Integra Security Command Center Enterprise con i sistemi di gestione dei ticket

Questo documento spiega come integrare il livello Enterprise di Security Command Center con i sistemi di gestione dei ticket dopo aver configurato la funzionalità di orchestrazione della sicurezza, di automazione e di risposta (SOAR) basata su Google Security Operations.

L'integrazione con i sistemi di gestione dei ticket è facoltativa e richiede la configurazione manuale. Se prevedi di utilizzare la configurazione predefinita di Security Command Center Enterprise, non è necessario eseguire questa procedura. Puoi integrare un sistema di vendita di biglietti in qualsiasi momento.

Panoramica

La configurazione predefinita di Security Command Center Enterprise consente di tenere traccia dei risultati utilizzando la console e le API. Se la tua organizzazione utilizza sistemi di gestione dei ticket per monitorare i problemi, esegui l'integrazione con Jira o ServiceNow dopo aver configurato l'istanza Google Security Operations.

Dopo aver ricevuto i risultati relativi alle risorse, il connettore SCC Enterprise - Urgent Posture Findings analizza e filtra i risultati durante l'importazione e li raggruppa in casi nuovi o esistenti, a seconda del tipo di risultato.

Se esegui l'integrazione con un sistema di gestione dei ticket, Security Command Center crea un nuovo ticket ogni volta che ne crea una nuova per i risultati. Ogni volta che una richiesta viene aggiornata, Security Command Center aggiorna automaticamente anche il ticket correlato.

Un singolo caso può contenere uno o più risultati. Security Command Center crea un ticket per ogni richiesta e ne sincronizza i contenuti e le informazioni con il ticket corrispondente per far sapere agli assegnatari dei ticket cosa correggere.

La sincronizzazione tra una richiesta e il relativo ticket funziona in entrambi i modi: se si verifica un aggiornamento in un caso, ad esempio una modifica dello stato o un nuovo commento, questo si riflette in un ticket e i dettagli del ticket vengono sincronizzati con l'arricchimento del sistema di gestione dei ticket in un caso.

Prima di iniziare

Prima di configurare Jira o ServiceNow, fornisci un indirizzo email valido per il parametro Proprietario di riserva in SCC Enterprise - Connettore Urgent Posture Findings e assicurati che questo indirizzo email sia assegnabile nel tuo sistema di gestione dei ticket.

Integrazione con Jira

Assicurati di completare tutti i passaggi di integrazione per sincronizzare gli aggiornamenti delle richieste di Google SecOps con problemi Jira e garantire il flusso del playbook corretto.

La priorità della richiesta si riflette nella gravità del problema di Jira.

Crea un nuovo progetto in Jira

Per creare un nuovo progetto in Jira per i problemi di Security Command Center Enterprise denominato SCC Enterprise Project (SCCE), esegui un'azione manuale nella richiesta. Puoi utilizzare qualsiasi richiesta esistente o simularne una. Per saperne di più sui casi di simulazione, consulta la pagina Simulare casi nella documentazione di Google SecOps.

Per creare un nuovo progetto Jira sono necessarie le credenziali a livello di amministratore Jira.

Per creare un nuovo progetto Jira:

1. Nella console operativa di sicurezza, vai a Richieste.
2. Seleziona una richiesta esistente o quella che hai simulato.
3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
4. Nel campo dell'azione manuale Cerca, inserisci Create SCC Enterprise.
5. Nei risultati di ricerca nell'integrazione di SCCEnterprise, seleziona l'azione Create SCC Enterprise Cloud Posture Ticket Type Jira. Si apre la finestra di dialogo.

6. Per configurare il parametro Root API, inserisci la radice API dell'istanza Jira, ad esempio https://YOUR_DOMAIN_NAME.atlassian.net

7. Per configurare il parametro Nome utente, inserisci il nome utente che utilizzi per accedere a Jira come amministratore.

8. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a Jira come amministratore.

9. Per configurare il parametro Token API, inserisci il token API dell'account amministratore Atlassian generato nella console Jira.

10. Fai clic su Execute (Esegui). Attendi il completamento dell'azione.

(Facoltativo) Configura il layout personalizzato dei problemi Jira

1. Accedi a Jira come amministratore.
2. Vai a Progetti > Progetto aziendale SCC (SCCE).
3. Modifica e riordina i campi dei problemi. Per maggiori dettagli sulla gestione dei campi relativi ai problemi, consulta Configurazione del layout dei campi relativi ai problemi nella documentazione di Jira.

Configura l'integrazione di Jira

1. Nella console operativa di sicurezza, vai a Risposta > Configurazione integrazioni.
2. Seleziona l'Ambiente predefinito.
3. Nel campo dell'integrazione Search, inserisci Jira. L'integrazione Jira restituisce come risultato di ricerca.
4. Fai clic su settings Configura istanza. Si apre la finestra di dialogo.

5. Per configurare il parametro Root API, inserisci la radice API dell'istanza Jira, ad esempio https://YOUR_DOMAIN_NAME.atlassian.net

6. Per configurare il parametro Username, inserisci il nome utente che utilizzi per accedere a Jira. Non utilizzare le tue credenziali amministrative.

7. Per configurare il parametro Token API, inserisci il token API dell'account Atlassian non amministratore generato nella console Jira.

8. Fai clic su Salva.

9. Per testare la configurazione, fai clic su Testa.

Abilita i risultati della postura con il playbook Jira

1. Nella console operativa di sicurezza, vai a Risposta > Playbook.
2. Nella barra di ricerca del Playbook, inserisci Generic.
3. Seleziona il playbook Posture Findings - Generic (Risultati posture - Generici). Questo playbook è abilitato per impostazione predefinita.
4. Attiva l'opzione per disabilitare il playbook.
5. Fai clic su Salva.
6. Nella barra di ricerca del Playbook, inserisci Jira.
7. Seleziona il playbook Posture Findings With Jira. Questo playbook è disabilitato per impostazione predefinita.
8. Attiva l'opzione di attivazione/disattivazione per abilitare il playbook.
9. Fai clic su Salva.

Integrazione con ServiceNow

Assicurati di completare tutti i passaggi di integrazione per sincronizzare gli aggiornamenti delle richieste Google SecOps con i ticket ServiceNow e verificare il flusso del playbook corretto.

Crea e configura il tipo di ticket personalizzato ServiceNow

Assicurati di creare e configurare il tipo di ticket personalizzato ServiceNow per attivare la scheda Attività nell'interfaccia utente di ServiceNow ed evitare di utilizzare il layout di ticket errato.

Crea tipo di ticket personalizzato ServiceNow

Per creare un tipo di ticket ServiceNow personalizzato sono necessarie le credenziali a livello di amministratore ServiceNow.

Per creare un tipo di biglietto personalizzato, segui questi passaggi:

1. Nella console operativa di sicurezza, vai a Richieste.
2. Seleziona una richiesta esistente o quella che hai simulato.
3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
4. Nel campo dell'azione manuale Cerca, inserisci Create SCC Enterprise.
5. Nei risultati di ricerca nell'integrazione di SCCEnterprise, seleziona l'azione Create SCC Enterprise Cloud Posture Ticket Type SNOW. Si apre la finestra di dialogo.

6. Per configurare il parametro Root API, inserisci la radice API dell'istanza di ServiceNow, ad esempio https://INSTANCE_NAME.service-now.com/api/now/v1/

7. Per configurare il parametro Nome utente, inserisci il nome utente che utilizzi per accedere a ServiceNow come amministratore.

8. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a ServiceNow come amministratore.

9. Per configurare il parametro Ruolo tabella, lascia il campo vuoto o fornisci un valore, se disponibile. Questo parametro accetta un solo valore del ruolo.

   Per impostazione predefinita, il campo Ruolo tabella è vuoto per creare un nuovo ruolo personalizzato in ServiceNow per gestire in modo specifico i ticket Security Command Center Enterprise. Solo gli utenti di ServiceNow a cui è stato concesso questo nuovo ruolo personalizzato hanno accesso ai ticket di Security Command Center Enterprise.

   Se disponi già di un ruolo dedicato per gli utenti che gestiscono gli incidenti in ServiceNow e vuoi utilizzarlo per gestire i risultati Enterprise di Security Command Center, inserisci il nome del ruolo ServiceNow esistente nel campo Ruolo tabella. Ad esempio, se fornisci il valore incident_handler_role esistente, tutti gli utenti a cui è stato concesso il ruolo incident_handler_role in ServiceNow possono accedere ai ticket Security Command Center Enterprise.

10. Fai clic su Execute (Esegui). Attendi il completamento dell'azione.

Configurare il layout dei ticket personalizzati ServiceNow

Per assicurarti che l'interfaccia utente di ServiceNow mostri accuratamente gli aggiornamenti relativi alle richieste e ai commenti alle richieste, completa i seguenti passaggi:

1. Nel tuo account amministratore di ServiceNow, vai alla scheda Tutti.
2. Nel campo Cerca, inserisci SCC Enterprise.
3. Nell'elenco a discesa, seleziona SCC Enterprise Cloud Posture Ticket ed esegui una ricerca.
4. Seleziona il biglietto per il test di posture. Si apre la pagina di layout del ticket ServiceNow.
5. Nella pagina del layout del ticket ServiceNow, vai ad Azioni aggiuntive > Configura > Layout modulo.
6. Vai alla sezione Visualizzazione e sezione modulo.
7. Nel campo Sezione, seleziona u_scc_enterprise_cloud_posture_ticket.
8. Fai clic su Salva. Dopo l'aggiornamento della pagina, il modello di ticket ha campi distribuiti in due colonne.
9. Vai ad Azioni aggiuntive > Configura > Layout modulo.
10. Vai alla sezione Visualizzazione e sezione modulo.
11. Nel campo Sezione, seleziona Riepilogo.
12. Fai clic su Salva. Dopo l'aggiornamento della pagina, il modello di ticket ha la nuova struttura di Riepilogo.

Configura l'integrazione ServiceNow

1. Nella console operativa di sicurezza, vai a Risposta > Configurazione delle integrazioni.
2. Seleziona l'Ambiente predefinito.
3. Nel campo dell'integrazione Search, inserisci ServiceNow. L'integrazione ServiceNow restituisce un risultato di ricerca.
4. Fai clic su settings Configura istanza. Si apre la finestra di dialogo.

5. Per configurare il parametro Root API, inserisci la radice API dell'istanza di ServiceNow, ad esempio https://INSTANCE_NAME.service-now.com/api/now/v1/

6. Per configurare il parametro Nome utente, inserisci il nome utente che utilizzi per accedere a ServiceNow. Non utilizzare le tue credenziali amministrative.

7. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a ServiceNow. Non utilizzare le tue credenziali amministrative.

8. Fai clic su Salva.

9. Per testare la configurazione, fai clic su Testa.

Abilita i risultati della postura con la guida pratica SNOW

1. Nella console operativa di sicurezza, vai a Risposta > Playbook.
2. Nella barra di ricerca del Playbook, inserisci Generic.
3. Seleziona il playbook Posture Findings - Generic (Risultati posture - Generici). Questo playbook è abilitato per impostazione predefinita.
4. Attiva l'opzione per disabilitare il playbook.
5. Fai clic su Salva.
6. Nella barra di ricerca del Playbook, inserisci SNOW.
7. Seleziona la guida pratica Risultati posture con SNOW. Questo playbook è disabilitato per impostazione predefinita.
8. Attiva l'opzione di attivazione/disattivazione per abilitare il playbook.
9. Fai clic su Salva.

Che cosa succede dopo?

• Scopri come determinare la proprietà per i risultati relativi alla postura.

• Scopri come raggruppare i risultati nelle richieste.

• Scopri come assegnare i ticket in base ai casi di postura.