Neste documento, explicamos como integrar o nível Enterprise do Security Command Center aos sistemas de tíquetes após configurar a funcionalidade de orquestração, automação e resposta de segurança (SOAR, na sigla em inglês) com a tecnologia do Google Security Operations.
A integração com sistemas de tíquetes é opcional e requer configuração manual. Se você usa a configuração padrão do Security Command Center Enterprise, não é necessário executar este procedimento. É possível fazer a integração com um sistema de tíquetes a qualquer momento.
Visão geral
É possível rastrear descobertas usando o console e as APIs com a configuração padrão do Security Command Center Enterprise. Caso sua organização use sistemas de tíquetes para rastrear problemas, faça a integração com o Jira ou o ServiceNow depois de configurar a instância do Google Security Operations.
Ao receber as descobertas dos recursos, o Conector de descobertas de postura urgente do SCC Enterprise analisa e filtra as descobertas durante a ingestão e as agrupa em casos novos ou atuais, dependendo do tipo de descoberta.
Caso você faça a integração com um sistema de tíquetes, o Security Command Center vai criar um novo tíquete sempre que criar um novo caso para descobertas. O Security Command Center atualiza automaticamente o tíquete relacionado sempre que um caso é atualizado.
Um único caso pode conter várias descobertas. O Security Command Center cria um tíquete para cada caso e sincroniza o conteúdo e as informações do caso com o tíquete correspondente. Assim, os usuários atribuídos sabem o que corrigir.
A sincronização entre um caso e o tíquete dele funciona nos dois sentidos:
As mudanças feitas em um caso, como uma atualização de status ou um novo comentário, são refletidas automaticamente no tíquete associado.
Da mesma forma, os detalhes do tíquete são sincronizados com o caso, enriquecendo-o com informações do sistema de tíquetes.
Antes de começar
Antes de configurar o Jira ou o ServiceNow, forneça um endereço de e-mail válido para o parâmetro proprietário substituto em SCC Enterprise - Conector de descobertas de posturas urgentes (em inglês) e verifique se esse e-mail pode ser atribuído no sistema de tíquetes.
Integrar com o Jira
Conclua todas as etapas de integração para sincronizar as atualizações de caso com os problemas do Jira e garantir o fluxo correto do playbook.
A prioridade do caso é refletida na gravidade do problema do Jira.
Criar um novo projeto no Jira
Para criar um novo projeto no Jira para os problemas do Security Command Center Enterprise chamado SCC Enterprise Project (SCCE), execute uma ação manual no caso. É possível usar qualquer caso existente ou simular um. Para mais informações sobre como simular casos, consulte a página Simular casos na documentação do Google SecOps.
Para criar um novo projeto Jira, é necessário ter credenciais de administrador do Jira.
Para criar um novo projeto Jira, siga estas etapas:
- No console de Operações de Segurança, acesse Casos.
- Selecione um caso existente ou o que você simulou.
- Na guia Visão geral do caso, clique em Ação manual.
- No campo Pesquisar de ação manual, insira
Create SCC Enterprise. - Nos resultados da pesquisa, na integração SCCEnterprise, selecione a ação Create SCC Enterprise Cloud Posture Ticket Type Jira. A janela da caixa de diálogo será aberta.
Para configurar o parâmetro API Root, insira a raiz da API da sua instância Jira, como
https://YOUR_DOMAIN_NAME.atlassian.netPara configurar o parâmetro Nome de usuário, insira o nome de usuário que você usa para fazer login no Jira como administrador.
Para configurar o parâmetro Password, insira a senha que você usa para fazer login no Jira como administrador.
Para configurar o parâmetro Token de API, insira o token de API da sua conta de administrador da Atlassian que foi gerada no console do Jira.
Clique em Executar. Aguarde até que a ação seja concluída.
Opcional: configurar o layout de problemas personalizado do Jira
- Faça login no Jira como administrador.
- Acesse Projetos > SCC Enterprise Project (SCCE).
- Ajuste e reorganize os campos de problemas. Para saber mais sobre como gerenciar campos de problemas, consulte Como configurar o layout do campo de problemas na documentação do Jira.
Configurar a integração com o Jira
- No console de Operações de segurança, acesse Resposta > Configuração de integrações.
- Selecione o Ambiente padrão.
- No campo Pesquisar da integração, digite
Jira. A integração Jira retorna como um resultado de pesquisa. - Clique em Configurar instância. A janela de diálogo é aberta.
Para configurar o parâmetro API Root, insira a raiz da API da sua instância Jira, como
https://YOUR_DOMAIN_NAME.atlassian.netPara configurar o parâmetro Nome de usuário, insira o nome de usuário que você usa para fazer login no Jira. Não use suas credenciais de administrador.
Para configurar o parâmetro Token de API, insira o token de API da sua conta Atlassian não administrador gerada no console do Jira.
Clique em Salvar.
Para testar a configuração, clique em Testar.
Ativar as descobertas de postura com o playbook do Jira
- No console de Operações de Segurança, acesse Resposta > Playbooks.
- Na barra Pesquisa do Playbook, digite
Generic. - Selecione o playbook Descobertas de postura – Genérica. Esse playbook está ativado por padrão.
- Alterne o botão para desativar o playbook.
- Clique em Salvar.
- Na barra Pesquisa do Playbook, digite
Jira. - Selecione o playbook Descobertas de postura com o Jira. Este playbook está desativado por padrão.
- Alterne o botão para ativar o playbook.
- Clique em Salvar.
Integrar com o ServiceNow
Conclua todas as etapas de integração para sincronizar as atualizações dos casos do Google SecOps com os tíquetes do ServiceNow e garantir o fluxo correto do playbook.
Criar e configurar o tipo de tíquete personalizado do ServiceNow
Certifique-se de criar e configurar o tipo de tíquete personalizado do ServiceNow para ativar a guia "Atividades" na interface do ServiceNow e evitar o uso do layout de tíquete incorreto.
Criar tipo de tíquete personalizado do ServiceNow
A criação de um tipo de tíquete personalizado do ServiceNow exige credenciais de nível de administrador do ServiceNow.
Para criar um tipo de ingresso personalizado, siga estas etapas:
- No console de Operações de Segurança, acesse Casos.
- Selecione um caso existente ou o que você simulou.
- Na guia Visão geral do caso, clique em Ação manual.
- No campo Pesquisar de ação manual, insira
Create SCC Enterprise. - Nos resultados da pesquisa, na integração SCCEnterprise, selecione a ação Create SCC Enterprise Cloud Posture Ticket Type SNOW. A janela da caixa de diálogo será aberta.
Para configurar o parâmetro API Root, insira a raiz da API da sua instância do ServiceNow, como
https://INSTANCE_NAME.service-now.com/api/now/v1/Para configurar o parâmetro Nome de usuário, insira o nome de usuário que você usa para fazer login no ServiceNow como administrador.
Para configurar o parâmetro Senha, insira a senha que você usa para fazer login no ServiceNow como administrador.
Para configurar o parâmetro Papel da tabela, deixe o campo em branco ou forneça um valor, se houver. Esse parâmetro aceita apenas um valor de papel.
Por padrão, o campo Papel da tabela fica vazio para criar um papel personalizado no ServiceNow para gerenciar especificamente os tíquetes do Security Command Center Enterprise. Somente os usuários do ServiceNow que receberam esse novo papel personalizado têm acesso aos tíquetes do Security Command Center Enterprise.
Se você já tiver um papel dedicado para usuários que gerenciam incidentes no ServiceNow e quiser usá-lo para gerenciar as descobertas do Security Command Center Enterprise, insira o nome do papel atual do ServiceNow no campo Papel da tabela. Por exemplo, se você fornecer o valor
incident_handler_roleatual, todos os usuários que receberem o papelincident_handler_roleno ServiceNow poderão acessar os tíquetes do Security Command Center Enterprise.Clique em Executar. Aguarde até que a ação seja concluída.
Configurar o layout personalizado do tíquete do ServiceNow
Para garantir que a interface do ServiceNow exiba com precisão as atualizações relacionadas aos casos e comentários de casos, conclua as etapas a seguir:
- Na conta de administrador do ServiceNow, acesse a guia Todos.
- No campo Pesquisa, digite
SCC Enterprise. - Na lista suspensa, selecione SCC Enterprise Cloud Posture Ticket (em inglês) e faça uma pesquisa.
- Selecione o Tíquete de teste de postura. A página de layout do tíquete do ServiceNow será aberta.
- Na página de layout do tíquete do ServiceNow, acesse Ações adicionais > Configurar > Layout do formulário.
- Acesse a seção Visualização e seção do formulário.
- No campo Seção, selecione u_scc_enterprise_cloud_posture_ticket.
- Clique em Salvar. Após a atualização da página, o modelo de ingresso tem campos distribuídos em duas colunas.
- Acesse Ações adicionais > Configurar > Layout do formulário.
- Acesse a seção Visualização e seção do formulário.
- No campo Seção, selecione Resumo.
- Clique em Salvar. Depois que a página for atualizada, o modelo de tíquete terá a nova estrutura de resumo.
Configurar a integração do ServiceNow
- No console de Operações de segurança, acesse Resposta > Configuração de integrações.
- Selecione o Ambiente padrão.
- No campo Pesquisar da integração, digite
ServiceNow. A integração do ServiceNow retorna como um resultado de pesquisa. - Clique em Configurar instância. A janela de diálogo é aberta.
Para configurar o parâmetro API Root, insira a raiz da API da sua instância do ServiceNow, como
https://INSTANCE_NAME.service-now.com/api/now/v1/Para configurar o parâmetro Nome de usuário, digite o nome de usuário que você usa para fazer login no ServiceNow. Não use suas credenciais de administrador.
Para configurar o parâmetro Senha, insira a senha que você usa para fazer login no ServiceNow. Não use suas credenciais de administrador.
Clique em Salvar.
Para testar a configuração, clique em Testar.
Ativar o playbook de descobertas de postura com SNOW
- No console de Operações de Segurança, acesse Resposta > Playbooks.
- Na barra Pesquisa do Playbook, digite
Generic. - Selecione o playbook Descobertas de postura – Genérica. Esse playbook está ativado por padrão.
- Alterne o botão para desativar o playbook.
- Clique em Salvar.
- Na barra Pesquisa do Playbook, digite
SNOW. - Selecione o playbook Descobertas de postura com SNOW. Este playbook está desativado por padrão.
- Alterne o botão para ativar o playbook.
- Clique em Salvar.
Ativar a sincronização de dados de casos
O Security Command Center sincroniza automaticamente as informações entre um caso e o tíquete correspondente, garantindo a correspondência de prioridade, status, comentários e outros dados relevantes entre um caso e o tíquete.
Para sincronizar os dados dos casos, o Security Command Center usa processos automáticos internos chamados jobs de sincronização. Os jobs Sync SCC-Jira Tickets e Sync SCC-ServiceNow Tickets sincronizam dados de casos entre o Security Command Center e os sistemas de tíquetes integrados. Inicialmente, os dois jobs são desativados e exigem que você os ative para iniciar a sincronização automática de dados de casos.
O encerramento de um caso resolve automaticamente o tíquete correspondente. Resolver um tíquete no Jira ou no ServiceNow aciona os jobs de sincronização para encerrar o caso também.
Antes de começar
Para ativar a sincronização de casos, é necessário receber qualquer um dos seguintes papéis do SOC no console de Operações de Segurança:
- Administrador
- Gerenciador de vulnerabilidades
- Gerenciador de ameaças
Para saber mais detalhes sobre os papéis do SOC no console de Operações de Segurança e as permissões necessárias para os usuários, consulte Controlar o acesso a recursos no Console de Operações de Segurança.
Ativar a sincronização para sistemas de tíquetes
Para garantir que as informações em casos e tíquetes sejam sincronizadas automaticamente, ative o job de sincronização relevante para o sistema de tíquetes integrado.
Para ativar o job de sincronização, siga estas etapas:
No console de Operações de segurança, vá para Resposta > Programador de jobs.
Escolha o job de sincronização correto:
Se você fez a integração com o Jira, selecione o job Sincronizar tíquetes SCC-Jira.
Se você fez a integração com o ServiceNow, selecione o job Sincronizar tíquetes SCC-ServiceNow.
Alterne o botão para ativar o job selecionado.
Clique em Salvar para ativar o Security Command Center para sincronizar automaticamente os dados do caso com um sistema de tíquetes.
Criar tíquetes para casos existentes
O Security Command Center cria tíquetes automaticamente apenas para casos abertos após a integração com um sistema de tíquetes. Ele não anexa novos playbooks aos alertas atuais de forma retroativa. Para criar tíquetes de casos abertos antes da integração com um sistema de tíquetes, use uma das seguintes abordagens:
Encerre um caso sem tíquete e aguarde até que o SCC processe as descobertas e atribua um novo playbook aos alertas.
Adicione manualmente um playbook a qualquer alerta em um caso que tenha sido aberto antes da integração a um sistema de tíquetes.
Encerrar um caso sem tíquete
Para encerrar um caso sem tíquete, siga estas etapas:
No console de Operações de Segurança, acesse Casos.
Clique em
Abrir filtro. O painel Filtro de fila de casos é aberto.Em Filtro de fila de casos, especifique o seguinte:
- No campo Período, especifique o período dos casos abertos.
- Defina Operador lógico como AND.
- Para o primeiro valor em Operador lógico, selecione Tags.
- Defina a condição como IS.
- Para o segundo valor, selecione Internal-SCC-Ticket-Info.
- Clique em Aplicar para atualizar casos na fila de casos e mostrar apenas os que correspondem ao filtro especificado.
Na fila de casos, selecione o caso.
Na visualização Caso, selecione
Encerrar caso. A janela Close Case vai ser aberta.Na janela Encerrar caso, especifique o seguinte:
Selecione um valor no campo Motivo para indicar o motivo do fechamento do caso.
Selecione um valor para o campo Causa raiz para indicar a causa do encerramento do caso.
Opcional: adicione um comentário.
Clique em Fechar para encerrar o caso. O Security Command Center processa as descobertas em um novo caso e automaticamente anexa um playbook correto a ele.
Adicionar um playbook manualmente a um alerta
Para anexar manualmente um playbook a um alerta em um caso atual, conclua as seguintes etapas:
No console de Operações de Segurança, acesse Casos.
Clique em
Abrir filtro. O painel Filtro de fila de casos é aberto.Em Filtro de fila de casos, especifique o seguinte:
- No campo Período, especifique o período dos casos abertos.
- Defina Operador lógico como AND.
- Para o primeiro valor em Operador lógico, selecione Tags.
- Defina a condição como IS.
- Para o segundo valor, selecione Internal-SCC-Ticket-Info.
- Clique em Aplicar para atualizar casos na fila de casos e mostrar apenas os que correspondem ao filtro especificado.
Na fila de casos, selecione o caso.
Selecione qualquer alerta contido em um caso.
Em uma visualização de alerta, acesse a guia Playbooks.
Clique em adicionar Adicionar playbook. A janela Adicionar um playbook com uma lista de playbooks disponíveis será exibida.
No campo de pesquisa da janela Adicionar um playbook, digite
Posture Findings.- Se você fez a integração com o Jira, selecione o playbook Descobertas de postura com o Jira.
- Se você fez a integração com o ServiceNow, selecione o playbook Descobertas de postura com SNOW.
Clique em Adicionar para adicionar um playbook a um alerta.
Após a conclusão, o playbook cria um tíquete para um caso e o preenche automaticamente com informações do caso.
Adicionar um playbook a um único alerta em um caso é suficiente para criar um tíquete e acionar a sincronização de dados.
A seguir
Saiba como determinar a propriedade de descobertas de postura.
Saiba como agrupar descobertas nos casos.
Saiba como atribuir tíquetes com base em casos de postura.