Integrar o Security Command Center Enterprise aos sistemas de emissão de tíquetes

Este documento explica como integrar o nível Enterprise do Security Command Center. com os sistemas de tíquetes após configurar a orquestração da segurança, funcionalidade de automação e resposta (SOAR, na sigla em inglês) com a tecnologia das Operações de segurança do Google.

A integração com sistemas de tíquetes é opcional e requer treinamento configuração do Terraform. Se você usa o Security Command Center padrão, Enterprise, não é necessário fazer isso. Você pode integrar com um sistema de tíquetes a qualquer momento.

Visão geral

É possível rastrear descobertas usando o console e as APIs com o Configuração do Security Command Center Enterprise. Caso sua organização use sistemas de tíquetes para monitorar problemas, faça a integração com o Jira ou no ServiceNow após configurar o Instância do Google Security Operations.

Ao receber as descobertas dos recursos, o SCC Enterprise - Postura Urgente O Conector de descobertas analisa e filtra as descobertas durante a ingestão e agrupa em casos novos ou atuais, dependendo do tipo de descoberta.

Se você fizer a integração com um sistema de tíquetes, o Security Command Center vai criar um novo sempre que criar um novo caso para descobertas. o Security Command Center atualiza automaticamente o tíquete relacionado sempre que um caso é atualizado.

Um único caso pode conter várias descobertas. o Security Command Center cria um tíquete para cada caso, sincroniza o conteúdo do caso e com o tíquete correspondente para informar aos usuários o que corrigir.

A sincronização entre um caso e o tíquete dele funciona nos dois sentidos:

  • As mudanças feitas em um caso, como uma atualização de status ou um novo comentário, refletidas automaticamente no tíquete associado.

  • Da mesma forma, os detalhes do tíquete são sincronizados com o caso, enriquecendo-o com informações do sistema de tíquetes.

Antes de começar

Antes de configurar o Jira ou o ServiceNow, forneça um endereço de e-mail válido para o parâmetro Fallback Owner do SCC Enterprise - Conector de Descobertas de posturas urgentes e verifique se o e-mail pode ser atribuído no seu sistema de tíquetes.

Integrar com o Jira

Conclua todas as etapas de integração para sincronizar o caso atualizações sobre problemas do Jira e garantir o fluxo correto do playbook.

A prioridade do caso é refletida na gravidade do problema do Jira.

Criar um novo projeto no Jira

Para criar um novo projeto no Jira para os problemas do Security Command Center Enterprise. chamada SCC Enterprise Project (SCCE), execute uma ação manual no caso. Você pode usar qualquer caso existente ou simular um. Para mais informações sobre como simular consulte a página Simular casos na documentação do Google SecOps.

Para criar um novo projeto Jira, é necessário ter credenciais de administrador do Jira.

Para criar um novo projeto Jira, siga estas etapas:

  1. No console de Operações de Segurança, acesse Casos.
  2. Selecione um caso existente ou o que você simulou.
  3. Na guia Visão geral do caso, clique em Ação manual.
  4. No campo Pesquisar de ação manual, insira Create SCC Enterprise.
  5. Nos resultados da pesquisa, abaixo da integração SCCEnterprise, selecione o Ação Criar um tíquete de postura de nuvem do SCC Enterprise. Caixa de diálogo uma nova janela será aberta.

  6. Para configurar o parâmetro API Root, insira a raiz da API do seu Instância do Jira, como https://YOUR_DOMAIN_NAME.atlassian.net

  7. Para configurar o parâmetro Username, digite o nome de usuário que você usa. faça login no Jira como administrador.

  8. Para configurar o parâmetro Senha, digite a senha que você usa para faça login no Jira como administrador.

  9. Para configurar o parâmetro API Token, insira o token de API do seu Conta de administrador da Atlassian gerada no console do Jira.

  10. Clique em Executar. Aguarde até que a ação seja concluída.

Opcional: configurar o layout de problemas personalizado do Jira

  1. Faça login no Jira como administrador.
  2. Acesse Projetos > SCC Enterprise Project (SCCE).
  3. Ajuste e reorganize os campos de problemas. Para mais detalhes sobre como gerenciar campos problemáticos, consulte Como configurar o layout do campo de problemas na documentação do Jira.

Configurar a integração com o Jira

  1. No console de Operações de Segurança, acesse Resposta > Configuração de integrações.
  2. Selecione o Ambiente padrão.
  3. No campo Pesquisar da integração, digite Jira. A Jira como resultado da pesquisa.
  4. Clique em Configurar instância. A janela de diálogo é aberta.

  5. Para configurar o parâmetro API Root, insira a raiz da API do seu Instância do Jira, como https://YOUR_DOMAIN_NAME.atlassian.net

  6. Para configurar o parâmetro Username, digite o nome de usuário que você usa. faça login no Jira. Não use suas credenciais de administrador.

  7. Para configurar o parâmetro API Token, insira o token de API do seu Conta da Atlassian não administrador gerada no console do Jira.

  8. Clique em Salvar.

  9. Para testar a configuração, clique em Testar.

Ativar as descobertas de postura com o playbook do Jira

  1. No console de Operações de Segurança, acesse Resposta > Playbooks.
  2. Na barra Pesquisa do Playbook, digite Generic.
  3. Selecione o playbook Descobertas de postura – Genérica. Este playbook está ativado por padrão.
  4. Alterne o botão para desativar o playbook.
  5. Clique em Salvar.
  6. Na barra Pesquisa do Playbook, digite Jira.
  7. Selecione o playbook Descobertas de postura com o Jira. Este playbook está desativado por padrão.
  8. Alterne o botão para ativar o playbook.
  9. Clique em Salvar.

Integrar com o ServiceNow

Conclua todas as etapas de integração para sincronizar atualizações de casos do Google SecOps com tíquetes do ServiceNow e garantir o fluxo correto do playbook.

Criar e configurar o tipo de tíquete personalizado do ServiceNow

Crie e configure o tipo de tíquete personalizado ServiceNow ativar a guia Atividades na interface do ServiceNow e evitar o uso de erros no layout do tíquete.

Criar tipo de tíquete personalizado do ServiceNow

A criação de um tipo de tíquete personalizado do ServiceNow exige o nível de administrador do ServiceNow credenciais.

Para criar um tipo de ingresso personalizado, siga estas etapas:

  1. No console de Operações de Segurança, acesse Casos.
  2. Selecione um caso existente ou o que você simulou.
  3. Na guia Visão geral do caso, clique em Ação manual.
  4. No campo Pesquisar de ação manual, insira Create SCC Enterprise.
  5. Nos resultados da pesquisa, abaixo da integração SCCEnterprise, selecione o Ação Criar um tíquete de postura de nuvem do SCC Enterprise SNOW. Caixa de diálogo uma nova janela será aberta.

  6. Para configurar o parâmetro API Root, insira a raiz da API do seu instância do ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/

  7. Para configurar o parâmetro Username, digite o nome de usuário que você usa. faça login no ServiceNow como administrador.

  8. Para configurar o parâmetro Senha, digite a senha que você usa para faça login no ServiceNow como administrador.

  9. Para configurar o parâmetro Papel da tabela, deixe o campo em branco ou forneça um valor, se houver. Esse parâmetro aceita apenas um valor de papel.

    Por padrão, o campo Papel da tabela fica vazio para criar um papel personalizado ServiceNow para gerenciar especificamente os tíquetes do Security Command Center Enterprise. Somente os usuários do ServiceNow que receberam esse novo papel personalizado têm acesso ao Tíquetes do Security Command Center Enterprise.

    Se você já tiver um papel dedicado para usuários que gerenciam incidentes em ServiceNow e quer usar esse papel para gerenciar o Security Command Center Descobertas empresariais, digite o nome do papel ServiceNow Papel da tabela. Por exemplo, se você fornecer o modelo incident_handler_role, todos os usuários receberam o O papel incident_handler_role no ServiceNow pode acessar o Tíquetes do Security Command Center Enterprise.

  10. Clique em Executar. Aguarde até que a ação seja concluída.

Configurar o layout personalizado do tíquete do ServiceNow

Garantir que a interface do ServiceNow exiba com precisão as atualizações relacionadas aos casos e comentários sobre o caso, siga estas etapas:

  1. Na conta de administrador do ServiceNow, acesse a guia Todos.
  2. No campo Pesquisa, digite SCC Enterprise.
  3. Na lista suspensa, selecione Tíquete de postura de nuvem do SCC Enterprise e faça uma pesquisa.
  4. Selecione o Tíquete de teste de postura. A página de layout do tíquete do ServiceNow será aberta.
  5. Na página de layout do tíquete do ServiceNow, acesse Ações adicionais > Configurar > Layout do formulário.
  6. Acesse a seção Visualização e seção do formulário.
  7. No campo Seção, selecione u_scc_enterprise_cloud_posture_ticket.
  8. Clique em Salvar. Após a atualização da página, o modelo de tíquete tem campos distribuídos em duas colunas.
  9. Acesse Ações adicionais > Configurar > Layout do formulário.
  10. Acesse a seção Visualização e seção do formulário.
  11. No campo Seção, selecione Resumo.
  12. Clique em Salvar. Depois que a página for atualizada, o modelo de tíquete terá o novo Estrutura do resumo.

Configurar a integração do ServiceNow

  1. No console de Operações de Segurança, acesse Resposta > Integrações Configuração.
  2. Selecione o Ambiente padrão.
  3. No campo Pesquisar da integração, digite ServiceNow. O serviço ServiceNow como resultado da pesquisa.
  4. Clique em Configurar instância. A janela de diálogo é aberta.

  5. Para configurar o parâmetro API Root, insira a raiz da API do seu instância do ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/

  6. Para configurar o parâmetro Username, digite o nome de usuário que você usa. faça login no ServiceNow. Não use suas credenciais de administrador.

  7. Para configurar o parâmetro Senha, digite a senha que você usa para faça login no ServiceNow. Não use suas credenciais de administrador.

  8. Clique em Salvar.

  9. Para testar a configuração, clique em Testar.

Ativar o playbook de descobertas de postura com SNOW

  1. No console de Operações de Segurança, acesse Resposta > Playbooks.
  2. Na barra Pesquisa do Playbook, digite Generic.
  3. Selecione o playbook Descobertas de postura – Genérica. Este playbook está ativado por padrão.
  4. Alterne o botão para desativar o playbook.
  5. Clique em Salvar.
  6. Na barra Pesquisa do Playbook, digite SNOW.
  7. Selecione o playbook Descobertas de postura com SNOW. Este playbook está desativado por padrão.
  8. Alterne o botão para ativar o playbook.
  9. Clique em Salvar.

Ativar a sincronização de dados de casos

O Security Command Center sincroniza automaticamente as informações entre um caso e o tíquete correspondente, garantindo a correspondência de prioridade, status, comentários e outros dados relevantes entre um caso e seu tíquete.

Para sincronizar os dados dos casos, o Security Command Center usa processos internos automáticos chamados jobs de sincronização. As opções Sync SCC-Jira Tickets e Sync Os jobs de tíquetes do SCC-ServiceNow sincronizam dados de casos entre o Security Command Center e sistemas de emissão de tíquetes integrados. Os dois jobs estão inicialmente desativados e precisam para permitir que eles iniciem a sincronização automática de dados de casos.

O encerramento de um caso resolve automaticamente o tíquete correspondente. Ao resolver um no Jira ou no ServiceNow aciona os jobs de sincronização para encerrar o caso. também.

Antes de começar

Para ativar a sincronização de casos, é necessário ter qualquer um dos seguintes SOCs no console de Operações de Segurança:

  • Administrador
  • Gerenciador de vulnerabilidades
  • Gerenciador de ameaças

Para mais detalhes sobre os papéis do SOC no console de Operações de Segurança e permissões para os usuários, consulte Controlar o acesso aos recursos em console de Operações de Segurança.

Ativar a sincronização para sistemas de tíquetes

Para garantir que as informações em casos e tíquetes sejam automaticamente sincronizado, ativa o job de sincronização relevante para a venda de tíquetes com o qual você integrou.

Para ativar o job de sincronização, siga estas etapas:

  1. No console de Operações de Segurança, vá para Resposta > Job Programador.

  2. Escolha o job de sincronização correto:

    • Se você fez a integração com o Jira, selecione o job Sincronizar tíquetes SCC-Jira.

    • Se você fez a integração com o ServiceNow, selecione Sincronizar tíquetes SCC-ServiceNow trabalho.

  3. Alterne o botão para ativar o job selecionado.

  4. Clique em Save para ativar a sincronização automática do caso do Security Command Center. com um sistema de tíquetes.

Criar tíquetes para casos existentes

O Security Command Center cria tíquetes automaticamente apenas para casos abertos após o foi integrado a um sistema de tíquetes e não anexa novas solicitações playbooks a alertas atuais. Para criar tíquetes para casos abertos antes Ao fazer a integração com um sistema de tíquetes, use uma das seguintes abordagens:

  • Encerre um caso que não tenha tíquete e aguarde até que o SCC recupere as descobertas e atribui um novo playbook aos alertas de caso.

  • Adicione manualmente um playbook a qualquer alerta em um caso que tenha sido aberto antes de você integrados a um sistema de tíquetes.

Encerrar um caso sem tíquete

Para encerrar um caso sem tíquete, siga estas etapas:

  1. No console de Operações de Segurança, acesse Casos.

  2. Clique em Abrir filtro. Painel Filtro de fila de casos abre.

  3. Em Filtro de fila de casos, especifique o seguinte:

    1. No campo Período, especifique o período dos casos abertos.
    2. Defina Operador lógico como AND.
    3. Para o primeiro valor em Operador lógico, selecione Tags.
    4. Defina a condição como É.
    5. Para o segundo valor, selecione Internal-SCC-Ticket-Info.
    6. Clique em Aplicar para atualizar casos na fila de casos e mostrar apenas os casos que correspondem ao filtro especificado.

  4. Na fila de casos, selecione o caso.

  5. Na visualização Caso, selecione Encerrar caso. A janela Close Case vai ser aberta.

  6. Na janela Encerrar caso, especifique o seguinte:

    1. Selecione um valor no campo Motivo para indicar o motivo do fechamento. o caso.

    2. Selecione um valor no campo Causa raiz para indicar a causa do o caso.

    3. Opcional: adicione um comentário.

    4. Clique em Fechar para encerrar o caso. o Security Command Center, reingere as descobertas em um novo caso e anexa automaticamente uma resposta correta manual para eles.

Adicionar um playbook manualmente a um alerta

Para anexar manualmente um playbook a um alerta em um caso atual, conclua o etapas a seguir:

  1. No console de Operações de Segurança, acesse Casos.

  2. Clique em Abrir filtro. Painel Filtro de fila de casos abre.

  3. Em Filtro de fila de casos, especifique o seguinte:

    1. No campo Período, especifique o período dos casos abertos.
    2. Defina Operador lógico como AND.
    3. Para o primeiro valor em Operador lógico, selecione Tags.
    4. Defina a condição como É.
    5. Para o segundo valor, selecione Internal-SCC-Ticket-Info.
    6. Clique em Aplicar para atualizar casos na fila de casos e mostrar apenas os casos que correspondem ao filtro especificado.

  4. Na fila de casos, selecione o caso.

  5. Selecione qualquer alerta contido em um caso.

  6. Em uma visualização de alerta, acesse a guia Playbooks.

  7. Clique em adicionar Adicionar playbook. A janela Adicionar um playbook com uma lista de playbooks disponíveis será exibida.

  8. No campo de pesquisa da janela Adicionar um playbook, digite Posture Findings

    • Se você fez a integração com o Jira, selecione Descobertas de postura com o Jira playbook.
    • Se você fez a integração com o ServiceNow, selecione a opção Descobertas de postura com SNOW.

  9. Clique em Adicionar para adicionar um playbook a um alerta.

Após a conclusão, o playbook cria um tíquete para um caso e automaticamente preenche o tíquete com informações do caso.

Adicionar um playbook a um único alerta em um caso é suficiente para criar um e acionar a sincronização de dados.

A seguir