En este documento se explica cómo integrar el nivel Enterprise de Security Command Center con sistemas de asistencia después de configurar la orquestación, la automatización y la respuesta de seguridad (SOAR).
La integración con sistemas de asistencia es opcional y requiere una configuración manual. Si usas la configuración predeterminada de Security Command Center Enterprise, no tienes que seguir este procedimiento. Puedes integrar un sistema de asistencia más adelante en cualquier momento.
Información general
Puedes monitorizar los resultados con la consola y las APIs con la configuración predeterminada de Security Command Center Enterprise. Si tu organización usa sistemas de asistencia para monitorizar problemas, integra Jira o ServiceNow después de configurar tu instancia de Google Security Operations.
Cuando recibe resultados de recursos, el conector de resultados de postura urgente de SCC Enterprise los analiza y los agrupa en casos nuevos o ya abiertos, en función del tipo de resultado.
Si integra un sistema de asistencia, Security Command Center crea un nuevo ticket cada vez que crea un caso para los hallazgos. Security Command Center actualiza automáticamente la incidencia relacionada cada vez que se actualiza un caso.
Un solo caso puede contener varios resultados. Security Command Center crea un ticket para cada caso y sincroniza el contenido y la información del caso con el ticket correspondiente para que los responsables del ticket sepan qué medidas deben tomar.
La sincronización entre un caso y su incidencia funciona en ambos sentidos:
Los cambios que se produzcan en un caso, como una actualización de estado o un comentario nuevo, se reflejarán automáticamente en la incidencia asociada.
Del mismo modo, los detalles de la incidencia se sincronizan con el caso, lo que añade información del sistema de incidencias.
Antes de empezar
Antes de configurar Jira o ServiceNow, proporciona una dirección de correo válida para el parámetro Fallback Owner (Propietario de respaldo) en SCC Enterprise – Urgent Posture Findings Connector (SCC Enterprise – Conector de resultados de postura urgentes) y asegúrate de que se pueda asignar esta dirección de correo en tu sistema de asistencia.
Integración con Jira
Asegúrate de completar todos los pasos de integración para sincronizar las actualizaciones de la incidencia con los problemas de Jira y garantizar que el flujo del manual de procedimientos sea correcto.
La prioridad del caso se refleja en la gravedad del problema de Jira.
Crear un proyecto en Jira
Para crear un proyecto en Jira para los problemas de Security Command Center Enterprise llamado Proyecto de SCC Enterprise (SCCE), ejecuta una acción manual en el caso. Puedes usar cualquier caso que ya tengas o simular uno. Para obtener más información sobre cómo simular casos, consulta la página Simular casos de la documentación de Google SecOps.
Para crear un proyecto de Jira, se necesitan credenciales de administrador de Jira.
Para crear un proyecto de Jira, sigue estos pasos:
- En la Google Cloud consola, ve a Riesgo > Casos.
- Selecciona un caso real o el que has simulado.
- En la pestaña Resumen del caso, haga clic en Acción manual.
- En el campo de acción manual Buscar, introduce
Create SCC Enterprise. - En los resultados de búsqueda de la integración SCCEnterprise, seleccione la acción Create SCC Enterprise Cloud Posture Ticket Type Jira (Crear tipo de incidencia de postura de nube de SCC Enterprise Jira). Se abrirá el cuadro de diálogo.
Para configurar el parámetro API Root (Raíz de la API), introduce la raíz de la API de tu instancia de Jira, como
https://YOUR_DOMAIN_NAME.atlassian.netPara configurar el parámetro Nombre de usuario, introduce el nombre de usuario que usas para iniciar sesión en Jira como administrador.
Para configurar el parámetro Contraseña, introduce la contraseña que usas para iniciar sesión en Jira como administrador.
Para configurar el parámetro Token de API, introduce el token de API de tu cuenta de administrador de Atlassian que se generó en la consola de Jira.
Haz clic en la opción para ejecutar. Espera a que se complete la acción.
Opcional: Configurar un diseño personalizado de las incidencias de Jira
- Inicia sesión en Jira como administrador.
- Ve a Proyectos > Proyecto empresarial de SCC (SCCE).
- Ajustar y reordenar los campos de los problemas. Para obtener más información sobre cómo gestionar los campos de problemas, consulta el artículo Configurar el diseño de los campos de problemas en la documentación de Jira.
Configurar la integración con Jira
- En la Google Cloud consola, ve a Respuesta > Libros de jugadas para abrir el menú de navegación de la consola de operaciones de seguridad.
- En el panel de navegación de la consola de operaciones de seguridad, ve a Respuesta > Configuración de integraciones.
- Selecciona el Entorno predeterminado.
- En el campo Buscar de la integración, introduce
Jira. La integración de Jira se muestra como resultado de búsqueda. - Haz clic en Configurar instancia. Se abrirá la ventana de diálogo.
Para configurar el parámetro API Root (Raíz de la API), introduce la raíz de la API de tu instancia de Jira, como
https://YOUR_DOMAIN_NAME.atlassian.netPara configurar el parámetro Nombre de usuario, introduce el nombre de usuario que usas para iniciar sesión en Jira. No uses tus credenciales de administrador.
Para configurar el parámetro API Token, introduce el token de API de tu cuenta de Atlassian no administrativa que se generó en la consola de Jira.
Haz clic en Guardar.
Para probar la configuración, haz clic en Probar.
Habilita la guía Posture Findings With Jira
- En la consola de Google Cloud , ve a Respuesta > Libros de jugadas para abrir la página Libros de jugadas de la consola de operaciones de seguridad.
- En la barra de Búsqueda de Playbook, escribe
Generic. - Selecciona el manual de respuestas Postura: genérico. Esta guía está habilitada de forma predeterminada.
- Desactiva el interruptor para inhabilitar el manual de procedimientos.
- Haz clic en Guardar.
- En la barra de Búsqueda de Playbook, escribe
Jira. - Selecciona la guía Resultados de postura con Jira. Esta guía está inhabilitada de forma predeterminada.
- Activa el interruptor para habilitar el manual de estrategias.
- Haz clic en Guardar.
Integrar con ServiceNow
Asegúrate de completar todos los pasos de integración para sincronizar las actualizaciones de los casos de Google SecOps con las incidencias de ServiceNow y garantizar que el flujo del manual de procedimientos sea correcto.
Crear y configurar un tipo de incidencia personalizado de ServiceNow
Crea y configura el tipo de incidencia personalizado de ServiceNow, habilita la pestaña Actividades en la interfaz de ServiceNow y evita usar el diseño de incidencia erróneo.
Crear un tipo de incidencia personalizado de ServiceNow
Para crear un tipo de incidencia de ServiceNow personalizado, se necesitan credenciales de administrador de ServiceNow.
Para crear un tipo de ticket personalizado, sigue estos pasos:
- En la Google Cloud consola, ve a Riesgo > Casos.
- Selecciona un caso o el que has simulado.
- En la pestaña Resumen del caso, haga clic en Acción manual.
- En el campo de acción manual Buscar, introduce
Create SCC Enterprise. - En los resultados de búsqueda de la integración SCCEnterprise, selecciona la acción Create SCC Enterprise Cloud Posture Ticket Type SNOW (Crear tipo de ticket de postura de nube de SCC Enterprise). Se abrirá el cuadro de diálogo.
Para configurar el parámetro API Root (Raíz de la API), introduce la raíz de la API de tu instancia de ServiceNow, como
https://INSTANCE_NAME.service-now.com/api/now/v1/Para configurar el parámetro Nombre de usuario, introduce el nombre de usuario que usas para iniciar sesión en ServiceNow como administrador.
Para configurar el parámetro Password, introduce la contraseña que usas para iniciar sesión en ServiceNow como administrador.
Para configurar el parámetro Rol de tabla, deje el campo vacío o proporcione un valor si lo tiene. Este parámetro solo acepta un valor de rol.
De forma predeterminada, el campo Rol de la tabla está vacío. Debes crear un rol personalizado en ServiceNow para gestionar específicamente las incidencias de Security Command Center Enterprise. Solo los usuarios de ServiceNow a los que se les haya concedido este nuevo rol personalizado tendrán acceso a las incidencias de Security Command Center Enterprise.
Si ya tienes un rol específico para los usuarios que gestionan incidentes en ServiceNow y quieres usarlo para gestionar las detecciones de Security Command Center Enterprise, introduce el nombre del rol de ServiceNow en el campo Rol de tabla. Por ejemplo, si proporciona el valor
incident_handler_role, todos los usuarios a los que se les haya asignado el rolincident_handler_roleen ServiceNow podrán acceder a los tickets de Security Command Center Enterprise.Haz clic en la opción para ejecutar. Espera a que se complete la acción.
Configurar el diseño de las incidencias personalizadas de ServiceNow
Para asegurarse de que la interfaz web de ServiceNow muestra correctamente las actualizaciones relacionadas con los casos y los comentarios de los casos, siga estos pasos:
- En tu cuenta de administrador de ServiceNow, ve a la pestaña Todo.
- En el campo Buscar, introduce
SCC Enterprise. - En la lista desplegable, selecciona SCC Enterprise Cloud Posture Ticket y realiza una búsqueda.
- Selecciona el Posture Test Ticket (Ticket de prueba de postura). Se abrirá la página de diseño de la incidencia de ServiceNow.
- En la página de diseño de la incidencia de ServiceNow, vaya a Acciones adicionales > Configurar > Diseño del formulario.
- Ve a la sección Vista y sección del formulario.
- En el campo Section (Sección), selecciona u_scc_enterprise_cloud_posture_ticket.
- Haz clic en Guardar. Una vez que se actualice la página, la plantilla de la incidencia tendrá campos distribuidos en dos columnas.
- Ve a Más acciones > Configurar > Diseño del formulario.
- Ve a la sección Vista y sección del formulario.
- En el campo Sección, selecciona Resumen.
- Haz clic en Guardar. Una vez que se actualice la página, la plantilla de la incidencia mostrará la nueva estructura del resumen.
Configurar la integración de ServiceNow
- En la Google Cloud consola, ve a Respuesta > Libros de jugadas para abrir el menú de navegación de la consola de operaciones de seguridad.
- En el panel de navegación de la consola de Operaciones de seguridad, ve a Respuesta > Configuración de integraciones.
- Selecciona el Entorno predeterminado.
- En el campo Buscar de la integración, introduce
ServiceNow. La integración de ServiceNow aparecerá como resultado de búsqueda. - Haz clic en Configurar instancia. Se abrirá la ventana de diálogo.
Para configurar el parámetro API Root (Raíz de la API), introduce la raíz de la API de tu instancia de ServiceNow, como
https://INSTANCE_NAME.service-now.com/api/now/v1/Para configurar el parámetro Nombre de usuario, introduce el nombre de usuario que utilizas para iniciar sesión en ServiceNow. No uses tus credenciales de administrador.
Para configurar el parámetro Password, introduce la contraseña que usas para iniciar sesión en ServiceNow. No uses tus credenciales de administrador.
Haz clic en Guardar.
Para probar la configuración, haz clic en Probar.
Habilita la guía Posture Findings With SNOW
- En la Google Cloud consola, ve a Respuesta > Playbooks.
- En la barra de Búsqueda de Playbook, escribe
Generic. - Selecciona el manual de respuestas Postura: genérico. Esta guía está habilitada de forma predeterminada.
- Desactiva el interruptor para inhabilitar el manual de procedimientos.
- Haz clic en Guardar.
- En la barra de Búsqueda de Playbook, escribe
SNOW. - Selecciona el manual Resultados de la postura con SNOW. Esta guía está inhabilitada de forma predeterminada.
- Activa el interruptor para habilitar el manual de estrategias.
- Haz clic en Guardar.
Habilitar la sincronización de datos de casos
Security Command Center sincroniza automáticamente la información entre un caso y su correspondiente incidencia, lo que garantiza que la prioridad, el estado, los comentarios y otros datos relevantes coincidan entre el caso y la incidencia.
Para sincronizar los datos de los casos, Security Command Center usa procesos automáticos internos llamados tareas de sincronización. Los trabajos Sincronizar incidencias de SCC y Jira y Sincronizar incidencias de SCC y ServiceNow sincronizan los datos de las incidencias entre Security Command Center y los sistemas de gestión de incidencias integrados. Ambos trabajos están inhabilitados al principio y requieren que los habilites para iniciar la sincronización automática de datos de casos.
Si cierras un caso, se resolverá automáticamente la incidencia correspondiente. Si se resuelve un ticket en Jira o ServiceNow, se activan los trabajos de sincronización para cerrar el caso también.
Antes de empezar
Para habilitar la sincronización de casos, debes tener asignado uno de los siguientes roles de SOC en la página Configuración de SOAR:
- Administrador
- Gestor de vulnerabilidades
- Gestor de amenazas
Para obtener más información sobre los roles de SOC y los permisos que necesitan los usuarios, consulta el artículo Controlar el acceso a las funciones de las páginas de la consola Security Operations.
Habilitar la sincronización de sistemas de asistencia
Para asegurarte de que la información de los casos y las incidencias se sincronice automáticamente, habilita el trabajo de sincronización correspondiente al sistema de gestión de incidencias que hayas integrado.
Para habilitar el trabajo de sincronización, sigue estos pasos:
En la Google Cloud consola, ve a Security Command Center.
En el menú de navegación, haz clic en Respuesta > Playbooks. Se abrirá la página Playbooks en la consola de operaciones de seguridad.
Haz clic en Respuesta > JobScheduler.
Elige la tarea de sincronización correcta:
Si has integrado Jira, selecciona el trabajo Sincronizar incidencias de SCC con Jira.
Si has integrado ServiceNow, selecciona el trabajo Sync SCC-ServiceNow Tickets (Sincronizar incidencias de SCC con ServiceNow).
Activa el interruptor para habilitar el trabajo seleccionado.
Haga clic en Guardar para habilitar la sincronización automática de datos de casos de Security Command Center con un sistema de asistencia.
Crear incidencias para casos registrados
Security Command Center solo crea automáticamente incidencias en los casos que se abren después de que hayas integrado un sistema de gestión de incidencias y no adjunta de forma retroactiva nuevas guías a las alertas. Para crear incidencias de casos abiertos antes de integrar un sistema de gestión de incidencias, utiliza uno de los siguientes métodos:
Cierra un caso que no tenga ninguna incidencia y espera hasta que SCC vuelva a ingerir las detecciones y asigne un nuevo manual de respuesta a las alertas del caso.
Añadir manualmente una guía a cualquier alerta de un caso que se haya abierto antes de que integraras un sistema de asistencia.
Cerrar un caso sin incidencia
Para cerrar un caso que no tiene ticket, sigue estos pasos:
En la Google Cloud consola, ve a Security Command Center.
En el menú de navegación, haz clic en Riesgo > Casos. La página Casos se abre en la consola de operaciones de seguridad.
Haz clic en
Abrir filtro. Se abre el panel Filtro de la cola de casos.En Filtro de la cola de casos, especifica lo siguiente:
- En el campo Periodo, especifica el periodo de los casos abiertos.
- Define el operador lógico como AND.
- En el primer valor de Operador lógico, selecciona Etiquetas.
- Define la condición como ES.
- En el segundo valor, selecciona Internal-SCC-Ticket-Info.
- Haz clic en Aplicar para actualizar los casos de la cola y mostrar solo los que coincidan con el filtro que hayas especificado.
En la cola de casos, selecciona el caso.
En la vista de caso, selecciona
Cerrar caso. Se abrirá la ventana Cerrar incidencia.En la ventana Cerrar caso, especifica lo siguiente:
Selecciona un valor en el campo Motivo para indicar el motivo del cierre del caso.
Selecciona un valor en el campo Causa principal para indicar el motivo por el que se cierra el caso.
Opcional: Añade un comentario.
Haz clic en Cerrar para cerrar el caso. A continuación, Security Command Center vuelve a ingerir los resultados en un nuevo caso y les adjunta automáticamente una guía correcta.
Añadir manualmente una guía a una alerta
Para adjuntar manualmente un manual de procedimientos a una alerta de un caso, sigue estos pasos:
En la Google Cloud consola, ve a Security Command Center.
Haz clic en Riesgo > Casos. Se abrirá la página Casos en la consola de operaciones de seguridad.
Haz clic en
Abrir filtro. Se abre el panel Filtro de la cola de casos.En Filtro de la cola de casos, especifica lo siguiente:
- En el campo Periodo, especifica el periodo de los casos abiertos.
- Define el operador lógico como AND.
- En el primer valor de Operador lógico, selecciona Etiquetas.
- Define la condición como ES.
- En el segundo valor, selecciona Internal-SCC-Ticket-Info.
- Haz clic en Aplicar para actualizar los casos de la cola y mostrar solo los que coincidan con el filtro que hayas especificado.
En la cola de casos, selecciona el caso.
Selecciona cualquier alerta incluida en un caso.
En una vista de alerta, ve a la pestaña Playbooks.
Haz clic en Añadir Añadir guía. Aparecerá la ventana Añadir un playbook con una lista de los playbooks disponibles.
En el campo de búsqueda de la ventana Añadir Playbook, escribe
Posture Findings.- Si has integrado Jira, selecciona el cuaderno de estrategias Resultados de postura con Jira.
- Si has integrado ServiceNow, selecciona el playbook Posture Findings With SNOW (Resultados de postura con ServiceNow).
Haz clic en Añadir para añadir un manual a una alerta.
Una vez completada, la guía crea un ticket para un caso y lo rellena automáticamente con la información del caso.
Basta con añadir un manual de procedimientos a una sola alerta de un caso para crear un ticket y activar la sincronización de datos.
Siguientes pasos
Consulta cómo determinar la propiedad de las detecciones de postura.
Consulta cómo agrupar resultados en casos.
Consulta cómo asignar entradas en función de las posturas.