Security Command Center Enterprise in Ticketing-Systeme einbinden

In diesem Dokument wird erläutert, wie Sie die Enterprise-Stufe von Security Command Center einbinden mit den Ticketing-Systemen, nachdem die Sicherheitsorchestrierung konfiguriert ist, SOAR-Funktionen (Automatisierung und Reaktion) von Google Security Operations.

Die Einbindung in Ticketsysteme ist optional und muss manuell erfolgen Konfiguration. Wenn Sie das standardmäßige Security Command Center verwenden Enterprise-Konfiguration verwenden, müssen Sie diesen Vorgang nicht ausführen. Sie können jederzeit in ein Ticketing-System integrieren.

Übersicht

Sie können Ergebnisse über die Console und APIs mit der Standardeinstellung Security Command Center Enterprise-Konfiguration. Wenn Ihre Organisation Ticketsysteme nutzt, können Sie sie in Jira oder ServiceNow einbinden, nachdem Sie Google Security Operations-Instanz.

Nach Erhalt von Ressourcenergebnissen hat SCC Enterprise – Urgent Posture Findings Connector analysiert und filtert Ergebnisse während der Aufnahme und gruppiert die Ergebnisse. je nach Ergebnistyp in neue oder bestehende Fälle unterteilen.

Wenn Sie ein Ticketing-System einbinden, erstellt Security Command Center ein neues jedes Mal, wenn ein neuer Fall für Ergebnisse erstellt wird. Security Command Center aktualisiert das zugehörige Ticket automatisch, wenn ein Fall aktualisiert wird.

Ein einzelner Fall kann mehrere Ergebnisse enthalten. Security Command Center ein Ticket für jeden Fall erstellt und den Fallinhalt synchronisiert mit dem entsprechenden Ticket, damit die Ticketbeauftragten wissen, was sie Abhilfe schaffen.

Die Synchronisierung zwischen einem Fall und dem zugehörigen Ticket funktioniert auf beide Arten:

• Änderungen innerhalb einer Anfrage, z. B. ein Statusupdate oder ein neuer Kommentar, automatisch im zugehörigen Ticket widergespiegelt.

• In ähnlicher Weise werden Ticketdetails mit dem Fall synchronisiert und angereichert mit Informationen aus dem Ticketsystem.

Hinweise

Geben Sie eine gültige E-Mail-Adresse an, bevor Sie Jira oder ServiceNow konfigurieren für den Parameter Fallback Owner in SCC Enterprise – Urgent Posture Findings Connector erstellen und prüfen, ob diese E‐Mail zugewiesen werden kann in Ihrem Ticketsystem.

In Jira einbinden

Führe alle Verknüpfungsschritte aus, um die Anfrage zu synchronisieren mit Jira-Problemen aktualisieren und für den richtigen Playbook-Ablauf sorgen.

Die Fallpriorität spiegelt den Schweregrad des Jira-Problems wider.

Neues Projekt in Jira erstellen

So erstellen Sie ein neues Projekt in Jira für Security Command Center Enterprise-Probleme: namens SCC Enterprise Project (SCCE) ausführen, führen Sie in dem Fall eine manuelle Maßnahme aus. Ich können Sie einen vorhandenen Fall verwenden oder einen Fall simulieren. Weitere Informationen zur Simulation finden Sie unter Fälle simulieren. in der Google SecOps-Dokumentation.

Zum Erstellen eines neuen Jira-Projekts benötigen Sie Jira-Anmeldedaten auf Administratorebene.

Führen Sie die folgenden Schritte aus, um ein neues Jira-Projekt zu erstellen:

1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
2. Wählen Sie einen vorhandenen Fall oder den simulierten Fall aus.
3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
4. Geben Sie in das Feld Suchen der manuellen Maßnahme Create SCC Enterprise ein.
5. Wählen Sie in den Suchergebnissen unter der Integration von SCCEnterprise die Aktion SCC Enterprise Cloud Posture Ticket Type Jira erstellen. Das Dialogfeld wird geöffnet.

6. Um den Parameter API Root zu konfigurieren, geben Sie das API-Stammverzeichnis Ihrer Jira-Instanz wie https://YOUR_DOMAIN_NAME.atlassian.net

7. Um den Parameter Nutzername zu konfigurieren, geben Sie den Nutzernamen ein, den Sie für sich als Administrator in Jira anmelden.

8. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, das Sie für die sich als Administrator in Jira anmelden.

9. Geben Sie zum Konfigurieren des Parameters API Token das API-Token Ihres Atlassian-Administratorkonto, das in der Jira-Konsole generiert wurde.

10. Klicken Sie auf Ausführen. Warten Sie, bis die Aktion abgeschlossen ist.

Optional: Benutzerdefiniertes Jira-Problemlayout konfigurieren

1. Melden Sie sich als Administrator in Jira an.
2. Rufen Sie Projekte > SCC Enterprise-Projekt (SCCE) auf.
3. Passen Sie Problemfelder an und ordnen Sie sie neu an. Weitere Informationen zum Verwalten von Problemfeldern Weitere Informationen finden Sie in der Jira-Dokumentation unter Layout des Problemfelds konfigurieren.

Jira-Integration konfigurieren

1. Gehen Sie in der Security Operations-Konsole zu Antwort > Integrationseinrichtung.
2. Wählen Sie die Standardumgebung aus.
3. Geben Sie im Feld Search der Integration Jira ein. Die Jira wird die Integration als Suchergebnis zurückgegeben.
4. Klicken Sie auf settings Instanz konfigurieren. Das Dialogfeld wird geöffnet.

5. Um den Parameter API Root zu konfigurieren, geben Sie das API-Stammverzeichnis Ihrer Jira-Instanz wie https://YOUR_DOMAIN_NAME.atlassian.net

6. Um den Parameter Nutzername zu konfigurieren, geben Sie den Nutzernamen ein, den Sie für melden Sie sich in Jira an. Verwenden Sie nicht Ihre Administratoranmeldedaten.

7. Geben Sie zum Konfigurieren des Parameters API Token das API-Token Ihres Atlassian-Konto mit einem Konto ohne Administratorberechtigungen, das in der Jira-Konsole generiert wurde.

8. Klicken Sie auf Speichern.

9. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook für Statusergebnisse mit Jira aktivieren

1. Gehen Sie in der Security Operations-Konsole zu Antwort > Playbooks.
2. Geben Sie in der Playbook-Suchleiste Generic ein.
3. Wählen Sie das Playbook Statusergebnisse – allgemein aus. Dieses Playbook ist aktiviert ist standardmäßig aktiviert.
4. Stellen Sie die Ein/Aus-Schaltfläche auf Playbook deaktivieren.
5. Klicken Sie auf Speichern.
6. Geben Sie in der Playbook-Suchleiste Jira ein.
7. Wählen Sie das Playbook Status-Ergebnisse mit Jira aus. Dieses Playbook ist deaktiviert ist standardmäßig aktiviert.
8. Stellen Sie die Ein/Aus-Schaltfläche auf Playbook aktivieren.
9. Klicken Sie auf Speichern.

In ServiceNow einbinden

Führen Sie alle Verknüpfungsschritte aus, um die Updates zu Google SecOps-Fällen mit ServiceNow-Tickets und den richtigen Playbook-Ablauf zu gewährleisten.

Benutzerdefinierten ServiceNow-Tickettyp erstellen und konfigurieren

Benutzerdefinierten Tickettyp für ServiceNow erstellen und konfigurieren den Tab „Aktivitäten“ in der ServiceNow-Benutzeroberfläche aktivieren und die fehlerhafte Ticketlayout.

Benutzerdefinierten ServiceNow-Tickettyp erstellen

Zum Erstellen eines benutzerdefinierten ServiceNow-Tickettyps ist ServiceNow-Administratorebene erforderlich Anmeldedaten.

Führe die folgenden Schritte aus, um eine benutzerdefinierte Ticketart zu erstellen:

1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
2. Wählen Sie einen vorhandenen Fall oder den simulierten Fall aus.
3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
4. Geben Sie in das Feld Suchen der manuellen Maßnahme Create SCC Enterprise ein.
5. Wählen Sie in den Suchergebnissen unter der Integration von SCCEnterprise die Aktion SCC Enterprise Cloud Posture Ticket Type SNOW erstellen. Das Dialogfeld wird geöffnet.

6. Um den Parameter API Root zu konfigurieren, geben Sie das API-Stammverzeichnis Ihrer ServiceNow-Instanz wie https://INSTANCE_NAME.service-now.com/api/now/v1/

7. Um den Parameter Nutzername zu konfigurieren, geben Sie den Nutzernamen ein, den Sie für als Administrator in ServiceNow anmelden.

8. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, das Sie für die als Administrator in ServiceNow anmelden.

9. Lassen Sie zum Konfigurieren des Parameters Table Role das Feld leer oder geben Sie wenn es einen Wert gibt. Für diesen Parameter ist nur ein Rollenwert zulässig.

   Das Feld Tabellenrolle ist standardmäßig leer, um eine neue benutzerdefinierte Rolle in ServiceNow zum speziellen Verwalten von Security Command Center Enterprise-Tickets. Nur ServiceNow-Nutzer, denen diese neue benutzerdefinierte Rolle zugewiesen wurde, haben Zugriff auf die Security Command Center Enterprise-Tickets.

   Wenn Sie bereits eine eigene Rolle für die Verwaltung von Vorfällen in ServiceNow möchten Sie diese Rolle zum Verwalten des Security Command Center verwenden. Enterprise-Ergebnisse erhalten, geben Sie den Namen der vorhandenen ServiceNow-Rolle in das Feld Table Role (Tabellenrolle) angeben. Wenn Sie beispielsweise die vorhandene incident_handler_role haben, wurden alle Nutzer mit dem Wert Die Rolle incident_handler_role in ServiceNow kann auf die Security Command Center Enterprise-Tickets.

10. Klicken Sie auf Ausführen. Warten Sie, bis die Aktion abgeschlossen ist.

Benutzerdefiniertes ServiceNow-Ticketlayout konfigurieren

Um sicherzustellen, dass die Updates zu Fällen in der ServiceNow-Benutzeroberfläche korrekt angezeigt werden und Kommentare zur Anfrage, führen Sie die folgenden Schritte aus:

1. Gehen Sie in Ihrem ServiceNow-Administratorkonto zum Tab Alle.
2. Geben Sie SCC Enterprise in das Feld Suchen ein.
3. Wählen Sie in der Drop-down-Liste das SCC Enterprise Cloud Posture Ticket aus. und führen eine Suche durch.
4. Wählen Sie das Status-Testticket aus. Die Seite mit dem Layout des ServiceNow-Tickets wird geöffnet.
5. Gehen Sie auf der Layoutseite des ServiceNow-Tickets zu Zusätzliche Aktionen >. Konfigurieren Sie > Formularlayout.
6. Wechseln Sie zum Bereich Formularansicht und -abschnitt.
7. Wählen Sie im Feld Abschnitt die Option u_scc_enterprise_cloud_posture_ticket aus.
8. Klicken Sie auf Speichern. Nach der Aktualisierung der Seite enthält die Ticketvorlage Felder die in zwei Spalten verteilt sind.
9. Klicken Sie auf Zusätzliche Aktionen > Konfigurieren > Formularlayout.
10. Wechseln Sie zum Bereich Formularansicht und -abschnitt.
11. Wählen Sie im Feld Bereich die Option Zusammenfassung aus.
12. Klicken Sie auf Speichern. Nach der Aktualisierung der Seite enthält die Ticketvorlage Zusammenfassungsstruktur.

ServiceNow-Integration konfigurieren

1. Gehen Sie in der Security Operations-Konsole zu Antwort > Integrationen Einrichtung:
2. Wählen Sie die Standardumgebung aus.
3. Geben Sie im Feld Search der Integration ServiceNow ein. Mit dem Dienst ServiceNow wird die Integration als Suchergebnis zurückgegeben.
4. Klicken Sie auf settings Instanz konfigurieren. Das Dialogfeld wird geöffnet.

5. Um den Parameter API Root zu konfigurieren, geben Sie das API-Stammverzeichnis Ihrer ServiceNow-Instanz wie https://INSTANCE_NAME.service-now.com/api/now/v1/

6. Um den Parameter Nutzername zu konfigurieren, geben Sie den Nutzernamen ein, den Sie für bei ServiceNow anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

7. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, das Sie für die bei ServiceNow anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

8. Klicken Sie auf Speichern.

9. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook „Statusergebnisse mit SNOW“ aktivieren

1. Gehen Sie in der Security Operations-Konsole zu Antwort > Playbooks.
2. Geben Sie in der Playbook-Suchleiste Generic ein.
3. Wählen Sie das Playbook Statusergebnisse – allgemein aus. Dieses Playbook ist aktiviert ist standardmäßig aktiviert.
4. Stellen Sie die Ein/Aus-Schaltfläche auf Playbook deaktivieren.
5. Klicken Sie auf Speichern.
6. Geben Sie in der Playbook-Suchleiste SNOW ein.
7. Wählen Sie das Playbook Status-Ergebnisse mit SNOW aus. Dieses Playbook ist deaktiviert ist standardmäßig aktiviert.
8. Stellen Sie die Ein/Aus-Schaltfläche auf Playbook aktivieren.
9. Klicken Sie auf Speichern.

Synchronisierung von Falldaten aktivieren

Security Command Center synchronisiert die Informationen zwischen einem Fall automatisch und das entsprechende Ticket, wodurch Priorität, Status, Kommentare und andere relevante Daten zwischen einem Fall und dem zugehörigen Ticket.

Security Command Center verwendet interne automatische Prozesse, um Falldaten zu synchronisieren Synchronisierungsjobs. Die Schaltflächen Sync SCC-Jira Tickets und Sync SCC-ServiceNow Tickets-Jobs synchronisieren Falldaten zwischen Security Command Center. und integrierte Ticketsysteme. Beide Jobs sind anfangs deaktiviert und erfordern damit diese die automatische Synchronisierung der Falldaten starten können.

Wenn Sie einen Fall schließen, wird automatisch das entsprechende Ticket aufgelöst. Lösung eines Problems Ticket in Jira oder ServiceNow löst die Synchronisierungsjobs aus, um den Fall zu schließen .

Hinweise

Um die Synchronisierung von Fällen zu aktivieren, benötigen Sie eines der folgenden Sicherheitscenter Rollen in der Security Operations-Konsole:

• Administrator
• Sicherheitslückenmanager
• Threat Manager

Weitere Informationen zu SOC-Rollen in der Security Operations-Konsole und Berechtigungen erforderlich sind, finden Sie unter Funktionen und Richtlinien für Security Operations-Konsole

Synchronisierung für Ticketsysteme aktivieren

Um sicherzustellen, dass die Informationen in Fällen und Tickets automatisch synchronisiert, den für den Ticketing relevanten Synchronisierungsjob aktivieren das Sie integriert haben.

Führen Sie die folgenden Schritte aus, um den Synchronisierungsjob zu aktivieren:

1. Gehen Sie in der Security Operations-Konsole zu Antwort > Job. Planer.

2. Wählen Sie den richtigen Synchronisierungsjob aus:

   • Wenn Sie die Integration mit Jira abgeschlossen haben, wählen Sie den Job Sync SCC-Jira Tickets (SCC-Jira-Tickets synchronisieren) aus.

   • Wenn Sie ServiceNow integriert haben, wählen Sie SCC-ServiceNow-Tickets synchronisieren aus. Job.

3. Aktivieren Sie den ausgewählten Job mit der Ein/Aus-Schaltfläche.

4. Klicken Sie auf Speichern, damit Security Command Center den Fall automatisch synchronisieren kann mit einem Ticketing-System.

Tickets für vorhandene Fälle erstellen

Security Command Center erstellt automatisch Tickets nur für Fälle, die nach einer in ein Ticketing-System integriert sind und nicht rückwirkend neue Playbooks zu vorhandenen Benachrichtigungen. So erstellen Sie Tickets für Fälle, die vor dem für die Integration in ein Ticketing-System einen der folgenden Ansätze verwenden:

• Schließen Sie einen Fall, der kein Ticket hat, und warten Sie, bis SCC die Ergebnisse neu aufnimmt und weist den Fallbenachrichtigungen ein neues Playbook zu.

• Playbook jeder Benachrichtigung in einem Fall, der vor der Erstellung geöffnet wurde, manuell hinzufügen in ein Ticketsystem integriert sind.

Anfrage ohne Ticket schließen

So schließen Sie einen Fall, für den kein Ticket verfügbar ist:

1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).

2. Klicken Sie auf Filter öffnen. Der Bereich Filter für die Anfragewarteschlange wird geöffnet.

3. Geben Sie im Filter für die Fallwarteschlange Folgendes an:

   1. Geben Sie im Feld Zeitraum den Zeitraum für offene Anfragen an.
   2. Setzen Sie Logischer Operator auf AND.
   3. Wählen Sie für den ersten Wert unter Logischer Operator die Option Tags aus.
   4. Legen Sie als Bedingung IS fest.
   5. Wählen Sie für den zweiten Wert Internal-SCC-Ticket-Info aus.
   6. Klicken Sie auf Übernehmen, um Fälle in der Fallwarteschlange zu aktualisieren und nur die Fälle, die dem angegebenen Filter entsprechen.

4. Wählen Sie den Fall aus der Fallwarteschlange aus.

5. Wählen Sie in der Fallansicht die Option Fall schließen aus. Das Fenster Fall schließen wird geöffnet.

6. Geben Sie im Fenster Fall schließen Folgendes an:

   1. Wählen Sie im Feld Grund einen Grund für das Schließen aus. für den Fall.

   2. Wählen Sie einen Wert für das Feld Ursache aus. wenn der Fall geschlossen wird.

   3. Optional: Fügen Sie einen Kommentar hinzu.

   4. Klicken Sie auf Schließen, um den Fall zu schließen. Security Command Center dann Die Ergebnisse werden noch einmal in einen neuen Fall aufgenommen und es wird automatisch eine ein Playbook für sie.

Playbook manuell zu einer Benachrichtigung hinzufügen

Wenn Sie ein Playbook manuell an eine Benachrichtigung in einem vorhandenen Fall anhängen möchten, führen Sie die Schritte folgenden Schritten:

1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).

2. Klicken Sie auf Filter öffnen. Der Bereich Filter für die Anfragewarteschlange wird geöffnet.

3. Geben Sie im Filter für die Fallwarteschlange Folgendes an:

   1. Geben Sie im Feld Zeitraum den Zeitraum für offene Anfragen an.
   2. Setzen Sie Logischer Operator auf AND.
   3. Wählen Sie für den ersten Wert unter Logischer Operator die Option Tags aus.
   4. Legen Sie als Bedingung IS fest.
   5. Wählen Sie für den zweiten Wert Internal-SCC-Ticket-Info aus.
   6. Klicken Sie auf Übernehmen, um Fälle in der Fallwarteschlange zu aktualisieren und nur die Fälle, die dem angegebenen Filter entsprechen.

4. Wählen Sie den Fall aus der Fallwarteschlange aus.

5. Wählen Sie eine in einem Fall enthaltene Benachrichtigung aus.

6. Rufen Sie in einer Benachrichtigungsansicht den Tab Playbooks auf.

7. Klicken Sie auf add Playbook hinzufügen. Das Fenster Playbook hinzufügen mit einer Liste der verfügbaren Playbooks wird angezeigt.

8. Geben Sie im Suchfeld des Fensters Add a Playbook (Playbook hinzufügen) Folgendes ein: Posture Findings

   • Wenn Sie Jira integriert haben, wählen Sie Statusergebnisse mit Jira aus. Playbook.
   • Wenn Sie ServiceNow integriert haben, wählen Sie die Option Statusergebnisse mit SNOW-Playbook.

9. Klicken Sie auf Hinzufügen, um einer Benachrichtigung ein Playbook hinzuzufügen.

Nach Abschluss erstellt das Playbook ein Ticket für einen Fall und füllt das Ticket mit Informationen aus dem Fall.

Es reicht aus, ein Playbook zu einer einzelnen Benachrichtigung in einem Fall hinzuzufügen, um eine Synchronisierung von Ticket- und Trigger-Daten.

Nächste Schritte

• Inhaberschaft für Statusergebnisse bestimmen

• Weitere Informationen zum Gruppieren von Ergebnissen in Supportanfragen

• Tickets basierend auf Statusfällen zuweisen