. Fai clic su Salva.

  9. Per testare la configurazione, fai clic su Test.

Abilita il playbook dei risultati della postura con Jira

  1. Nella Security Operations Console, vai a Risposta > Playbook.
  2. Nella barra di ricerca del Playbook, inserisci Generic.
  3. Seleziona il playbook Risultati postura - Generici. Questo playbook è abilitato per impostazione predefinita.
  4. Sposta il pulsante di attivazione/disattivazione per disattivare il playbook.
  5. Fai clic su Salva.
  6. Nella barra di ricerca del Playbook, inserisci Jira.
  7. Seleziona il playbook Risultati della postura con Jira. Questo playbook è disabilitato per impostazione predefinita.
  8. Sposta il pulsante di attivazione/disattivazione per attivare il playbook.
  9. Fai clic su Salva.

Integrazione con ServiceNow

Assicurati di completare tutti i passaggi di integrazione per sincronizzare gli aggiornamenti delle richieste Google SecOps con i ticket ServiceNow e assicurarti il flusso del playbook corretto.

Crea e configura il tipo di ticket personalizzato ServiceNow

Assicurati di creare e configurare il tipo di ticket personalizzato ServiceNow abilita la scheda Attività nell'interfaccia utente di ServiceNow ed evita di utilizzare il layout di ticket errato.

Crea tipo di ticket personalizzato ServiceNow

La creazione di un tipo di ticket ServiceNow personalizzato richiede le credenziali di livello amministrativo di ServiceNow.

Per creare un tipo di ticket personalizzato, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Richieste.
  2. Seleziona una richiesta esistente o quella che hai simulato.
  3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
  4. Nel campo Ricerca dell'azione manuale, inserisci Create SCC Enterprise.
  5. Nei risultati di ricerca sotto l'integrazione di SCCEnterprise, seleziona l'azione Crea tipo di ticket di postura Cloud SCC Enterprise SNOW. Si apre la finestra di dialogo.

  6. Per configurare il parametro API Root, inserisci la radice API dell'istanza ServiceNow, ad esempio https://INSTANCE_NAME.service-now.com/api/now/v1/

  7. Per configurare il parametro Username, inserisci il nome utente che utilizzi per accedere a ServiceNow come amministratore.

  8. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a ServiceNow come amministratore.

  9. Per configurare il parametro Ruolo tabella, lascia il campo vuoto o specifica un valore, se disponibile. Questo parametro accetta un solo valore del ruolo.

    Per impostazione predefinita, il campo Ruolo tabella è vuoto per creare un nuovo ruolo personalizzato in ServiceNow al fine di gestire in modo specifico i ticket Security Command Center Enterprise. Solo gli utenti di ServiceNow a cui è stato concesso questo nuovo ruolo personalizzato hanno accesso ai ticket di Security Command Center Enterprise.

    Se hai già un ruolo dedicato per gli utenti che gestiscono gli incidenti in ServiceNow e vuoi utilizzare questo ruolo per gestire i risultati di Security Command Center Enterprise, inserisci il nome del ruolo ServiceNow esistente nel campo Ruolo tabella. Ad esempio, se fornisci il valore incident_handler_role esistente, tutti gli utenti a cui è stato concesso il ruolo incident_handler_role in ServiceNow possono accedere ai ticket di Security Command Center Enterprise.

  10. Fai clic su Execute (Esegui). Attendi il completamento dell'azione.

Configura il layout personalizzato dei ticket ServiceNow

Per assicurarti che l'interfaccia utente di ServiceNow mostri accuratamente gli aggiornamenti relativi a richieste e commenti relativi alle richieste, completa i seguenti passaggi:

  1. Nel tuo account amministratore di ServiceNow, vai alla scheda Tutti.
  2. Nel campo Cerca, inserisci SCC Enterprise.
  3. Nell'elenco a discesa, seleziona SCC Enterprise Cloud Posture Ticket ed esegui una ricerca.
  4. Seleziona il ticket test postura. Si apre la pagina di layout dei ticket ServiceNow.
  5. Nella pagina di layout dei ticket ServiceNow, vai ad Altre azioni > Configura > Layout modulo.
  6. Vai alla sezione Visualizzazione modulo e sezione.
  7. Nel campo Sezione, seleziona u_scc_enterprise_cloud_posture_ticket.
  8. Fai clic su Salva. Dopo l'aggiornamento della pagina, i campi del modello di ticket sono distribuiti in due colonne.
  9. Vai ad Azioni aggiuntive > Configura > Layout modulo.
  10. Vai alla sezione Visualizzazione modulo e sezione.
  11. Nel campo Sezione, seleziona Riepilogo.
  12. Fai clic su Salva. Una volta aggiornata la pagina, il modello di ticket avrà la nuova struttura di riepilogo.

Configura l'integrazione di ServiceNow

  1. Nella Security Operations Console, vai a Risposta > Configurazione integrazioni.
  2. Seleziona l'ambiente predefinito.
  3. Nel campo Ricerca dell'integrazione, inserisci ServiceNow. L'integrazione ServiceNow viene restituita come risultato di ricerca.
  4. Fai clic su Configura istanza. Si apre la finestra di dialogo.

  5. Per configurare il parametro API Root, inserisci la radice API dell'istanza ServiceNow, ad esempio https://INSTANCE_NAME.service-now.com/api/now/v1/

  6. Per configurare il parametro Username, inserisci il nome utente che utilizzi per accedere a ServiceNow. Non utilizzare le tue credenziali di amministratore.

  7. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a ServiceNow. Non utilizzare le tue credenziali di amministratore.

  8. Fai clic su Salva.

  9. Per testare la configurazione, fai clic su Test.

Abilita il playbook dei risultati della postura con SNOW

  1. Nella Security Operations Console, vai a Risposta > Playbook.
  2. Nella barra di ricerca del Playbook, inserisci Generic.
  3. Seleziona il playbook Risultati postura - Generici. Questo playbook è abilitato per impostazione predefinita.
  4. Sposta il pulsante di attivazione/disattivazione per disattivare il playbook.
  5. Fai clic su Salva.
  6. Nella barra di ricerca del Playbook, inserisci SNOW.
  7. Seleziona il playbook Risultati della postura con NEVE. Questo playbook è disabilitato per impostazione predefinita.
  8. Sposta il pulsante di attivazione/disattivazione per attivare il playbook.
  9. Fai clic su Salva.

Attiva la sincronizzazione dei dati della richiesta

Security Command Center sincronizza automaticamente le informazioni tra una richiesta e il ticket corrispondente, garantendo la corrispondenza di priorità, stato, commenti e altri dati pertinenti tra una richiesta e il relativo ticket.

Per sincronizzare i dati sulle richieste, Security Command Center utilizza processi automatici interni chiamati job di sincronizzazione. I job Sync SCC-Jira Tickets e Sync SCC-ServiceNow Tickets sincronizzano i dati delle richieste tra Security Command Center e i sistemi di gestione dei ticket integrati. Entrambi i job sono inizialmente disabilitati e richiedono la loro abilitazione per avviare la sincronizzazione automatica dei dati relativi alle richieste.

La chiusura di una richiesta comporta la risoluzione automatica del ticket corrispondente. La risoluzione di un ticket in Jira o ServiceNow attiva la chiusura della richiesta anche nei job di sincronizzazione.

Prima di iniziare

Per abilitare la sincronizzazione dei casi, devi disporre di uno dei seguenti ruoli SOC nella Security Operations Console:

  • Amministratore
  • Gestore delle vulnerabilità
  • Gestore delle minacce

Per ulteriori dettagli sui ruoli SOC in Security Operations Console e sulle autorizzazioni richieste per gli utenti, consulta Controllare l'accesso alle funzionalità in Security Operations Console.

Attiva la sincronizzazione per i sistemi di gestione dei ticket

Per garantire che le informazioni relative a richieste e ticket vengano sincronizzate automaticamente, abilita il job di sincronizzazione pertinente al sistema di gestione dei ticket con cui hai eseguito l'integrazione.

Per attivare il job di sincronizzazione, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Risposta > Job Scheduler.

  2. Scegli il job di sincronizzazione corretto:

    • Se hai eseguito l'integrazione con Jira, seleziona il job Sync SCC-Jira Tickets.

    • Se hai eseguito l'integrazione con ServiceNow, seleziona il job Sync SCC-ServiceNow Tickets.

  3. Attiva il pulsante di attivazione/disattivazione per abilitare il job selezionato.

  4. Fai clic su Salva per abilitare Security Command Center che sincronizza automaticamente i dati delle richieste con un sistema di gestione dei ticket.

Crea ticket per le richieste esistenti

Security Command Center crea automaticamente ticket solo per le richieste aperte dopo l'integrazione con un sistema di gestione dei ticket e non collega retroattivamente nuovi playbook agli avvisi esistenti. Per creare ticket per le richieste aperte prima dell'integrazione con un sistema di gestione dei ticket, utilizza uno dei seguenti approcci:

  • Chiudi una richiesta senza ticket e attendi che SCC importi di nuovo i risultati e assegni un nuovo playbook agli avvisi relativi alle richieste.

  • Aggiungi manualmente un playbook a qualsiasi avviso in una richiesta che è stata aperta prima dell'integrazione con un sistema di gestione dei ticket.

Chiudere una richiesta senza ticket

Per chiudere una richiesta senza ticket, svolgi i seguenti passaggi:

  1. Nella Security Operations Console, vai a Richieste.

  2. Fai clic su Apri filtro. Si apre il riquadro Filtro coda di richieste.

  3. Nel filtro coda delle richieste, specifica quanto segue:

    1. Nel campo Intervallo di tempo, specifica il periodo di tempo per le richieste aperte.
    2. Imposta Operatore logico su AND.
    3. Per il primo valore in Operatore logico, seleziona Tag.
    4. Imposta la condizione su IS.
    5. Per il secondo valore, seleziona Internal-SCC-Ticket-Info.
    6. Fai clic su Applica per aggiornare le richieste nella coda di richieste e mostrare solo quelle che corrispondono al filtro specificato.

  4. Seleziona la richiesta dalla coda delle richieste.

  5. Nella Visualizzazione richiesta, seleziona Chiudi richiesta. Si apre la finestra Chiudi richiesta.

  6. Nella finestra Chiudi richiesta, specifica quanto segue:

    1. Seleziona un valore nel campo Motivo per indicare il motivo della chiusura della richiesta.

    2. Seleziona un valore nel campo Causa principale per indicare la causa della chiusura della richiesta.

    3. (Facoltativo) Aggiungi un commento.

    4. Fai clic su Chiudi per chiudere la richiesta. Security Command Center quindi importa nuovamente i risultati in una nuova richiesta e allega automaticamente un playbook corretto.

Aggiungere manualmente un playbook a un avviso

Per collegare manualmente un playbook a un avviso in una richiesta esistente, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Richieste.

  2. Fai clic su Apri filtro. Si apre il riquadro Filtro coda di richieste.

  3. Nel filtro coda delle richieste, specifica quanto segue:

    1. Nel campo Intervallo di tempo, specifica il periodo di tempo per le richieste aperte.
    2. Imposta Operatore logico su AND.
    3. Per il primo valore in Operatore logico, seleziona Tag.
    4. Imposta la condizione su IS.
    5. Per il secondo valore, seleziona Internal-SCC-Ticket-Info.
    6. Fai clic su Applica per aggiornare le richieste nella coda di richieste e mostrare solo quelle che corrispondono al filtro specificato.

  4. Seleziona la richiesta dalla coda delle richieste.

  5. Seleziona un avviso contenuto in una richiesta.

  6. In una visualizzazione dell'avviso, vai alla scheda Playbook.

  7. Fai clic su aggiungi Aggiungi playbook. Viene visualizzata la finestra Aggiungi un playbook con un elenco dei playbook disponibili.

  8. Nel campo di ricerca della finestra Aggiungi un playbook, inserisci Posture Findings.

    • Se hai eseguito l'integrazione con Jira, seleziona il playbook Risultati della postura con Jira.
    • Se hai eseguito l'integrazione con ServiceNow, seleziona il playbook Posture Findings With SNOW.

  9. Fai clic su Aggiungi per aggiungere un playbook a un avviso.

Al termine, il playbook crea un ticket per una richiesta e lo compila automaticamente con le informazioni della richiesta.

È sufficiente aggiungere un playbook a un singolo avviso all'interno di una richiesta per creare un ticket e attivare la sincronizzazione dei dati.

Passaggi successivi