Integrar o Security Command Center Enterprise a sistemas de emissão de tíquetes

Este documento explica como integrar o nível Enterprise do Security Command Center. com sistemas de tíquetes após configurar a orquestração da segurança, a automação e de resposta (SOAR, na sigla em inglês).

A integração com sistemas de tíquetes é opcional e requer treinamento configuração do Terraform. Se você usa o Security Command Center padrão, Enterprise, não é necessário fazer isso. Você pode integrar com um sistema de emissão de passagens mais tarde, a qualquer momento.

Visão geral

É possível acompanhar as descobertas usando o console e as APIs com a configuração padrão do Security Command Center Enterprise. Se a sua organização usa sistemas de emissão de tíquetes para acompanhar problemas, faça a integração com o Jira ou o ServiceNow depois de configurar a instância do Google Security Operations.

Ao receber as descobertas dos recursos, o SCC Enterprise – Postura Urgente O Findings Connector analisa e agrupa as descobertas em casos novos ou existentes. dependendo do tipo de descoberta.

Se você integrar com um sistema de emissão de tíquetes, o Security Command Center vai criar um novo tíquete sempre que criar um novo caso para descobertas. o Security Command Center atualiza automaticamente o tíquete relacionado sempre que um caso é atualizado.

Um único caso pode conter várias descobertas. o Security Command Center cria um tíquete para cada caso e sincroniza o conteúdo do caso e com o tíquete correspondente para informar aos usuários o que corrigir.

A sincronização entre um caso e o tíquete dele funciona nos dois sentidos:

  • As mudanças feitas em um caso, como uma atualização de status ou um novo comentário, refletidas automaticamente no tíquete associado.

  • Da mesma forma, os detalhes do tíquete são sincronizados de volta ao caso, enriquecendo-o com informações do sistema de tíquetes.

Antes de começar

Antes de configurar o Jira ou o ServiceNow, forneça um endereço de e-mail válido para o parâmetro Fallback Owner no SCC Enterprise – Urgent Posture Findings Connector e verifique se esse e-mail pode ser atribuído no seu sistema de emissão de tíquetes.

Integrar com o Jira

Conclua todas as etapas de integração para sincronizar o caso atualizações sobre problemas do Jira e garantir o fluxo correto do playbook.

A prioridade do caso é refletida na gravidade do problema do Jira.

Criar um novo projeto no Jira

Para criar um novo projeto no Jira para os problemas do Security Command Center Enterprise. chamada SCC Enterprise Project (SCCE), execute uma ação manual no caso. Você pode usar qualquer caso existente ou simular um. Para mais informações sobre como simular consulte a página Simular casos na documentação do Google SecOps.

A criação de um novo projeto do Jira exige credenciais de administrador.

Para criar um novo projeto do Jira, siga estas etapas:

  1. No console de operações de segurança, acesse Casos.
  2. Selecione um caso existente ou o que você simulou.
  3. Na guia Visão geral do caso, clique em Ação manual.
  4. No campo Pesquisar de ação manual, insira Create SCC Enterprise.
  5. Nos resultados da pesquisa, na integração SCCEnterprise, selecione a ação Create SCC Enterprise Cloud Posture Ticket Type Jira. A janela de diálogo é aberta.

  6. Para configurar o parâmetro Raiz da API, insira a raiz da API da sua instância do Jira, como https://YOUR_DOMAIN_NAME.atlassian.net.

  7. Para configurar o parâmetro Username, insira o nome de usuário que você usa para fazer login no Jira como administrador.

  8. Para configurar o parâmetro Senha, insira a senha usada para fazer login no Jira como administrador.

  9. Para configurar o parâmetro API Token, insira o token de API do seu Conta de administrador da Atlassian gerada no console do Jira.

  10. Clique em Executar. Aguarde até a ação ser concluída.

Opcional: configurar o layout de problemas personalizado do Jira

  1. Faça login no Jira como administrador.
  2. Acesse Projetos > SCC Enterprise Project (SCCE).
  3. Ajuste e reorganize os campos de problemas. Para mais detalhes sobre como gerenciar campos de problemas, consulte Como configurar o layout de campos de problemas na documentação do Jira.

Configurar a integração do Jira

  1. No console de operações de segurança, acesse Resposta > Configuração de integrações.
  2. Selecione o Ambiente padrão.
  3. No campo Pesquisar da integração, digite Jira. A integração com o Jira é retornada como um resultado da pesquisa.
  4. Clique em Configurar instância. A janela de diálogo é aberta.

  5. Para configurar o parâmetro API Root, insira a raiz da API do seu Instância do Jira, como https://YOUR_DOMAIN_NAME.atlassian.net

  6. Para configurar o parâmetro Nome de usuário, insira o nome de usuário que você usa para fazer login no Jira. Não use suas credenciais de administrador.

  7. Para configurar o parâmetro API Token, insira o token de API do seu Conta da Atlassian não administrador gerada no console do Jira.

  8. Clique em Salvar.

  9. Para testar a configuração, clique em Testar.

Ativar as descobertas de postura com o playbook do Jira

  1. No console de operações de segurança, acesse Resposta > Playbooks.
  2. Na barra de Pesquisa do Playbook, digite Generic.
  3. Selecione o playbook Posture Findings - Generic. Esse playbook é ativado por padrão.
  4. Alterne o botão para desativar o playbook.
  5. Clique em Salvar.
  6. Na barra de Pesquisa do Playbook, digite Jira.
  7. Selecione o playbook Posture Findings With Jira. Esse playbook fica desativado por padrão.
  8. Alterne o botão para ativar o playbook.
  9. Clique em Salvar.

Integrar com o ServiceNow

Conclua todas as etapas de integração para sincronizar atualizações de casos do Google SecOps com tíquetes do ServiceNow e garantir o fluxo correto do playbook.

Criar e configurar o tipo de tíquete personalizado do ServiceNow

Crie e configure o tipo de tíquete personalizado ServiceNow ativar a guia Atividades na interface do ServiceNow e evitar o uso de erros no layout do tíquete.

Criar um tipo de tíquete personalizado do ServiceNow

A criação de um tipo de tíquete personalizado do ServiceNow requer credenciais de administrador do ServiceNow.

Para criar um tipo de tíquete personalizado, siga estas etapas:

  1. No console de operações de segurança, acesse Casos.
  2. Selecione um caso existente ou o que você simulou.
  3. Na guia Visão geral do caso, clique em Ação manual.
  4. No campo Pesquisar de ação manual, insira Create SCC Enterprise.
  5. Nos resultados da pesquisa, na integração SCCEnterprise, selecione a ação Create SCC Enterprise Cloud Posture Ticket Type SNOW. A janela de diálogo é aberta.

  6. Para configurar o parâmetro API Root, insira a raiz da API da sua instância do ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/.

  7. Para configurar o parâmetro Username, insira o nome de usuário que você usa para fazer login no ServiceNow como administrador.

  8. Para configurar o parâmetro Password, insira a senha usada para fazer login no ServiceNow como administrador.

  9. Para configurar o parâmetro Papel da tabela, deixe o campo em branco ou forneça um valor, se houver. Esse parâmetro aceita apenas um valor de papel.

    Por padrão, o campo Papel da tabela fica vazio para criar um papel personalizado ServiceNow para gerenciar especificamente os tíquetes do Security Command Center Enterprise. Somente os usuários do ServiceNow que receberam essa nova função personalizada têm acesso aos tickets do Security Command Center Enterprise.

    Se você já tiver um papel dedicado para usuários que gerenciam incidentes em ServiceNow e quer usar esse papel para gerenciar o Security Command Center Descobertas empresariais, digite o nome do papel ServiceNow Papel da tabela. Por exemplo, se você fornecer o modelo incident_handler_role, todos os usuários receberam o O papel incident_handler_role no ServiceNow pode acessar o Tíquetes do Security Command Center Enterprise.

  10. Clique em Executar. Aguarde até que a ação seja concluída.

Configurar o layout personalizado do tíquete do ServiceNow

Para garantir que a interface do ServiceNow mostre corretamente as atualizações relacionadas a casos e comentários de casos, siga estas etapas:

  1. Na conta de administrador do ServiceNow, acesse a guia Todos.
  2. No campo Pesquisa, digite SCC Enterprise.
  3. Na lista suspensa, selecione o SCC Enterprise Cloud Posture Ticket e faça uma pesquisa.
  4. Selecione o Posture Test Ticket. A página de layout do tíquete do ServiceNow será aberta.
  5. Na página de layout de tíquetes do ServiceNow, acesse Ações adicionais > Configurar > Layout do formulário.
  6. Acesse a seção Visualização e seção do formulário.
  7. No campo Seção, selecione u_scc_enterprise_cloud_posture_ticket.
  8. Clique em Salvar. Depois da atualização da página, o modelo de tíquete tem campos distribuídos em duas colunas.
  9. Acesse Ações adicionais > Configurar > Layout do formulário.
  10. Acesse a seção Visualização e seção do formulário.
  11. No campo Seção, selecione Resumo.
  12. Clique em Salvar. Depois que a página for atualizada, o modelo de tíquete terá a nova estrutura de resumo.

Configurar a integração do ServiceNow

  1. No console de operações de segurança, acesse Resposta > Configurações de integrações.
  2. Selecione o Ambiente padrão.
  3. No campo Pesquisar da integração, digite ServiceNow. O serviço ServiceNow como resultado da pesquisa.
  4. Clique em Configurar instância. A janela de diálogo é aberta.

  5. Para configurar o parâmetro API Root, insira a raiz da API da sua instância do ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/.

  6. Para configurar o parâmetro Username, digite o nome de usuário que você usa. faça login no ServiceNow. Não use suas credenciais de administrador.

  7. Para configurar o parâmetro Senha, insira a senha usada para fazer login no ServiceNow. Não use suas credenciais de administrador.

  8. Clique em Salvar.

  9. Para testar a configuração, clique em Testar.

Ativar o playbook "Posture Findings With SNOW"

  1. No console de operações de segurança, acesse Resposta > Playbooks.
  2. Na barra Pesquisa do Playbook, digite Generic.
  3. Selecione o playbook Posture Findings - Generic. Esse playbook é ativado por padrão.
  4. Alterne o botão para desativar o playbook.
  5. Clique em Salvar.
  6. Na barra Pesquisa do Playbook, digite SNOW.
  7. Selecione o playbook Descobertas de postura com SNOW. Este playbook está desativado por padrão.
  8. Alterne o botão para ativar o playbook.
  9. Clique em Salvar.

Ativar a sincronização de dados do caso

O Security Command Center sincroniza automaticamente as informações entre um caso e o tíquete correspondente, garantindo a correspondência de prioridade, status, comentários e outros dados relevantes entre um caso e seu tíquete.

Para sincronizar os dados dos casos, o Security Command Center usa processos internos automáticos chamados jobs de sincronização. As opções Sync SCC-Jira Tickets e Sync Os jobs de tíquetes do SCC-ServiceNow sincronizam dados de casos entre o Security Command Center e sistemas de emissão de tíquete integrados. Os dois jobs são inicialmente desativados e exigem que você os ative para iniciar a sincronização automática de dados de casos.

O encerramento de um caso resolve automaticamente o tíquete correspondente. A resolução de um tíquete no Jira ou no ServiceNow também aciona os trabalhos de sincronização para fechar o caso.

Antes de começar

Para ativar a sincronização de casos, é necessário ter qualquer um dos seguintes SOCs no console de Operações de Segurança:

  • Administrador
  • Gerenciador de vulnerabilidades
  • Gerenciador de ameaças

Para mais detalhes sobre os papéis do SOC no console de Operações de Segurança e permissões para os usuários, consulte Controlar o acesso aos recursos em console de Operações de Segurança.

Ativar a sincronização para sistemas de tíquetes

Para garantir que as informações em casos e tíquetes sejam sincronizadas automaticamente, ative o job de sincronização relevante para o sistema de tíquetes integrado.

Para ativar o job de sincronização, siga estas etapas:

  1. No console de operações de segurança, acesse Resposta > Programador de jobs.

  2. Escolha o job de sincronização correto:

    • Se você integrou com o Jira, selecione o job Sync SCC-Jira Tickets.

    • Se você integrou com o ServiceNow, selecione o job Sync SCC-ServiceNow Tickets.

  3. Mude a posição do botão para ativar o job selecionado.

  4. Clique em Salvar para permitir que o Security Command Center sincronize automaticamente os dados do caso com um sistema de emissão de tíquetes.

Criar tíquetes para casos existentes

O Security Command Center cria automaticamente tíquetes apenas para casos abertos após a integração com um sistema de tíquetes e não anexa novos playbooks a alertas existentes de forma retroativa. Para criar tíquetes para casos abertos antes Ao fazer a integração com um sistema de tíquetes, use uma das seguintes abordagens:

  • Encerre um caso que não tenha tíquete e espere até que o SCC recupere as descobertas e atribui um novo playbook aos alertas de caso.

  • Adicione manualmente um playbook a qualquer alerta em um caso que tenha sido aberto antes de você integrados a um sistema de tíquetes.

Encerrar um caso sem tíquete

Para fechar um caso sem tíquete, siga estas etapas:

  1. No console de Operações de Segurança, acesse Casos.

  2. Clique em Abrir filtro. Painel Filtro de fila de casos abre.

  3. Em Filtro de fila de casos, especifique o seguinte:

    1. No campo Período, especifique o período dos casos abertos.
    2. Defina Operador lógico como AND.
    3. Para o primeiro valor em Operador lógico, selecione Tags.
    4. Defina a condição como IS.
    5. Para o segundo valor, selecione Internal-SCC-Ticket-Info.
    6. Clique em Aplicar para atualizar os casos na fila e mostrar apenas os que correspondem ao filtro especificado.

  4. Na fila de casos, selecione o caso.

  5. Na Visualização de caso, selecione Fechar caso. A janela Close Case vai ser aberta.

  6. Na janela Close Case, especifique o seguinte:

    1. Selecione um valor para o campo Motivo para indicar o motivo do fechamento do caso.

    2. Selecione um valor no campo Causa raiz para indicar a causa do o caso.

    3. Opcional: adicione um comentário.

    4. Clique em Fechar para encerrar o caso. o Security Command Center, reingere as descobertas em um novo caso e anexa automaticamente uma resposta correta manual para eles.

Adicionar manualmente um playbook a um alerta

Para anexar manualmente um playbook a um alerta em um caso, siga estas etapas:

  1. No console de Operações de Segurança, acesse Casos.

  2. Clique em Abrir filtro. Painel Filtro de fila de casos abre.

  3. Em Filtro de fila de casos, especifique o seguinte:

    1. No campo Período, especifique o período dos casos abertos.
    2. Defina Operador lógico como AND.
    3. Para o primeiro valor em Operador lógico, selecione Tags.
    4. Defina a condição como IS.
    5. Para o segundo valor, selecione Internal-SCC-Ticket-Info.
    6. Clique em Aplicar para atualizar os casos na fila e mostrar apenas os que correspondem ao filtro especificado.

  4. Na fila de casos, selecione o caso.

  5. Selecione qualquer alerta contido em um caso.

  6. Em uma visualização de alerta, acesse a guia Playbooks.

  7. Clique em adicionar Adicionar Playbook. A janela Add a Playbook com uma lista de playbooks disponíveis aparece.

  8. No campo de pesquisa da janela Adicionar um Playbook, digite Posture Findings.

    • Se você fez a integração com o Jira, selecione Descobertas de postura com o Jira playbook.
    • Se você fez a integração com o ServiceNow, selecione a opção Descobertas de postura com SNOW.

  9. Clique em Adicionar para incluir um playbook a um alerta.

Após a conclusão, o playbook cria um tíquete para um caso e o preenche automaticamente com informações do caso.

Adicionar um playbook a um único alerta em um caso é suficiente para criar um e acionar a sincronização de dados.

A seguir