このドキュメントでは、Google Security Operations を活用したセキュリティ オーケストレーション、自動化、対応(SOAR)機能を構成した後、Security Command Center の Enterprise ティアをチケット発行システムと統合する方法について説明します。
チケット発行システムとの統合はオプションであり、手動で構成する必要があります。デフォルトの Security Command Center Enterprise 構成を使用する場合は、この手順を行う必要はありません。後でいつでもチケット発行システムと統合できます。
概要
Security Command Center Enterprise のデフォルトの構成では、コンソールと API を使用して検出結果を追跡できます。組織でチケット発行システムを使用して問題を追跡している場合は、Google Security Operations インスタンスを構成した後に Jira または ServiceNow と統合します。
リソースの検出結果を受信すると、SCC Enterprise - 緊急体制検出コネクタは、取り込み中に検出結果を分析してフィルタし、新規または既存のケースにグループ化します。(検出結果の種類によって異なります。)
チケット発行システムと統合する場合、Security Command Center は、検出結果の新しいケースを作成するたびに新しいチケットを作成します。ケースが更新されるたびに、Security Command Center は関連するチケットも自動的に更新されます。
1 つのケースには 1 つ以上の検出結果を含めることができます。Security Command Center では、ケースごとに 1 つのチケットを作成し、ケースの内容と情報を対応するチケットと同期して、チケットの割り当て先に修正すべき箇所を知らせます。
ケースとチケットの同期は双方向で行われます。ステータスの変更や新しいコメントなどのケースの更新はチケットに反映され、チケットの詳細はケースのチケット発行システムのエンリッチメントと同期されます。
始める前に
Jira または ServiceNow を構成する前に、[SCC Enterprise - Urgent Posture Findings Connector] の [代替オーナー] パラメータに有効なメールアドレスを指定します。このメールがチケット発行システムで割り当てられることを確認します。
Jira と統合する
すべての統合手順を完了して、Google SecOps ケースの更新を Jira の問題と同期し、正しいハンドブックのフローを確実にしてください。
ケースの優先度は、Jira の問題の重大度に反映されます。
Jira で新しいプロジェクトを作成する
SCC Enterprise Project(SCCE)と呼ばれる Security Command Center Enterprise の問題のために Jira で新しいプロジェクトを作成するには、ケースで手動によるアクションを実行します。既存のケースを使用することも、ケースをシミュレートすることもできます。ケースのシミュレーションの詳細については、Google SecOps ドキュメントのケースのシミュレーションのページをご覧ください。
新しい Jira プロジェクトを作成するには、Jira 管理者レベルの認証情報が必要です。
新しい Jira プロジェクトを作成するには、次の手順を実行します。
- セキュリティ オペレーション コンソールで、[ケース] に移動します。
- 既存のケースまたはシミュレーションしたケースを選択します。
- [ケースの概要] タブで [手動による対策] をクリックします。
- 手動による対策の [検索] フィールドに「
Create SCC Enterprise」と入力します。 - SCCEnterprise 統合の検索結果で、[SCC Enterprise クラウド体制チケットタイプ Jira の作成] アクションを選択します。ダイアログ ウィンドウが開きます。
API ルート パラメータを構成するには、Jira インスタンスの API ルート(
https://YOUR_DOMAIN_NAME.atlassian.netなど)を入力します。ユーザー名パラメータを構成するには、管理者として Jira へのログインに使用するユーザー名を入力します。
パスワード パラメータを構成するには、管理者として Jira へのログインに使用するパスワードを入力します。
[API トークン] パラメータを構成するには、Jira コンソールで生成された Atlassian 管理者アカウントの API トークンを入力します。
[実行] をクリックします。アクションが完了するまで待ちます。
省略可: カスタム Jira の問題レイアウトを構成する
- 管理者として Jira にログインします。
- [プロジェクト] > [SCC Enterprise Project (SCCE)] に移動します。
- 問題のフィールドを調整し、並べ替える。問題フィールドの管理の詳細については、Jira ドキュメントの問題フィールド レイアウトの構成をご覧ください。
Jira インテグレーションを構成する
- セキュリティ運用コンソールで、[レスポンス] > [統合の設定] に移動します。
- デフォルト環境を選択します。
- 統合の [検索] フィールドに「
Jira」と入力します。Jira 統合が検索結果として返されます。 - [ インスタンスを構成] をクリックします。 ダイアログ ウィンドウが開きます。
API ルート パラメータを構成するには、Jira インスタンスの API ルート(
https://YOUR_DOMAIN_NAME.atlassian.netなど)を入力します。ユーザー名パラメータを構成するには、Jira へのログインに使用するユーザー名を入力します。管理者の認証情報は使用しないでください。
[API トークン] パラメータを構成するには、Jira コンソールで生成された管理者以外の Atlassian アカウントの API トークンを入力します。
[保存] をクリックします。
構成をテストするには、[テスト] をクリックします。
Jira ハンドブックで体制の検出を有効にする
- セキュリティ運用コンソールで、[レスポンス] > [ハンドブック] に移動します。
- ハンドブックの [検索] バーに「
Generic」と入力します。 - [体制の検出 - 汎用] ハンドブックを選択します。このハンドブックはデフォルトで有効になっています。
- 切り替えを [ハンドブックを無効にする] に切り替えます。
- [保存] をクリックします。
- ハンドブックの [検索] バーに「
Jira」と入力します。 - [Jira で体制を検出] ハンドブックを選択します。このハンドブックは、デフォルトで無効になっています。
- スイッチを切り替えて、ハンドブックを有効にします。
- [保存] をクリックします。
ServiceNow と統合する
すべての統合手順を完了して、Google SecOps ケースの更新を ServiceNow チケットと同期し、正しいハンドブックのフローを確実にします。
ServiceNow カスタム チケットタイプを作成して構成する
ServiceNow カスタム チケットタイプを作成して構成し、ServiceNow UI の [アクティビティ] タブを有効にして、誤ったチケット レイアウトの使用を回避します。
ServiceNow カスタム チケットタイプを作成する
カスタム ServiceNow チケットタイプを作成するには、ServiceNow 管理者レベルの認証情報が必要です。
カスタム チケットタイプを作成するには、次の手順を行います。
- セキュリティ オペレーション コンソールで、[ケース] に移動します。
- 既存のケースまたはシミュレーションしたケースを選択します。
- [ケースの概要] タブで [手動による対策] をクリックします。
- 手動による対策の [検索] フィールドに「
Create SCC Enterprise」と入力します。 - SCCEnterprise 統合の検索結果で、[SCC Enterprise クラウド体制チケットタイプ SNOW の作成] アクションを選択します。ダイアログ ウィンドウが開きます。
API ルート パラメータを構成するには、ServiceNow インスタンスの API ルート(
https://INSTANCE_NAME.service-now.com/api/now/v1/など)を入力します。ユーザー名パラメータを構成するには、管理者として ServiceNow へのログインに使用するユーザー名を入力します。
パスワード パラメータを構成するには、管理者として ServiceNow にログインするために使用するパスワードを入力します。
[テーブルのロール] パラメータを構成するには、フィールドを空のままにするか、値(存在する場合)を指定します。このパラメータは 1 つのロール値のみを受け入れます。
デフォルトでは、[テーブルのロール] フィールドは空です。Security Command Center Enterprise チケットを明示的に管理するための ServiceNow で新しいカスタムロールを作成できます。この新しいカスタムロールが付与された ServiceNow ユーザーのみが、Security Command Center Enterprise チケットにアクセスできます。
ServiceNow でインシデントを管理するユーザー専用のロールがすでにあり、このロールを使用して Security Command Center Enterprise の検出結果を管理する場合は、既存の ServiceNow ロール名をテーブルのロール フィールドに入力します。たとえば、既存の
incident_handler_role値を指定すると、ServiceNow でincident_handler_roleロールを付与されたすべてのユーザーが Security Command Center Enterprise チケットにアクセスできます。[実行] をクリックします。アクションが完了するまで待ちます。
ServiceNow カスタム チケット レイアウトを構成する
ServiceNow UI にケースとケースコメントに関連する更新が正確に表示されるようにするには、次の手順を行います。
- ServiceNow 管理者アカウントで、[すべて] タブに移動します。
- 検索フィールドに「
SCC Enterprise」と入力します。 - プルダウン リストで [SCC Enterprise クラウド体制チケット] を選択して検索を行います。
- [体制テスト チケット] を選択します。ServiceNow チケットのレイアウト ページが開きます。
- ServiceNow チケットのレイアウト ページで、[追加アクション] > [構成する] > [フォーム レイアウト] に移動します。
- [フォームビューとセクション] セクションに移動します。
- [セクション] フィールドで [u_scc_enterprise_cloud_posture_ticket] を選択します。
- [Save] をクリックします。ページが更新されると、チケット テンプレートのフィールドが 2 つの列に分散されます。
- [追加アクション] > [設定] > [フォーム レイアウト] に移動します。
- [フォームビューとセクション] セクションに移動します。
- [セクション] フィールドで、[概要] を選択します。
- [Save] をクリックします。ページが更新されると、チケット テンプレートが新しい概要構造になります。
ServiceNow 統合を構成する
- セキュリティ オペレーション コンソールで、[レスポンス] > [統合の設定] に移動します。
- デフォルト環境を選択します。
- 統合の [検索] フィールドに「
ServiceNow」と入力します。ServiceNow 統合が検索結果として返されます。 - [ インスタンスを構成] をクリックします。 ダイアログ ウィンドウが開きます。
API ルート パラメータを構成するには、ServiceNow インスタンスの API ルート(
https://INSTANCE_NAME.service-now.com/api/now/v1/など)を入力します。ユーザー名パラメータを構成するには、ServiceNow へのログインに使用するユーザー名を入力します。管理者の認証情報は使用しないでください。
パスワード パラメータを構成するには、ServiceNow へのログインに使用するパスワードを入力します。管理者の認証情報は使用しないでください。
[保存] をクリックします。
構成をテストするには、[テスト] をクリックします。
SNOW ハンドブックで体制の検出結果を有効にする
- セキュリティ運用コンソールで、[レスポンス] > [ハンドブック] に移動します。
- ハンドブックの [検索] バーに「
Generic」と入力します。 - [体制の検出 - 汎用] ハンドブックを選択します。このハンドブックはデフォルトで有効になっています。
- 切り替えを [ハンドブックを無効にする] に切り替えます。
- [保存] をクリックします。
- ハンドブックの [検索] バーに「
SNOW」と入力します。 - [SNOW による体制の検索結果] ハンドブックを選択します。このハンドブックは、デフォルトで無効になっています。
- スイッチを切り替えて、ハンドブックを有効にします。
- [保存] をクリックします。
次のステップ
体制の検出結果の所有権を判断する方法を学習する。
ケースの検出結果をグループ化する方法を学習する。
体制ケースに基づいてチケットを割り当てる方法を学習する。