티켓팅 시스템과 Security Command Center Enterprise 통합

이 문서에서는 보안 조정, 자동화, 응답(SOAR)을 구성한 후 Security Command Center Enterprise 등급을 티켓팅 시스템과 통합하는 방법을 설명합니다.

티켓팅 시스템과 통합은 선택사항이며 수동으로 구성해야 합니다. 기본 Security Command Center Enterprise 구성을 사용하는 경우 이 절차를 수행할 필요가 없습니다. 나중에 언제든지 티켓팅 시스템과 통합할 수 있습니다.

개요

기본 Security Command Center Enterprise 구성과 함께 콘솔 및 API를 사용하여 발견 항목을 추적할 수 있습니다. 조직에서 티켓팅 시스템을 사용하여 문제를 추적하는 경우 Google Security Operations 인스턴스를 구성한 후에 Jira 또는 ServiceNow와 통합합니다.

리소스의 발견 항목을 수신한 후 SCC Enterprise – Urgent Posture Findings Connector가 이를 분석하고 발견 항목 유형에 따라 신규 또는 기존 케이스로 그룹화합니다.

티켓팅 시스템과 통합하면 Security Command Center에서 발견 항목에 대한 새 케이스를 만들 때마다 새 티켓을 만듭니다. Security Command Center는 케이스가 업데이트될 때마다 관련 티켓을 자동으로 업데이트합니다.

단일 케이스에 여러 개의 발견 항목이 포함될 수 있습니다. Security Command Center는 케이스마다 티켓 하나를 만들고 케이스 콘텐츠와 정보를 해당 티켓과 동기화하여 티켓 담당자에게 해결해야 할 문제를 알려줍니다.

케이스와 티켓 사이의 동기화는 양방향으로 작동합니다.

상태 업데이트 또는 새로운 의견과 같은 케이스 내부의 변경사항은 연결된 티켓에 자동으로 반영됩니다.
마찬가지로 티켓 세부정보도 케이스에 다시 동기화되어 티켓팅 시스템 정보로 보강됩니다.

시작하기 전에

Jira 또는 ServiceNow를 구성하기 전에 SCC Enterprise - Urgent Posture Findings Connector의 대체 소유자 매개변수에 유효한 이메일 주소를 제공하고 티켓팅 시스템에서 이 이메일을 할당할 수 있는지 확인합니다.

Jira와 통합

케이스 업데이트를 Jira 문제와 동기화하고 올바른 플레이북 흐름을 보장하려면 모든 통합 단계를 완료해야 합니다.

케이스 우선순위는 Jira 문제 심각도에 반영됩니다.

Jira에서 새 프로젝트 만들기

Jira에서 SCC Enterprise 프로젝트(SCCE)라는 Security Command Center Enterprise 문제에 대한 새 프로젝트를 만들려면 해당 케이스에 직접 조치를 실행합니다. 기존 케이스를 사용하거나 시뮬레이션할 수 있습니다. 케이스 시뮬레이션에 대한 자세한 내용은 Google SecOps 문서의 케이스 시뮬레이션 페이지를 참조하세요.

새 Jira 프로젝트를 만들려면 Jira 관리자 수준 사용자 인증 정보가 필요합니다.

새 Jira 프로젝트를 만들려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 케이스로 이동합니다.
기존 케이스나 시뮬레이션한 케이스를 선택합니다.
케이스 개요 탭에서 직접 조치를 클릭합니다.
직접 조치 검색 필드에 Create SCC Enterprise를 입력합니다.
SCCEnterprise 통합 아래의 검색 결과에서 SCC Enterprise 클라우드 상황 티켓 유형 Jira 만들기 작업을 선택합니다. 대화상자 창이 열립니다.
API 루트 매개변수를 구성하려면 Jira 인스턴스의 API 루트를 입력합니다(예: https://YOUR_DOMAIN_NAME.atlassian.net).
사용자 이름 매개변수를 구성하려면 Jira에 관리자로 로그인하는 데 사용하는 사용자 이름을 입력합니다.
비밀번호 매개변수를 구성하려면 Jira에 관리자로 로그인하는 데 사용하는 비밀번호를 입력합니다.
API 토큰 매개변수를 구성하려면 Jira 콘솔에서 생성된 Atlassian 관리자 계정의 API 토큰을 입력합니다.
실행을 클릭합니다. 작업이 완료될 때까지 기다립니다.

선택사항: 커스텀 Jira 문제 레이아웃 구성

관리자로 Jira에 로그인합니다.
프로젝트 > SCC Enterprise 프로젝트(SCCE)로 이동합니다.
문제 필드를 조정하고 재정렬합니다. 문제 필드 관리에 대한 자세한 내용은 Jira 문서의 문제 필드 레이아웃 구성을 참조하세요.

Jira 통합 구성

보안 운영 콘솔에서 응답 > 통합 설정으로 이동합니다.
기본 환경을 선택합니다.
통합 검색 필드에 Jira를 입력합니다. Jira 통합이 검색 결과로 반환됩니다.
인스턴스 구성을 클릭합니다. 대화상자 창이 열립니다.
API 루트 매개변수를 구성하려면 Jira 인스턴스의 API 루트를 입력합니다(예: https://YOUR_DOMAIN_NAME.atlassian.net).
사용자 이름 매개변수를 구성하려면 Jira에 로그인하는 데 사용하는 사용자 이름을 입력합니다. 관리자 인증 정보를 사용하지 마세요.
API 토큰 매개변수를 구성하려면 Jira 콘솔에서 생성된 관리자가 아닌 Atlassian 계정의 API 토큰을 입력합니다.
저장을 클릭합니다.
구성을 테스트하려면 테스트를 클릭합니다.

Jira 플레이북으로 상황 발견 항목 사용 설정

보안 운영 콘솔에서 응답 > 플레이북으로 이동합니다.
플레이북 검색 창에 Generic을 입력합니다.
상황 발견 항목 - 일반 플레이북을 선택합니다. 이 플레이북은 기본적으로 사용 설정됩니다.
전환 버튼을 전환하여 플레이북을 중지합니다.
저장을 클릭합니다.
플레이북 검색 창에 Jira를 입력합니다.
Jira를 사용한 상황 발견 항목 플레이북을 선택합니다. 이 플레이북은 기본적으로 중지되어 있습니다.
전환 버튼을 전환하여 플레이북을 사용 설정합니다.
저장을 클릭합니다.

ServiceNow와 통합

Google SecOps 케이스 업데이트를 ServiceNow 티켓과 동기화하고 올바른 플레이북 흐름을 보장하려면 모든 통합 단계를 완료해야 합니다.

ServiceNow 커스텀 티켓 유형 만들기 및 구성

ServiceNow 커스텀 티켓 유형을 만들고 구성하고 ServiceNow UI에서 활동 탭을 사용 설정하고 잘못된 티켓 레이아웃을 사용하지 않도록 해야 합니다.

ServiceNow 커스텀 티켓 유형 만들기

커스텀 ServiceNow 티켓 유형을 만들려면 ServiceNow 관리자 수준 사용자 인증 정보가 필요합니다.

커스텀 티켓 유형을 만들려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 케이스로 이동합니다.
기존 케이스나 시뮬레이션한 케이스를 선택합니다.
케이스 개요 탭에서 직접 조치를 클릭합니다.
직접 조치 검색 필드에 Create SCC Enterprise를 입력합니다.
SCCEnterprise 통합 아래의 검색 결과에서 SCC Enterprise 클라우드 상황 티켓 유형 SNOW 만들기 작업을 선택합니다. 대화상자 창이 열립니다.
API 루트 매개변수를 구성하려면 ServiceNow 인스턴스의 API 루트를 입력합니다(예: https://INSTANCE_NAME.service-now.com/api/now/v1/).
사용자 이름 매개변수를 구성하려면 ServiceNow에 관리자로 로그인하는 데 사용하는 사용자 이름을 입력합니다.
비밀번호 매개변수를 구성하려면 ServiceNow에 관리자로 로그인하는 데 사용하는 비밀번호를 입력합니다.
테이블 역할 매개변수를 구성하려면 필드를 비워 두거나 값이 있으면 값을 입력합니다. 이 매개변수는 역할 값 하나만 허용합니다.

기본적으로 테이블 역할 필드는 특별히 Security Command Center Enterprise 티켓을 관리하기 위해 ServiceNow에 새 커스텀 역할을 만들 수 있도록 비어 있습니다. 이 새로운 커스텀 역할이 부여된 ServiceNow 사용자만 Security Command Center Enterprise 티켓에 액세스할 수 있습니다.

ServiceNow에서 이슈를 관리하는 사용자를 위한 전용 역할이 이미 있으며 이 역할을 Security Command Center Enterprise 발견 항목 관리에 사용하려면 테이블 역할 필드에 기존 ServiceNow 역할 이름을 입력합니다. 예를 들어 기존 incident_handler_role 값을 입력하면 ServiceNow에서 incident_handler_role 역할이 부여된 모든 사용자는 Security Command Center Enterprise 티켓에 액세스할 수 있습니다.
실행을 클릭합니다. 작업이 완료될 때까지 기다립니다.

ServiceNow 커스텀 티켓 레이아웃 구성

ServiceNow UI에 케이스 및 케이스 의견과 관련된 업데이트가 정확하게 표시되게 하려면 다음 단계를 완료합니다.

ServiceNow 관리자 계정에서 모두 탭으로 이동합니다.
검색 필드에 SCC Enterprise를 입력합니다.
드롭다운 목록에서 SCC Enterprise 클라우드 상황 티켓을 선택하고 검색을 실행합니다.
상황 테스트 티켓을 선택합니다. ServiceNow 티켓 레이아웃 페이지가 열립니다.
ServiceNow 티켓 레이아웃 페이지에서 추가 작업 > 구성 > 양식 레이아웃으로 이동합니다.
양식 보기 및 섹션 섹션으로 이동합니다.
섹션 필드에서 u_scc_enterprise_cloud_posture_ticket을 선택합니다.
저장을 클릭합니다. 페이지가 업데이트되면 티켓 템플릿에 열 2개로 분산된 필드가 있습니다.
추가 작업 > 구성 > 양식 레이아웃으로 이동합니다.
양식 보기 및 섹션 섹션으로 이동합니다.
섹션 필드에서 요약을 선택합니다.
저장을 클릭합니다. 페이지가 업데이트되면 티켓 템플릿에 새로운 요약 구조가 포함됩니다.

ServiceNow 통합 구성

보안 운영 콘솔에서 응답 > 통합 설정으로 이동합니다.
기본 환경을 선택합니다.
통합 검색 필드에 ServiceNow를 입력합니다. ServiceNow 통합이 검색 결과로 반환됩니다.
인스턴스 구성을 클릭합니다. 대화상자 창이 열립니다.
API 루트 매개변수를 구성하려면 ServiceNow 인스턴스의 API 루트를 입력합니다(예: https://INSTANCE_NAME.service-now.com/api/now/v1/).
사용자 이름 매개변수를 구성하려면 ServiceNow에 로그인하는 데 사용하는 사용자 이름을 입력합니다. 관리자 인증 정보를 사용하지 마세요.
비밀번호 매개변수를 구성하려면 ServiceNow에 로그인하는 데 사용하는 비밀번호를 입력합니다. 관리자 인증 정보를 사용하지 마세요.
저장을 클릭합니다.
구성을 테스트하려면 테스트를 클릭합니다.

SNOW 플레이북으로 상황 발견 항목 사용 설정

보안 운영 콘솔에서 응답 > 플레이북으로 이동합니다.
플레이북 검색 창에 Generic을 입력합니다.
상황 발견 항목 - 일반 플레이북을 선택합니다. 이 플레이북은 기본적으로 사용 설정됩니다.
전환 버튼을 전환하여 플레이북을 중지합니다.
저장을 클릭합니다.
플레이북 검색 창에 SNOW를 입력합니다.
SNOW를 사용한 상황 발견 항목 플레이북을 선택합니다. 이 플레이북은 기본적으로 중지되어 있습니다.
전환 버튼을 전환하여 플레이북을 사용 설정합니다.
저장을 클릭합니다.

케이스 데이터 동기화 사용 설정

Security Command Center는 케이스와 해당 티켓 사이의 정보를 자동으로 동기화하여 케이스와 티켓 사이에 우선순위, 상태, 의견, 기타 관련 데이터가 일치하도록 보장합니다.

케이스 데이터를 동기화하기 위해 Security Command Center는 동기화 작업이라고 부르는 내부 자동 프로세스를 사용합니다. SCC-Jira 티켓 동기화 및 SCC-ServiceNow 티켓 동기화 작업은 Security Command Center와 통합 티켓팅 시스템 간의 케이스 데이터를 동기화합니다. 두 작업 모두 처음에 사용 중지되어 있으며, 자동 케이스 데이터 동기화를 시작하려면 사용자가 직접 사용 설정해야 합니다.

케이스를 닫으면 해당 티켓이 자동으로 해결됩니다. Jira 또는 ServiceNow에서 티켓을 해결하면 동기화 작업이 트리거되어 케이스가 닫힙니다.

시작하기 전에

케이스 동기화를 사용 설정하려면 보안 운영 콘솔에서 다음 SOC 역할을 부여받아야 합니다.

관리자
취약점 관리자
위협 관리자

보안 운영 콘솔의 SOC 역할 및 사용자에게 필요한 권한에 대한 자세한 내용은 보안 운영 콘솔의 기능에 대한 액세스 제어를 참조하세요.

티켓팅 시스템 동기화 사용 설정

케이스와 티켓의 정보가 자동으로 동기화되도록 하려면 통합한 티켓팅 시스템과 관련된 동기화 작업을 사용 설정합니다.

동기화 작업을 사용 설정하려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 응답 > 작업 스케줄러로 이동합니다.
올바른 동기화 작업을 선택합니다.
- Jira와 통합한 경우 SCC-Jira 티켓 동기화 작업을 선택합니다.
- ServiceNow와 통합한 경우 SCC-ServiceNow 티켓 동기화 작업을 선택합니다.
전환 버튼을 전환하여 선택한 작업을 사용 설정합니다.
저장을 클릭하여 Security Command Center가 케이스 데이터를 티켓팅 시스템에 자동으로 동기화하도록 합니다.

기존 케이스의 티켓 만들기

Security Command Center는 티켓팅 시스템과 통합한 후 열린 케이스에 대해서만 티켓을 만들고, 새로운 플레이북을 기존 알림에 소급해서 연결하지 않습니다. 티켓팅 시스템과 통합하기 전에 열린 케이스에 대해 티켓을 만들려면 다음 방법 중 하나를 수행합니다.

티켓이 없는 케이스를 닫고 SCC에서 발견 항목이 다시 수집되고 케이스 알림에 새 플레이북이 할당될 때까지 기다립니다.
티켓팅 시스템에 통합하기 전 열린 케이스의 알림에 플레이북을 수동으로 추가합니다.

티켓이 없는 케이스 닫기

티켓이 없는 케이스를 닫으려면 다음 단계를 수행합니다.

보안 운영 콘솔에서 케이스로 이동합니다.
필터 열기를 클릭합니다. 케이스 큐 필터 패널이 열립니다.
케이스 큐 필터에서 다음을 지정합니다.
1. 기간 필드에서 열린 케이스의 기간을 지정합니다.
2. 논리 연산자를 AND로 설정합니다.
3. 논리 연산자 아래의 첫 번째 값으로 태그를 선택합니다.
4. 조건을 IS로 설정합니다.
5. 두 번째 값으로 Internal-SCC-Ticket-Info를 선택합니다.
6. 적용을 클릭하여 케이스 큐의 케이스를 업데이트하고 지정한 필터와 일치하는 케이스만 표시합니다.
케이스 큐에서 케이스를 선택합니다.
케이스 뷰에서 케이스 닫기를 선택합니다. 케이스 닫기 창이 열립니다.
케이스 닫기 창에서 다음을 지정합니다.
1. 이유 필드에서 케이스 닫기 이유를 설명하는 값을 선택합니다.
2. 근본 원인 필드에서 케이스 닫기 이유를 설명하는 값을 선택합니다.
3. 선택사항: 의견을 추가합니다.
4. 닫기를 클릭하여 케이스를 닫습니다. 그러면 Security Command Center가 새 케이스로 발견 항목을 다시 수집하고 올바른 플레이북을 자동으로 연결합니다.

알림에 플레이북 수동 추가

기존 케이스의 알림에 플레이북을 수동으로 추가하려면 다음 단계를 수행합니다.

보안 운영 콘솔에서 케이스로 이동합니다.
필터 열기를 클릭합니다. 케이스 큐 필터 패널이 열립니다.
케이스 큐 필터에서 다음을 지정합니다.
1. 기간 필드에서 열린 케이스의 기간을 지정합니다.
2. 논리 연산자를 AND로 설정합니다.
3. 논리 연산자 아래의 첫 번째 값으로 태그를 선택합니다.
4. 조건을 IS로 설정합니다.
5. 두 번째 값으로 Internal-SCC-Ticket-Info를 선택합니다.
6. 적용을 클릭하여 케이스 큐의 케이스를 업데이트하고 지정한 필터와 일치하는 케이스만 표시합니다.
케이스 큐에서 케이스를 선택합니다.
케이스에 포함된 알림을 선택합니다.
알림 뷰에서 플레이북 탭으로 이동합니다.
추가 플레이북 추가를 클릭합니다. 사용 가능한 플레이북 목록이 포함된 플레이북 추가 창이 표시됩니다.
플레이북 추가 창의 검색 필드에 Posture Findings를 입력합니다.
- Jira와 통합한 경우 Jira를 통한 상황 발견 항목 플레이북을 선택합니다.
- ServiceNow와 통합한 경우 SNOW를 통한 상황 발견 항목 플레이북을 선택합니다.
추가를 클릭하여 알림에 플레이북을 추가합니다.

완료되었으면 플레이북이 케이스에 대한 티켓을 만들고 티켓에 케이스 정보를 자동으로 채웁니다.

케이스 내 단일 알림에 플레이북을 추가하면 티켓을 만들고 데이터 동기화를 트리거하기에 충분합니다.