Integra Security Command Center Enterprise con sistemas de tickets

En este documento, se explica cómo integrar el nivel Enterprise de Security Command Center con los sistemas de tickets después de configurar la organización, automatización y (SOAR).

La integración con sistemas de venta de entradas es opcional y requiere una configuración manual. Si usas el Security Command Center predeterminado Configuración empresarial, no necesitas realizar este procedimiento. Puedes integrarse en un sistema de tickets más adelante en cualquier momento.

Descripción general

Puedes hacer un seguimiento de los resultados usando la consola y las APIs con la configuración Configuración de Security Command Center Enterprise. Si tu organización usa sistemas de tickets para rastrear intégralos con Jira o ServiceNow después de configurar tu de Google Security Operations.

Cuando se reciben hallazgos de recursos, el Conector de SCC Enterprise – Urgent Posture Findings los analiza y los agrupa en casos nuevos o existentes, según el tipo de hallazgo.

Si integras un sistema de tickets, Security Command Center crea cada vez que crea un nuevo caso para los hallazgos. Security Command Center actualiza automáticamente el ticket relacionado cada vez que se actualiza un caso.

Un solo caso puede contener varios resultados. Security Command Center crea un ticket para cada caso y sincroniza su contenido y información con el ticket correspondiente para que los destinatarios sepan qué corregir.

La sincronización entre un caso y su ticket funciona en ambos sentidos:

  • Los cambios en un caso, como una actualización de estado o un comentario nuevo, se reflejan automáticamente en el ticket asociado.

  • De manera similar, los detalles del ticket se sincronizan con el caso, lo que los enriquece del sistema de tickets.

Antes de comenzar

Antes de configurar Jira o ServiceNow, proporciona una dirección de correo electrónico válida para el parámetro Fallback Owner en SCC Enterprise: Urgent Posture Findings Connector y asegúrate de que se pueda asignar este correo electrónico en tu sistema de tickets.

Integrar con Jira

Asegúrate de completar todos los pasos de integración para sincronizar las actualizaciones de los casos con los problemas de Jira y garantizar el flujo correcto del libro de jugadas.

La prioridad del caso se refleja en la gravedad del problema de Jira.

Crea un proyecto nuevo en Jira

Para crear un proyecto nuevo en Jira para los problemas de Security Command Center Enterprise llamado SCC Enterprise Project (SCCE), ejecuta una acción manual en el caso. Tú puedes usar cualquier caso existente o simular uno. Para obtener más información sobre la simulación consulta Cómo simular casos en la documentación de Google SecOps.

Para crear un proyecto de Jira nuevo, se requieren credenciales de administrador de Jira.

Para crear un nuevo proyecto de Jira, completa los siguientes pasos:

  1. En la consola de Operaciones de seguridad, ve a Casos.
  2. Selecciona un caso existente o el que simulaste.
  3. En la pestaña Case Overview, haz clic en Manual Action.
  4. En el campo Buscar de la acción manual, ingresa Create SCC Enterprise.
  5. En los resultados de la búsqueda en la integración de SCCEnterprise, selecciona el Crea la acción de Jira del tipo de ticket de postura de la nube de SCC Enterprise. El diálogo se abrirá una ventana emergente.
  6. Para configurar el parámetro API Root, ingresa la raíz de API de tu de Jira, como https://YOUR_DOMAIN_NAME.atlassian.net

  7. Para configurar el parámetro Username, ingresa el nombre de usuario que usas para acceder a Jira como administrador.

  8. Para configurar el parámetro Password, ingresa la contraseña que usas para acceder a Jira como administrador.

  9. Para configurar el parámetro API Token, ingresa el token de API de tu Cuenta de administrador de Atlassian que se generó en la consola de Jira.

  10. Haz clic en Ejecutar. Espera hasta que se complete la acción.

Opcional: Configura un diseño personalizado de problemas de Jira

  1. Accede a Jira como administrador.
  2. Ve a Proyectos > SCC Enterprise Project (SCCE).
  3. Ajusta y reordena los campos de problemas. Para más detalles sobre cómo administrar los campos de problemas, consulta Configura el diseño del campo de problema en la documentación de Jira.

Configura la integración de Jira

  1. En la consola de Security Operations, ve a Respuesta > Configuración de integraciones.
  2. Selecciona el Entorno predeterminado.
  3. En el campo Buscar de la integración, ingresa Jira. La integración con Jira se muestra como un resultado de la búsqueda.
  4. Haz clic en Configurar instancia. Se abrirá la ventana de diálogo.
  5. Para configurar el parámetro API Root, ingresa la raíz de API de tu de Jira, como https://YOUR_DOMAIN_NAME.atlassian.net

  6. Para configurar el parámetro Username, ingresa el nombre de usuario que usas para acceder a Jira. No uses tus credenciales de administrador.

  7. Para configurar el parámetro API Token, ingresa el token de API de tu Cuenta de Atlassian no administrador que se generó en la consola de Jira.

  8. Haz clic en Guardar.

  9. Para probar la configuración, haz clic en Probar.

Habilita los hallazgos de postura con la guía de Jira

  1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.
  2. En la barra de búsqueda de la guía, ingresa Generic.
  3. Selecciona la guía Posture Findings - Generic. Esta guía de trabajo está habilitada de forma predeterminada.
  4. Mueve el botón de activación para inhabilitar la guía.
  5. Haz clic en Guardar.
  6. En la barra de búsqueda de la guía, ingresa Jira.
  7. Selecciona la guía de Hallazgos de postura con Jira. Esta guía está inhabilitada de forma predeterminada.
  8. Mueve el botón de activación para habilitar la guía.
  9. Haz clic en Guardar.

Cómo realizar la integración con ServiceNow

Asegúrate de completar todos los pasos de integración para sincronizar la de casos de Google SecOps con tickets de ServiceNow y garantizar el flujo correcto de la guía.

Crea y configura el tipo de ticket personalizado de ServiceNow

Asegúrate de crear y configurar el tipo de ticket personalizado de ServiceNow habilita la pestaña Actividades en la IU de ServiceNow y evita usar y el diseño de la entrada.

Crea un tipo de ticket personalizado de ServiceNow

Para crear un tipo de ticket de ServiceNow personalizado, se requiere el nivel de administrador de ServiceNow credenciales.

Para crear un tipo de ticket personalizado, completa los siguientes pasos:

  1. En la consola de Operaciones de seguridad, ve a Casos.
  2. Selecciona un caso existente o el que simulaste.
  3. En la pestaña Case Overview, haz clic en Manual Action.
  4. En el campo de acción manual Search, ingresa Create SCC Enterprise.
  5. En los resultados de la búsqueda en la integración de SCCEnterprise, selecciona el Crear SCC Enterprise Cloud Posture Ticket Type SNOW la acción. El diálogo se abrirá una ventana emergente.
  6. Para configurar el parámetro API Root, ingresa la raíz de API de tu ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/

  7. Para configurar el parámetro Username, ingresa el nombre de usuario que usas para accede a ServiceNow como administrador.

  8. Para configurar el parámetro Password, ingresa la contraseña que utilizas para accede a ServiceNow como administrador.

  9. Para configurar el parámetro Table Role, deja el campo vacío o proporciona un valor, si tienes uno. Este parámetro solo acepta un valor de rol.

    De forma predeterminada, el campo Table Role está vacío para crear un nuevo rol personalizado en ServiceNow y administrar específicamente los tickets de Security Command Center Enterprise. Solo los usuarios de ServiceNow con este nuevo rol personalizado tienen acceso al Tickets de Security Command Center Enterprise.

    Si ya tienes un rol exclusivo para los usuarios que administran incidentes en ServiceNow y deseas usar este rol para administrar los resultados de Security Command Center Enterprise, ingresa el nombre del rol existente de ServiceNow en el campo Table Role. Por ejemplo, si proporcionas el estado incident_handler_role, todos los usuarios a los que se les otorgó el incident_handler_role en ServiceNow puede acceder a la Tickets de Security Command Center Enterprise.

  10. Haz clic en Ejecutar. Espera a que se complete la acción.

Configura el diseño de tickets personalizados de ServiceNow

Para asegurarte de que la IU de ServiceNow muestre con precisión las actualizaciones relacionadas con los casos y los comentarios del caso, completa los siguientes pasos:

  1. En tu cuenta de administrador de ServiceNow, ve a la pestaña Todos.
  2. En el campo Buscar, ingresa SCC Enterprise.
  3. En la lista desplegable, selecciona el SCC Enterprise Cloud Posture Ticket. y realizar una búsqueda.
  4. Selecciona el Ticket de prueba de postura. Se abrirá la página de diseño de tickets de ServiceNow.
  5. En la página de diseño del ticket de ServiceNow, ve a Acciones adicionales >. Configurar > Diseño del formulario
  6. Ve a la sección Vista y sección del formulario.
  7. En el campo Sección, selecciona u_scc_enterprise_cloud_posture_ticket.
  8. Haz clic en Guardar. Después de que se actualiza la página, la plantilla del ticket tiene campos distribuida en dos columnas.
  9. Ve a Acciones adicionales > Configurar > Diseño del formulario.
  10. Ve a la sección Vista y sección del formulario.
  11. En el campo Sección, selecciona Resumen.
  12. Haz clic en Guardar. Después de que se actualice la página, la plantilla del ticket tendrá la nueva estructura de Resumen.

Configura la integración de ServiceNow

  1. En la consola de operaciones de seguridad, ve a Respuesta > Integraciones Configuración.
  2. Selecciona el Entorno predeterminado.
  3. En el campo Buscar de la integración, ingresa ServiceNow. La clase ServiceNow como resultado de la búsqueda.
  4. Haz clic en Configurar instancia. Se abrirá la ventana de diálogo.
  5. Para configurar el parámetro API Root, ingresa la raíz de API de tu ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/

  6. Para configurar el parámetro Username, ingresa el nombre de usuario que usas para accede a ServiceNow. No uses tus credenciales de administrador.

  7. Para configurar el parámetro Password, ingresa la contraseña que usas para acceder a ServiceNow. No uses tus credenciales de administrador.

  8. Haz clic en Guardar.

  9. Para probar la configuración, haz clic en Probar.

Habilita los hallazgos de la postura con la guía SNOW

  1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.
  2. En la barra de búsqueda de la guía, ingresa Generic.
  3. Selecciona la guía Posture Findings - Generic. Esta guía de trabajo está habilitada de forma predeterminada.
  4. Mueve el botón de activación para inhabilitar la guía.
  5. Haz clic en Guardar.
  6. En la barra de búsqueda de la guía, ingresa SNOW.
  7. Selecciona la guía Postura Hallazgos con NIEVE. Esta guía está inhabilitada de forma predeterminada.
  8. Mueve el botón de activación para habilitar la guía.
  9. Haz clic en Guardar.

Habilitar la sincronización de datos del caso

Security Command Center sincroniza automáticamente la información entre un caso. y el ticket correspondiente, lo que garantiza que la prioridad, el estado, los comentarios y otros datos relevantes entre un caso y su ticket.

Para sincronizar los datos de los casos, Security Command Center usa procesos automáticos internos llamados trabajos de sincronización. Las opciones Sync SCC-Jira Tickets y Sync Los trabajos de tickets de SCC-ServiceNow sincronizan los datos de casos entre Security Command Center. y sistemas de tickets integrados. Ambos trabajos están inicialmente inhabilitados y requieren para que inicien la sincronización automática de los datos del caso.

Cerrar un caso resuelve automáticamente el ticket correspondiente. La resolución de un ticket en Jira o ServiceNow activa las tareas de sincronización para cerrar el caso también.

Antes de comenzar

Para habilitar la sincronización de casos, se te debe otorgar cualquiera de los siguientes SOC roles en la consola de operaciones de seguridad:

  • Administrador
  • Administrador de vulnerabilidades
  • Administrador de amenazas

Obtén más detalles sobre los roles y los permisos del SOC en la consola de operaciones de seguridad necesario para los usuarios, consulta Controlar el acceso a las funciones en la consola de operaciones de seguridad.

Habilitar la sincronización para los sistemas de tickets

Para asegurarte de que la información de los casos y los tickets se sincronice automáticamente, habilita el trabajo de sincronización que sea relevante para el sistema de tickets con el que realizaste la integración.

Para habilitar el trabajo de sincronización, completa los siguientes pasos:

  1. En la consola de operaciones de seguridad, ve a Respuesta > Trabajo Programador.

  2. Elige la tarea de sincronización correcta:

    • Si realizaste la integración con Jira, selecciona la tarea Sync SCC-Jira Tickets.

    • Si realizaste la integración con ServiceNow, selecciona la tarea Sync SCC-ServiceNow Tickets.

  3. Activa el interruptor para habilitar la tarea seleccionada.

  4. Haz clic en Guardar para habilitar que Security Command Center sincronice automáticamente los datos de los casos con un sistema de tickets.

Crear tickets para casos existentes

Security Command Center crea tickets automáticamente solo para los casos que se abren después de que se integraron con un sistema de tickets y no adjuntan guías para las alertas existentes. Crear tickets para los casos que se abrieron antes de integración en un sistema de tickets, usa uno de los siguientes enfoques:

  • Cierra un caso que no tenga ticket y espera hasta que SCC revise los hallazgos. asigna una guía nueva a las alertas de casos.

  • Agrega una guía de forma manual a cualquier alerta en un caso que se haya abierto antes de que integrados en un sistema de tickets.

Cierra un caso sin ticket

Para cerrar un caso que no tiene ticket, sigue estos pasos:

  1. En la consola de Security Operations, ve a Casos.

  2. Haz clic en Abrir filtro. El panel Filtro de cola de casos se abre.

  3. En el filtro de cola de casos, especifica lo siguiente:

    1. En el campo Período (Time Frame), especifica el período de los casos abiertos.
    2. Configura el Operador lógico como AND.
    3. Para el primer valor en Operador lógico, selecciona Etiquetas.
    4. Establece la condición en IS.
    5. Para el segundo valor, selecciona Internal-SCC-Ticket-Info.
    6. Haz clic en Aplicar para actualizar casos en la cola de casos y mostrar solo los casos que coincidan con el filtro que especificaste.
  4. En la cola de casos, selecciona el caso.

  5. En la vista de casos, selecciona Cerrar caso. Se abrirá la ventana Close Case.

  6. En la ventana Close Case, especifica lo siguiente:

    1. Selecciona un valor en el campo Motivo para indicar el motivo del cierre. no siempre es el caso.

    2. Selecciona un valor en el campo Root Cause para establecer la causa de cerrar el caso.

    3. Opcional: Agrega un comentario.

    4. Haz clic en Cerrar para cerrar el caso. Luego, Security Command Center vuelve a transferir los resultados a un caso nuevo y les adjunta automáticamente una guía de acción correcta.

Agrega una guía a una alerta de forma manual

Para adjuntar manualmente una guía a una alerta en un caso existente, completa la los siguientes pasos:

  1. En la consola de Security Operations, ve a Casos.

  2. Haz clic en Abrir filtro. Se abrirá el panel Filtro de cola de casos.

  3. En el filtro de cola de casos, especifica lo siguiente:

    1. En el campo Período (Time Frame), especifica el período de los casos abiertos.
    2. Configura el Operador lógico como AND.
    3. Para el primer valor en Operador lógico, selecciona Etiquetas.
    4. Establece la condición en IS.
    5. Para el segundo valor, selecciona Internal-SCC-Ticket-Info.
    6. Haz clic en Aplicar para actualizar casos en la cola de casos y mostrar solo los casos que coincidan con el filtro que especificaste.
  4. Selecciona el caso en la cola de casos.

  5. Selecciona cualquier alerta contenida en un caso.

  6. En una vista de alerta, ve a la pestaña Guías.

  7. Haz clic en agregar Agregar guía de prácticas. Aparecerá la ventana Add a Playbook con una lista de guías disponibles.

  8. En el campo de búsqueda de la ventana Add a Playbook, ingresa Posture Findings

    • Si realizaste la integración con Jira, selecciona Posture Findings With Jira. de Google Cloud.
    • Si integraste ServiceNow, selecciona el recurso Posture Findings With SNOW.
  9. Haz clic en Agregar para agregar un plan de acción a una alerta.

Al finalizar, la guía crea un ticket para un caso y automáticamente completará el ticket con información del caso.

Agregar una guía a una sola alerta dentro de un caso es suficiente para crear ticket y activar la sincronización de datos.

¿Qué sigue?