Intégrer Security Command Center Enterprise aux systèmes de suivi des demandes

Ce document explique comment intégrer le niveau Enterprise de Security Command Center avec les systèmes de tickets après la configuration de l'orchestration de la sécurité, d'automatisation et de réponse (SOAR) fournies par Google Security Operations.

L'intégration avec les systèmes de tickets est facultative et nécessite configuration. Si vous utilisez Security Command Center par défaut Configuration d'entreprise, vous n'avez pas besoin de suivre cette procédure. Vous pouvez à un système de tickets ultérieurement à tout moment.

Présentation

Vous pouvez suivre les résultats à l'aide de la console et des API avec le Configuration de Security Command Center Enterprise. Si votre organisation utilise des systèmes de suivi en cas de problème, intégrez-le à Jira ou à ServiceNow après avoir configuré Instance Google Security Operations.

Après avoir reçu les résultats concernant des ressources, la SCC Enterprise - Urgent Posture Le connecteur de résultats analyse et filtre les résultats lors de l'ingestion, et regroupe dans des demandes nouvelles ou existantes, selon le type de résultat.

Si vous intégrez un système de suivi des demandes, Security Command Center crée un chaque fois qu'une nouvelle demande de résultats est créée. Security Command Center met automatiquement à jour la demande associée chaque fois qu'une demande est modifiée.

Un même cas peut contenir plusieurs résultats. Security Command Center crée un ticket pour chaque cas et synchronise son contenu et avec le ticket correspondant pour indiquer aux personnes responsables la rectifier le problème.

La synchronisation entre une demande et sa demande fonctionne dans les deux sens:

• Les modifications apportées au sein d'une demande, telles qu'une mise à jour d'état ou un nouveau commentaire, sont automatiquement répercutée dans la demande associée.

• De même, les détails de la demande sont synchronisés avec le dossier, en les enrichissant avec du système de suivi des demandes d'assistance.

Avant de commencer

Avant de configurer Jira ou ServiceNow, indiquez une adresse e-mail valide pour le paramètre Propriétaire de remplacement dans SCC Enterprise – Connecteur de résultats de stratégie urgente, et assurez-vous que cet e-mail peut être attribué dans votre système de suivi des demandes.

Intégrer à Jira

Veillez à suivre toutes les étapes d'intégration pour synchroniser le cas des mises à jour avec des problèmes Jira et vous assurer que le flux de playbook est correct.

Une priorité de demande est reflétée dans le champ Gravité du problème de Jira.

Créer un projet dans Jira

Créer un projet dans Jira pour les problèmes liés à Security Command Center Enterprise appelé Projet SCC Enterprise (SCCE), exécutez une action manuelle dans le cas. Toi utiliser n'importe quel cas existant ou en simuler un. Pour en savoir plus sur la simulation consultez Simuler des cas. dans la documentation Google SecOps.

Pour créer un projet Jira, vous devez disposer d'identifiants d'administrateur Jira.

Pour créer un projet Jira, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Demandes.
2. Sélectionnez un cas existant ou celui que vous avez simulé.
3. Dans l'onglet Présentation de la demande, cliquez sur Action manuelle.
4. Dans le champ Rechercher de l'action manuelle, saisissez Create SCC Enterprise.
5. Dans les résultats de recherche sous l'intégration SCCEnterprise, sélectionnez l'icône Créer l'action SCC Enterprise Cloud Posture Ticket Type Jira Boîte de dialogue s'ouvre.

6. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API une instance Jira, telle que https://YOUR_DOMAIN_NAME.atlassian.net

7. Pour configurer le paramètre Username (Nom d'utilisateur), saisissez le nom d'utilisateur que vous utilisez pour connectez-vous à Jira en tant qu'administrateur.

8. Pour configurer le paramètre Mot de passe, saisissez le mot de passe que vous utilisez pour connectez-vous à Jira en tant qu'administrateur.

9. Pour configurer le paramètre Jeton d'API, saisissez le jeton d'API de votre Compte administrateur Atlassian généré dans la console Jira.

10. Cliquez sur Exécuter. Attendez que l'action soit terminée.

Facultatif: Configurer une mise en page personnalisée des problèmes Jira

1. Connectez-vous à Jira en tant qu'administrateur.
2. Accédez à Projets > SCC Enterprise Project (SCCE).
3. Modifiez et réorganisez les champs des problèmes. Pour en savoir plus sur la gestion des champs des problèmes, consultez Configure issue field layout (Configurer la mise en page des champs du problème) dans la documentation Jira.

Configurer l'intégration de Jira

1. Dans la console Opérations de sécurité, accédez à Réponse > Configuration des intégrations.
2. Sélectionnez l'environnement par défaut.
3. Dans le champ Rechercher de l'intégration, saisissez Jira. Le Jira s'affiche comme résultat de recherche.
4. Cliquez sur settings Configurer l'instance. La boîte de dialogue s'ouvre.

5. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API une instance Jira, telle que https://YOUR_DOMAIN_NAME.atlassian.net

6. Pour configurer le paramètre Username (Nom d'utilisateur), saisissez le nom d'utilisateur que vous utilisez pour connectez-vous à Jira. N'utilisez pas vos identifiants d'administrateur.

7. Pour configurer le paramètre Jeton d'API, saisissez le jeton d'API de votre Compte Atlassian non administrateur généré dans la console Jira.

8. Cliquez sur Enregistrer.

9. Pour tester votre configuration, cliquez sur Tester.

Activer le playbook "Conclusions de la stratégie avec Jira"

1. Dans la console Opérations de sécurité, accédez à Réponse > Playbooks.
2. Dans la barre de recherche du playbook, saisissez Generic.
3. Sélectionnez le playbook Posture Findings - Generic (Résultats de la posture – Générique). Ce playbook est activé par défaut.
4. Activez le bouton pour désactiver le playbook.
5. Cliquez sur Enregistrer.
6. Dans la barre de recherche du playbook, saisissez Jira.
7. Sélectionnez le playbook Posture Findings With Jira (Résultats de la posture avec Jira). Ce playbook est désactivé par défaut.
8. Cliquez sur le bouton pour activer le playbook.
9. Cliquez sur Enregistrer.

Intégrer à ServiceNow

Veillez à suivre toutes les étapes d'intégration pour synchroniser des demandes Google SecOps via les demandes d'assistance ServiceNow et pour garantir le bon déroulement du playbook.

Créer et configurer un type de ticket personnalisé ServiceNow

Veillez à créer et à configurer le type de ticket personnalisé ServiceNow. activer l'onglet "Activités" dans l'interface utilisateur de ServiceNow et éviter d'utiliser les expressions la mise en page des billets.

Créer un type de ticket personnalisé ServiceNow

La création d'un type de demande ServiceNow personnalisé nécessite un accès administrateur ServiceNow identifiants de connexion.

Pour créer un type de billet personnalisé, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Demandes.
2. Sélectionnez un cas existant ou celui que vous avez simulé.
3. Dans l'onglet Présentation de la demande, cliquez sur Action manuelle.
4. Dans le champ Rechercher de l'action manuelle, saisissez Create SCC Enterprise.
5. Dans les résultats de recherche sous l'intégration SCCEnterprise, sélectionnez l'icône Créez une action Create SCC Enterprise Cloud Posture Ticket Type SNOW (Créer un type de ticket de stratégie cloud SCC Enterprise). Boîte de dialogue s'ouvre.

6. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API Instance ServiceNow, par exemple https://INSTANCE_NAME.service-now.com/api/now/v1/

7. Pour configurer le paramètre Username (Nom d'utilisateur), saisissez le nom d'utilisateur que vous utilisez pour connectez-vous à ServiceNow en tant qu'administrateur.

8. Pour configurer le paramètre Mot de passe, saisissez le mot de passe que vous utilisez pour connectez-vous à ServiceNow en tant qu'administrateur.

9. Pour configurer le paramètre Table Role, laissez le champ vide ou indiquez une valeur si vous en avez une. Ce paramètre n'accepte qu'une seule valeur de rôle.

   Par défaut, le champ Rôle de la table est vide pour que vous puissiez créer un rôle personnalisé dans ServiceNow pour gérer spécifiquement les demandes d'assistance Security Command Center Enterprise. Seuls les utilisateurs de ServiceNow disposant de ce nouveau rôle personnalisé ont accès au Tickets de Security Command Center Enterprise

   Si vous disposez déjà d'un rôle dédié pour les utilisateurs qui gèrent les incidents dans ServiceNow et si vous souhaitez utiliser ce rôle pour gérer Security Command Center Résultats d'entreprise, saisissez le nom du rôle ServiceNow existant dans le Rôle de la table. Par exemple, si vous fournissez incident_handler_role, tous les utilisateurs disposant du rôle Le rôle incident_handler_role dans ServiceNow peut accéder à Tickets de Security Command Center Enterprise

10. Cliquez sur Exécuter. Attendez que l'action soit terminée.

Configurer la mise en page personnalisée des demandes d'assistance pour ServiceNow

Pour s'assurer que l'UI de ServiceNow affiche avec précision les mises à jour liées aux demandes et commentaires sur la demande, procédez comme suit:

1. Dans votre compte administrateur ServiceNow, accédez à l'onglet Tous.
2. Dans le champ Rechercher, saisissez SCC Enterprise.
3. Dans la liste déroulante, sélectionnez SCC Enterprise Cloud Posture Ticket (Demande de stratégie cloud d'entreprise SCC). et lancer une recherche.
4. Sélectionnez Posture Test Ticket (Demande de test de posture). La page de présentation des demandes ServiceNow s'ouvre.
5. Sur la page de présentation des demandes ServiceNow, accédez à Autres actions > Configurez > Mise en page du formulaire.
6. Accédez à la section Vue et section du formulaire.
7. Dans le champ Section (Section), sélectionnez u_scc_enterprise_cloud_posture_ticket.
8. Cliquez sur Enregistrer. Une fois la page mise à jour, le modèle de demande comporte des champs répartis en deux colonnes.
9. Accédez à Actions supplémentaires > Configurer > Mise en page des formulaires.
10. Accédez à la section Vue et section du formulaire.
11. Dans le champ Section (Section), sélectionnez Summary (Résumé).
12. Cliquez sur Enregistrer. Une fois la page mise à jour, le modèle de demande comporte le nouveau Structure du résumé.

Configurer l'intégration de ServiceNow

1. Dans la console Opérations de sécurité, accédez à Réponse > Intégrations. Configuration.
2. Sélectionnez l'environnement par défaut.
3. Dans le champ Rechercher de l'intégration, saisissez ServiceNow. ServiceNow s'affiche comme résultat de recherche.
4. Cliquez sur settings Configurer l'instance. La boîte de dialogue s'ouvre.

5. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API Instance ServiceNow, par exemple https://INSTANCE_NAME.service-now.com/api/now/v1/

6. Pour configurer le paramètre Username (Nom d'utilisateur), saisissez le nom d'utilisateur que vous utilisez pour connectez-vous à ServiceNow. N'utilisez pas vos identifiants d'administrateur.

7. Pour configurer le paramètre Mot de passe, saisissez le mot de passe que vous utilisez pour connectez-vous à ServiceNow. N'utilisez pas vos identifiants d'administrateur.

8. Cliquez sur Enregistrer.

9. Pour tester votre configuration, cliquez sur Tester.

Activer le playbook "Conclusions de la stratégie avec SNOW"

1. Dans la console Opérations de sécurité, accédez à Réponse > Playbooks.
2. Dans la barre de recherche du playbook, saisissez Generic.
3. Sélectionnez le playbook Posture Findings - Generic (Résultats de la posture – Générique). Ce playbook est activé par défaut.
4. Activez le bouton pour désactiver le playbook.
5. Cliquez sur Enregistrer.
6. Dans la barre de recherche du playbook, saisissez SNOW.
7. Sélectionnez le playbook Posture Findings With SNOW (Résultats de la posture avec la neige). Ce playbook est désactivé par défaut.
8. Cliquez sur le bouton pour activer le playbook.
9. Cliquez sur Enregistrer.

Activer la synchronisation des données de cas

Security Command Center synchronise automatiquement les informations entre une demande et la demande correspondante, en veillant à ce que la priorité, l'état, les commentaires entre une demande et sa demande.

Pour synchroniser les données des demandes, Security Command Center utilise des processus automatiques internes appelées "tâches de synchronisation". Les procédures Sync SCC-Jira Tickets (Synchroniser les tickets SCC-Jira) et Sync (Sync) Les jobs SCC-ServiceNow Tickets synchronisent les données de cas entre Security Command Center. et des systèmes de tickets intégrés. Les deux jobs sont initialement désactivés et nécessitent de leur permettre de lancer automatiquement la synchronisation des données de cas.

La clôture d'une demande résout automatiquement la demande correspondante. Résolution d'une demande dans Jira ou ServiceNow déclenche la clôture du dossier par les jobs de synchronisation .

Avant de commencer

Pour activer la synchronisation des demandes, vous devez disposer de l'un des SOC suivants dans la console Opérations de sécurité:

• Administrateur
• Gestionnaire de failles
• Gestionnaire de menaces

Pour en savoir plus sur les rôles et les autorisations SOC dans la console Opérations de sécurité requis pour les utilisateurs, consultez la section Contrôler l'accès aux fonctionnalités la console Opérations de sécurité.

Activer la synchronisation pour les systèmes de gestion des demandes d'assistance

Pour s'assurer que les informations contenues dans les demandes synchronisé, activer le job de synchronisation pertinent pour la demande que vous avez intégré.

Pour activer le job de synchronisation, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Réponse > Job. programmeur.

2. Sélectionnez le job de synchronisation approprié:

   • Si vous avez intégré Jira, sélectionnez la tâche Sync SCC-Jira Tickets (Synchroniser SCC-Jira Tickets).

   • Si vous avez intégré ServiceNow, sélectionnez Synchroniser SCC-ServiceNow Tickets. d'un projet.

3. Activez le job sélectionné à l'aide du bouton.

4. Cliquez sur Enregistrer pour activer la synchronisation automatique du cas par Security Command Center. des données avec un système de tickets.

Créer des demandes d'assistance pour des demandes existantes

Security Command Center crée automatiquement des demandes uniquement pour les demandes ouvertes après que vous ont été intégrés à un système de suivi des demandes d'assistance et n'associent pas des playbooks sur les alertes existantes. Pour créer des demandes d'assistance pour des demandes ouvertes avant le l'intégration à un système de tickets, utilisez l'une des approches suivantes:

• Clôturez une demande sans ticket et attendez que SCC ingère les résultats et attribue un nouveau playbook aux alertes de cas.

• Ajouter manuellement un playbook à une alerte dans une demande ouverte avant vous intégrés à un système de suivi des demandes d'assistance.

Clôturer une demande sans ticket

Pour clôturer une demande qui n'est associée à aucun ticket, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Demandes.

2. Cliquez sur Ouvrir le filtre. Panneau Filtre de la file d'attente des cas s'ouvre.

3. Dans le filtre de file d'attente des demandes, spécifiez les éléments suivants:

   1. Dans le champ Période, indiquez la période pour les demandes en cours.
   2. Définissez l'opérateur logique sur AND.
   3. Pour la première valeur sous Opérateur logique, sélectionnez Tags.
   4. Définissez la condition sur IS.
   5. Pour la deuxième valeur, sélectionnez Internal-SCC-Ticket-Info.
   6. Cliquez sur Appliquer pour mettre à jour les demandes dans la file d'attente et n'afficher que les qui correspondent au filtre que vous avez spécifié.

4. Dans la file d'attente, sélectionnez la demande.

5. Dans la vue de la demande, sélectionnez Fermer la demande. La fenêtre Fermer la demande s'ouvre.

6. Dans la fenêtre Fermer la demande, spécifiez les informations suivantes:

   1. Sélectionnez une valeur dans le champ Motif afin d'indiquer le motif de la clôture. le cas.

   2. Dans le champ Cause, indiquez la cause du problème. la clôture de la demande.

   3. Facultatif: Ajoutez un commentaire.

   4. Cliquez sur Fermer pour clôturer la demande. Security Command Center, réingère les résultats dans un nouveau dossier et associe automatiquement un playbook pour eux.

Ajouter manuellement un playbook à une alerte

Pour joindre manuellement un playbook à une alerte dans une demande existante, complétez le procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Demandes.

2. Cliquez sur Ouvrir le filtre. Panneau Filtre de la file d'attente des cas s'ouvre.

3. Dans le filtre de file d'attente des demandes, spécifiez les éléments suivants:

   1. Dans le champ Période, indiquez la période pour les demandes en cours.
   2. Définissez l'opérateur logique sur AND.
   3. Pour la première valeur sous Opérateur logique, sélectionnez Tags.
   4. Définissez la condition sur IS.
   5. Pour la deuxième valeur, sélectionnez Internal-SCC-Ticket-Info.
   6. Cliquez sur Appliquer pour mettre à jour les demandes dans la file d'attente et n'afficher que les qui correspondent au filtre que vous avez spécifié.

4. Dans la file d'attente, sélectionnez la demande.

5. Sélectionnez une alerte contenue dans un cas.

6. Dans une vue d'alerte, accédez à l'onglet Playbooks.

7. Cliquez sur add Add Playbook (Ajouter un playbook). La fenêtre Add a Playbook (Ajouter un playbook) contenant la liste des playbooks disponibles s'affiche.

8. Dans le champ de recherche de la fenêtre Ajouter un playbook, saisissez Posture Findings

   • Si vous avez intégré Jira, sélectionnez Posture Findings With Jira (Résultats de la stratégie avec Jira) playbook.
   • Si vous avez intégré ServiceNow, sélectionnez l'option Posture Findings With Playbook sur la neige

9. Cliquez sur Ajouter pour ajouter un playbook à une alerte.

Une fois l'opération terminée, le playbook crée une demande d'assistance et est automatiquement remplit la demande avec les informations de la demande.

L'ajout d'un playbook à une seule alerte d'un cas suffit pour créer une des demandes d'assistance et déclencher la synchronisation des données.

Étape suivante

• Découvrez comment déterminer la propriété des résultats de stratégie.

• Découvrez comment regrouper les résultats par cas.

• Découvrez comment attribuer des demandes d'assistance en fonction des cas de stratégie.