Integra Security Command Center Enterprise con sistemas de tickets

En este documento, se explica cómo integrar el nivel Enterprise de Security Command Center con los sistemas de tickets después de configurar la organización de seguridad automatización y respuesta (SOAR) con la tecnología de Google Security Operations.

La integración con los sistemas de tickets es opcional y requiere instrucciones configuración. Si usas el Security Command Center predeterminado Configuración empresarial, no necesitas realizar este procedimiento. Puedes integrarse en un sistema de tickets más adelante en cualquier momento.

Descripción general

Puedes hacer un seguimiento de los resultados usando la consola y las APIs con la configuración Configuración de Security Command Center Enterprise. Si tu organización usa sistemas de tickets para rastrear intégralos con Jira o ServiceNow después de configurar tu de Google Security Operations.

Luego de recibir los hallazgos de los recursos, el SCC Enterprise - Urgent Posture El conector de hallazgos analiza y filtra los hallazgos durante la transferencia, y los agrupa. en casos nuevos o existentes, según el tipo de hallazgo.

Si integras un sistema de tickets, Security Command Center crea cada vez que crea un nuevo caso para los hallazgos. Security Command Center actualiza automáticamente el ticket relacionado cada vez que se actualiza un caso.

Un solo caso puede contener varios resultados. Security Command Center crea un ticket para cada caso y sincroniza su contenido y información con el ticket correspondiente para que los destinatarios sepan qué corregir.

La sincronización entre un caso y su ticket funciona en ambos sentidos:

• Los cambios realizados en un caso, como una actualización de estado o un comentario nuevo, automáticamente en el ticket asociado.

• De manera similar, los detalles del ticket se sincronizan con el caso, lo que los enriquece del sistema de tickets.

Antes de comenzar

Antes de configurar Jira o ServiceNow, proporciona una dirección de correo electrónico válida Para el parámetro Fallback Owner en SCC Enterprise: Urgent Posture Findings Connector y asegúrate de que se pueda asignar este correo electrónico en tu sistema de tickets.

Integrar con Jira

Asegúrate de completar todos los pasos de integración para sincronizar el caso actualizaciones con problemas de Jira y garantizar el flujo correcto de la guía.

La prioridad del caso se refleja en la gravedad del problema de Jira.

Crea un proyecto nuevo en Jira

Para crear un proyecto nuevo en Jira para los problemas de Security Command Center Enterprise llamada SCC Enterprise Project (SCCE), ejecuta una acción manual en el caso. Tú puedes usar cualquier caso existente o simular uno. Para obtener más información sobre la simulación consulta Cómo simular casos en la documentación de Google SecOps.

Para crear un nuevo proyecto de Jira, se requieren credenciales de nivel de administrador de Jira.

Para crear un nuevo proyecto de Jira, completa los siguientes pasos:

1. En la consola de Operaciones de seguridad, ve a Casos.
2. Selecciona un caso existente o el que simulaste.
3. En la pestaña Case Overview, haz clic en Manual Action.
4. En el campo Buscar de la acción manual, ingresa Create SCC Enterprise.
5. En los resultados de la búsqueda en la integración de SCCEnterprise, selecciona el Crea la acción de Jira del tipo de ticket de postura de la nube de SCC Enterprise. El diálogo se abrirá una ventana emergente.

6. Para configurar el parámetro API Root, ingresa la raíz de API de tu de Jira, como https://YOUR_DOMAIN_NAME.atlassian.net

7. Para configurar el parámetro Username, ingresa el nombre de usuario que usas para acceder a Jira como administrador.

8. Para configurar el parámetro Password, ingresa la contraseña que utilizas para acceder a Jira como administrador.

9. Para configurar el parámetro API Token, ingresa el token de API de tu Cuenta de administrador de Atlassian que se generó en la consola de Jira.

10. Haz clic en Ejecutar. Espera hasta que se complete la acción.

Opcional: Configura un diseño personalizado de problemas de Jira

1. Accede a Jira como administrador.
2. Ve a Proyectos > SCC Enterprise Project (SCCE).
3. Ajusta y reordena los campos de problemas. Para más detalles sobre cómo administrar los campos de problemas, consulta Configura el diseño del campo de problema en la documentación de Jira.

Configura la integración de Jira

1. En la consola de operaciones de seguridad, ve a Respuesta > Configuración de integraciones.
2. Selecciona el Entorno predeterminado.
3. En el campo Buscar de la integración, ingresa Jira. La Jira como resultado de la búsqueda.
4. Haz clic en settings Configurar instancia. Se abrirá la ventana de diálogo.

5. Para configurar el parámetro API Root, ingresa la raíz de API de tu de Jira, como https://YOUR_DOMAIN_NAME.atlassian.net

6. Para configurar el parámetro Username, ingresa el nombre de usuario que usas para acceder a Jira. No uses tus credenciales de administrador.

7. Para configurar el parámetro API Token, ingresa el token de API de tu Cuenta de Atlassian no administrador que se generó en la consola de Jira.

8. Haz clic en Guardar.

9. Para probar la configuración, haz clic en Probar.

Habilita los hallazgos de postura con la guía de Jira

1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.
2. En la barra de búsqueda de la guía, ingresa Generic.
3. Selecciona la guía Posture Findings - Generic. Esta guía está habilitada de forma predeterminada.
4. Mueve el botón de activación para inhabilitar la guía.
5. Haz clic en Guardar.
6. En la barra de búsqueda de la guía, ingresa Jira.
7. Selecciona la guía Postura Hallazgos con Jira. Esta guía está inhabilitada de forma predeterminada.
8. Mueve el botón de activación para habilitar la guía.
9. Haz clic en Guardar.

Cómo realizar la integración con ServiceNow

Asegúrate de completar todos los pasos de integración para sincronizar la de casos de Google SecOps con tickets de ServiceNow y garantizar el flujo correcto de la guía.

Crea y configura el tipo de ticket personalizado de ServiceNow

Asegúrate de crear y configurar el tipo de ticket personalizado de ServiceNow habilita la pestaña Actividades en la IU de ServiceNow y evita usar y el diseño de la entrada.

Crea un tipo de ticket personalizado de ServiceNow

Para crear un tipo de ticket personalizado de ServiceNow, es necesario tener el nivel de administrador de ServiceNow credenciales.

Para crear un tipo de ticket personalizado, completa los siguientes pasos:

1. En la consola de Operaciones de seguridad, ve a Casos.
2. Selecciona un caso existente o el que simulaste.
3. En la pestaña Case Overview, haz clic en Manual Action.
4. En el campo Buscar de la acción manual, ingresa Create SCC Enterprise.
5. En los resultados de la búsqueda en la integración de SCCEnterprise, selecciona el Crear SCC Enterprise Cloud Posture Ticket Type SNOW la acción. El diálogo se abrirá una ventana emergente.

6. Para configurar el parámetro API Root, ingresa la raíz de API de tu ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/

7. Para configurar el parámetro Username, ingresa el nombre de usuario que usas para accede a ServiceNow como administrador.

8. Para configurar el parámetro Password, ingresa la contraseña que utilizas para accede a ServiceNow como administrador.

9. Para configurar el parámetro Table Role, deja el campo vacío o proporciona un valor, si tienes uno. Este parámetro solo acepta un valor de rol.

   De forma predeterminada, el campo Rol de tabla está vacío para crear un nuevo rol personalizado en ServiceNow para administrar de manera específica los tickets de Security Command Center Enterprise. Solo los usuarios de ServiceNow con este nuevo rol personalizado tienen acceso al Tickets de Security Command Center Enterprise.

   Si ya tienes un rol exclusivo para los usuarios que administran incidentes en ServiceNow y quieres usar este rol para administrar Security Command Center Enterprise, ingresa el nombre del rol ServiceNow existente Table Role. Por ejemplo, si proporcionas el estado incident_handler_role, todos los usuarios a los que se les otorgó el incident_handler_role en ServiceNow puede acceder a la Tickets de Security Command Center Enterprise.

10. Haz clic en Ejecutar. Espera hasta que se complete la acción.

Configura el diseño de ticket personalizado de ServiceNow

Para asegurarte de que la IU de ServiceNow muestre con precisión las actualizaciones relacionadas con los casos y los comentarios del caso, completa los siguientes pasos:

1. En tu cuenta de administrador de ServiceNow, ve a la pestaña Todos.
2. En el campo Buscar, ingresa SCC Enterprise.
3. En la lista desplegable, selecciona el SCC Enterprise Cloud Posture Ticket. y realizar una búsqueda.
4. Selecciona el ticket de prueba de postura. Se abrirá la página de diseño de tickets de ServiceNow.
5. En la página de diseño del ticket de ServiceNow, ve a Acciones adicionales >. Configurar > Diseño del formulario
6. Ve a la sección Vista y sección del formulario.
7. En el campo Sección, selecciona u_scc_enterprise_cloud_posture_ticket.
8. Haz clic en Guardar. Después de que se actualiza la página, la plantilla del ticket tiene campos distribuida en dos columnas.
9. Ve a Acciones adicionales > Configurar > Diseño del formulario.
10. Ve a la sección Vista y sección del formulario.
11. En el campo Sección, selecciona Resumen.
12. Haz clic en Guardar. Después de que se actualice la página, la plantilla del ticket Estructura de resumen

Configura la integración de ServiceNow

1. En la consola de operaciones de seguridad, ve a Respuesta > Integraciones Configuración.
2. Selecciona el Entorno predeterminado.
3. En el campo Buscar de la integración, ingresa ServiceNow. La clase ServiceNow como resultado de la búsqueda.
4. Haz clic en settings Configurar instancia. Se abrirá la ventana de diálogo.

5. Para configurar el parámetro API Root, ingresa la raíz de API de tu ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/

6. Para configurar el parámetro Username, ingresa el nombre de usuario que usas para accede a ServiceNow. No uses tus credenciales de administrador.

7. Para configurar el parámetro Password, ingresa la contraseña que utilizas para accede a ServiceNow. No uses tus credenciales de administrador.

8. Haz clic en Guardar.

9. Para probar la configuración, haz clic en Probar.

Habilita los hallazgos de la postura con la guía SNOW

1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.
2. En la barra de búsqueda de la guía, ingresa Generic.
3. Selecciona la guía Posture Findings - Generic. Esta guía está habilitada de forma predeterminada.
4. Mueve el botón de activación para inhabilitar la guía.
5. Haz clic en Guardar.
6. En la barra de búsqueda de la guía, ingresa SNOW.
7. Selecciona la guía Postura Hallazgos con NIEVE. Esta guía está inhabilitada de forma predeterminada.
8. Mueve el botón de activación para habilitar la guía.
9. Haz clic en Guardar.

Habilitar la sincronización de datos del caso

Security Command Center sincroniza automáticamente la información entre un caso. y el ticket correspondiente, lo que garantiza que la prioridad, el estado, los comentarios y otros datos relevantes entre un caso y su ticket.

Para sincronizar los datos de los casos, Security Command Center usa procesos automáticos internos llamados trabajos de sincronización. Las opciones Sync SCC-Jira Tickets y Sync Los trabajos de tickets de SCC-ServiceNow sincronizan los datos de casos entre Security Command Center. y sistemas de tickets integrados. Ambos trabajos están inicialmente inhabilitados y requieren para que inicien la sincronización automática de los datos del caso.

Cerrar un caso resuelve automáticamente el ticket correspondiente. Resolver un problema ticket en Jira o ServiceNow activa los trabajos de sincronización para cerrar el caso también.

Antes de comenzar

Para habilitar la sincronización de casos, se te debe otorgar cualquiera de los siguientes SOC roles en la consola de operaciones de seguridad:

• Administrador
• Administrador de vulnerabilidades
• Administrador de amenazas

Obtén más detalles sobre los roles y los permisos del SOC en la consola de operaciones de seguridad necesario para los usuarios, consulta Controlar el acceso a las funciones en la consola de operaciones de seguridad.

Habilitar la sincronización para los sistemas de tickets

Para garantizar que la información en los casos y tickets sea sincronizada, habilita el trabajo de sincronización relevante para la generación de tickets con el que te integraste.

Para habilitar el trabajo de sincronización, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Respuesta > Trabajo Programador.

2. Elige el trabajo de sincronización correcto:

   • Si realizaste la integración con Jira, selecciona el trabajo Sync SCC-Jira Tickets.

   • Si integraste ServiceNow, selecciona Sync SCC-ServiceNow Tickets. el trabajo.

3. Usa el botón de activación para habilitar el trabajo seleccionado.

4. Haz clic en Guardar para habilitar la sincronización automática del caso en Security Command Center. con un sistema de tickets.

Crear tickets para casos existentes

Security Command Center crea tickets automáticamente solo para los casos que se abren después de que se integraron con un sistema de tickets y no adjuntan guías para las alertas existentes. Crear tickets para los casos que se abrieron antes de integración en un sistema de tickets, usa uno de los siguientes enfoques:

• Cierra un caso que no tenga ticket y espera hasta que SCC revise los hallazgos. asigna una nueva guía a las alertas de casos.

• Agrega una guía de forma manual a cualquier alerta en un caso que se haya abierto antes de que integrados en un sistema de tickets.

Cierra un caso sin ticket

Para cerrar un caso que no tiene ticket, sigue estos pasos:

1. En la consola de Operaciones de seguridad, ve a Casos.

2. Haz clic en Abrir filtro. El panel Filtro de cola de casos se abre.

3. En el filtro de cola de casos, especifica lo siguiente:

   1. En el campo Período (Time Frame), especifica el período de los casos abiertos.
   2. Configura el Operador lógico como AND.
   3. Para el primer valor en Operador lógico, selecciona Etiquetas.
   4. Establece la condición en IS.
   5. Para el segundo valor, selecciona Internal-SCC-Ticket-Info.
   6. Haz clic en Aplicar para actualizar casos en la cola de casos y mostrar solo los casos que coincidan con el filtro que especificaste.

4. Selecciona el caso en la cola de casos.

5. En la vista del caso, selecciona Cerrar caso. Se abrirá la ventana Close Case.

6. En la ventana Close Case, especifica lo siguiente:

   1. Selecciona un valor en el campo Motivo para indicar el motivo del cierre. no siempre es el caso.

   2. Selecciona un valor en el campo Root Cause para establecer la causa de cerrar el caso.

   3. Opcional: Agrega un comentario.

   4. Haz clic en Cerrar para cerrar el caso. Security Command Center, luego, retransfiere los resultados a un nuevo caso y adjunta automáticamente un mensaje para ellos.

Agrega una guía a una alerta de forma manual

Para adjuntar manualmente una guía a una alerta en un caso existente, completa la los siguientes pasos:

1. En la consola de Operaciones de seguridad, ve a Casos.

2. Haz clic en Abrir filtro. El panel Filtro de cola de casos se abre.

3. En el filtro de cola de casos, especifica lo siguiente:

   1. En el campo Período (Time Frame), especifica el período de los casos abiertos.
   2. Configura el Operador lógico como AND.
   3. Para el primer valor en Operador lógico, selecciona Etiquetas.
   4. Establece la condición en IS.
   5. Para el segundo valor, selecciona Internal-SCC-Ticket-Info.
   6. Haz clic en Aplicar para actualizar casos en la cola de casos y mostrar solo los casos que coincidan con el filtro que especificaste.

4. Selecciona el caso en la cola de casos.

5. Selecciona cualquier alerta incluida en un caso.

6. En una vista de alerta, ve a la pestaña Guías.

7. Haz clic en add Agregar guía. Aparecerá la ventana Add a Playbook con una lista de guías disponibles.

8. En el campo de búsqueda de la ventana Add a Playbook, ingresa Posture Findings.

   • Si realizaste la integración con Jira, selecciona Posture Findings With Jira. de Google Cloud.
   • Si integraste ServiceNow, selecciona el recurso Posture Findings With SNOW.

9. Haz clic en Add para agregar una guía a una alerta.

Al finalizar, la guía crea un ticket para un caso y automáticamente completará el ticket con información del caso.

Agregar una guía a una sola alerta dentro de un caso es suficiente para crear ticket y activar la sincronización de datos.

¿Qué sigue?

• Obtén información para determinar la propiedad de los resultados de postura.

• Obtén información para agrupar los resultados en casos.

• Obtén información para asignar tickets según los casos de postura.