将 Security Command Center Enterprise 与工单系统集成

本文档介绍了如何集成 Security Command Center 的企业层级 与票务系统进行集成 由 Google Security Operations 提供支持的自动化和响应 (SOAR) 功能。

与票务系统集成是可选的,需要手动集成 配置。如果您使用默认的 Security Command Center Enterprise 配置,则无需执行此过程。您可以 与工单系统集成。

概览

您可以使用默认的控制台和 API 跟踪发现结果 Security Command Center Enterprise 配置。如果贵组织使用工单系统来跟踪 与 Jira 或 ServiceNow 集成。 Google Security Operations 实例。

在收到资源的发现结果后,SCC 企业 - 紧急状况 Findings Connector 会分析和在注入期间过滤发现结果,并分组 并将其转换为新的或现有的案例,具体取决于发现结果类型。

如果您与工单系统集成,Security Command Center 会创建新的 都会针对发现结果创建支持请求。Security Command Center 每当有更新案例时,都会自动更新相关工单。

一个支持请求可以包含多个发现结果。Security Command Center 为每个支持请求创建一个工单,并同步支持请求内容 以及相应的工单信息,让工单分配对象知道 修复。

案例与其工单之间的同步运作方式有以下两种:

  • 支持请求中的更改(例如状态更新或新评论) 会自动反映在关联的工单中。

  • 同样,工单详情也会同步回支持请求,并为其补充信息 来自工单系统的信息。

准备工作

在配置 Jira 或 ServiceNow 之前,请先提供一个有效的电子邮件地址 SCC Enterprise - 后备所有者参数 Urgent Posture Findings Connector,并确保此电子邮件可分配 。

与 Jira 集成

确保完成所有集成步骤以同步支持请求 更新 Jira 问题,并确保采用正确的 playbook 流程。

支持请求优先级会反映在 Jira 问题严重程度中。

在 Jira 中创建一个新项目

在 Jira 中针对 Security Command Center Enterprise 问题创建新项目 名为 SCC Enterprise 项目 (SCCE),针对该支持请求执行手动操作。您 可以使用任何现有案例或模拟一个案例。如需详细了解如何模拟 请参阅模拟案例 页面。

创建新的 Jira 项目需要 Jira 管理员级凭据。

如需创建新的 Jira 项目,请完成以下步骤:

  1. 在 Security Operations 控制台中,前往案例
  2. 选择一个现有支持请求或您模拟的支持请求。
  3. 支持请求概览标签页中,点击手动操作
  4. 在人工处置措施搜索字段中,输入 Create SCC Enterprise
  5. SCCEnterprise 集成下的搜索结果中,选择 创建 SCC Enterprise Cloud Posture 工单类型 Jira 操作。对话框 窗口。

  6. 要配置 API 根参数,请输入您 API 的 Jira 实例,例如 https://YOUR_DOMAIN_NAME.atlassian.net

  7. 要配置用户名参数,请输入您在登录 以管理员身份登录 Jira。

  8. 要配置密码参数,请输入您在 以管理员身份登录 Jira。

  9. 要配置 API 令牌参数,请输入您 API 的 API 令牌 在 Jira 控制台中生成的 Atlassian 管理员账号。

  10. 点击 Execute。等待操作完成。

可选:配置自定义 Jira 问题布局

  1. 以管理员身份登录 Jira。
  2. 转到项目 > SCC Enterprise 项目 (SCCE)
  3. 调整问题字段并重新排序。如需详细了解如何管理问题字段, 请参阅 Jira 文档中的配置问题字段布局

配置 Jira 集成

  1. 在 Security Operations 控制台中,前往 响应 > 集成设置
  2. 选择默认环境
  3. 在集成 Search 字段中,输入 Jira吉拉 集成作为搜索结果返回。
  4. 点击 Configure Instance。 此时会打开对话框窗口。

  5. 要配置 API 根参数,请输入您 API 的 Jira 实例,例如 https://YOUR_DOMAIN_NAME.atlassian.net

  6. 要配置用户名参数,请输入您在登录 登录 Jira。请勿使用您的管理员凭据。

  7. 要配置 API 令牌参数,请输入您 API 的 API 令牌 在 Jira 控制台中生成的非管理员 Atlassian 账号。

  8. 点击保存

  9. 如需测试配置,请点击 Test

使用 Jira playbook 启用 Posture 发现结果

  1. 在 Security Operations 控制台中,转到响应 > playbook
  2. 在 Playbook 搜索栏中,输入 Generic
  3. 选择 Posture Findings - Generic playbook。此 playbook 已启用 默认情况。
  4. 将切换开关切换为停用 Playbook
  5. 点击保存
  6. 在 Playbook 搜索栏中,输入 Jira
  7. 选择 Posture Findings With Jira playbook。此 playbook 已停用 默认情况。
  8. 将开关切换为启用 Playbook
  9. 点击保存

与 ServiceNow 集成

请务必完成所有集成步骤,以同步 Google SecOps 支持请求的更新,包括 ServiceNow 工单和 确保采用正确的 playbook 流程

创建和配置 ServiceNow 自定义票券类型

请务必创建并配置 ServiceNow 自定义票券类型 在 ServiceNow 界面中启用“活动”标签页,并避免使用错误的 工单布局。

创建 ServiceNow 自定义工单类型

创建自定义 ServiceNow 工单类型需要 ServiceNow 管理员级别 凭据。

如需创建自定义票券类型,请完成以下步骤:

  1. 在 Security Operations 控制台中,前往案例
  2. 选择一个现有支持请求或您模拟的支持请求。
  3. 支持请求概览标签页中,点击手动操作
  4. 在人工处置措施搜索字段中,输入 Create SCC Enterprise
  5. SCCEnterprise 集成下的搜索结果中,选择 创建 SCC Enterprise Cloud Posture 工单类型 SNOW 操作。对话框 窗口。

  6. 要配置 API 根参数,请输入您 API 的 ServiceNow 实例,例如 https://INSTANCE_NAME.service-now.com/api/now/v1/

  7. 要配置用户名参数,请输入您在登录 以管理员身份登录 ServiceNow

  8. 要配置密码参数,请输入您在 以管理员身份登录 ServiceNow

  9. 如需配置表角色参数,请将此字段留空或提供 一个值(如果有)。此参数仅接受一个角色值。

    默认情况下,表角色字段为空,可以在其中创建新的自定义角色 ServiceNow 专门管理 Security Command Center Enterprise 工单。 只有被授予了这个新自定义角色的 ServiceNow 用户才有权访问 Security Command Center Enterprise 工单。

    如果您已经拥有在以下位置管理突发事件的用户的专属角色: ServiceNow,并且您希望使用此角色管理 Security Command Center Enterprise 发现结果,请输入现有 ServiceNow 角色名称, 表角色字段。例如,如果您提供现有的 incident_handler_role 值,被授予 ServiceNow 中的“incident_handler_role”角色可以访问 Security Command Center Enterprise 工单。

  10. 点击 Execute。等待操作完成。

配置 ServiceNow 自定义工单布局

确保 ServiceNow 界面准确显示与支持请求相关的更新 和案例评论,请完成以下步骤:

  1. 在您的 ServiceNow 管理员账号中,转到全部标签页。
  2. 搜索字段中,输入 SCC Enterprise
  3. 在下拉列表中,选择 SCC Enterprise Cloud Posture Ticket(SCC 企业云安全状况工单) 并执行搜索。
  4. 选择 Posture Test Ticket(安全状况测试工单)。系统随即会打开 ServiceNow 工单布局页面。
  5. 在 ServiceNow 工单布局页面上,转到其他操作 > 配置 > 表单布局
  6. 转到表单视图和部分部分。
  7. Section(部分)字段中,选择 u_scc_enterprise_cloud_posture_ticket
  8. 点击保存。页面更新后,票券模板将包含字段 分布到两列中。
  9. 转到其他操作 > 配置 > 表单布局
  10. 转到表单视图和部分部分。
  11. 版块字段中,选择摘要
  12. 点击保存。页面更新后,工单模板将具有新的 摘要结构。

配置 ServiceNow 集成

  1. 在 Security Operations 控制台中,转到响应 > 集成 设置
  2. 选择默认环境
  3. 在集成 Search 字段中,输入 ServiceNowServiceNow 集成作为搜索结果返回。
  4. 点击 Configure Instance。 此时会打开对话框窗口。

  5. 要配置 API 根参数,请输入您 API 的 ServiceNow 实例,例如 https://INSTANCE_NAME.service-now.com/api/now/v1/

  6. 要配置用户名参数,请输入您在登录 请登录 ServiceNow。请勿使用您的管理员凭据。

  7. 要配置密码参数,请输入您在 请登录 ServiceNow。请勿使用您的管理员凭据。

  8. 点击保存

  9. 如需测试配置,请点击 Test

通过 SNOW playbook 启用 Posture 发现结果

  1. 在 Security Operations 控制台中,转到响应 > playbook
  2. 在 Playbook 搜索栏中,输入 Generic
  3. 选择 Posture Findings - Generic playbook。此 playbook 已启用 默认情况。
  4. 将切换开关切换为停用 Playbook
  5. 点击保存
  6. 在 Playbook 搜索栏中,输入 SNOW
  7. 选择 Posture Findings With SNOW 手册。此 playbook 已停用 默认情况。
  8. 将开关切换为启用 Playbook
  9. 点击保存

启用支持请求数据同步功能

Security Command Center 会自动同步支持请求之间的信息 及其相应的工单,确保优先级、状态、评论和 支持请求与其工单之间的其他相关数据

Security Command Center 使用内部自动化流程来同步支持请求数据 称为同步作业同步 SCC-Jira 工单同步 SCC-ServiceNow Tickets 作业在 Security Command Center 之间同步支持请求数据 和集成式票务系统这两个作业最初都处于停用状态,需要 您可以让其启动自动支持请求数据同步。

关闭案例会自动解析相应的工单。解决 Jira 或 ServiceNow 中的工单触发同步作业以关闭案例 。

准备工作

如需启用支持请求同步,您必须获得以下任一 SOC Security Operations 控制台中的角色:

  • 管理员
  • 漏洞管理器
  • 威胁管理器

有关 Security Operations 控制台中的 SOC 角色和权限的更多详细信息 请参阅控制对 Google Cloud 中功能的访问权限 Security Operations 控制台

为工单系统启用同步功能

为了确保系统可以自动获取支持请求和工单中的信息 已同步,请启用与工单相关的同步作业 与您集成的系统

要启用同步作业,请完成以下步骤:

  1. 在 Security Operations 控制台中,转到响应 > 作业 Scheduler

  2. 选择正确的同步作业:

    • 如果您已与 Jira 集成,请选择 Sync SCC-Jira Tickets 作业。

    • 如果您已与 ServiceNow 集成,请选择同步 SCC-ServiceNow 工单 作业。

  3. 将开关切换为启用所选作业。

  4. 点击保存,使 Security Command Center 自动同步案例 数据与工单系统相关联。

为现有支持请求创建工单

Security Command Center 仅针对在您之后创建的支持请求自动创建工单 已与工单系统集成,并且不会追溯 现有提醒的策略方案为之前开设的案例创建工单 与票务系统集成,请使用以下方法之一:

  • 了结没有工单的支持请求,然后等待 SCC 重新注入发现结果,然后 为支持请求提醒分配新的 playbook。

  • 针对在您之前打开过的支持请求中的任何提醒添加 playbook 与票务系统集成。

了结没有工单的案例

如需关闭没有工单的支持请求,请完成以下步骤:

  1. 在 Security Operations 控制台中,前往案例

  2. 点击 打开过滤器支持请求队列过滤条件面板 打开。

  3. 案例队列过滤条件中,指定以下内容:

    1. 时间范围字段中,指定未结支持请求的时间段。
    2. 逻辑运算符设置为 AND
    3. 对于逻辑运算符下的第一个值,选择标记
    4. 将条件设置为展示次数份额
    5. 对于第二个值,请选择 Internal-SCC-Ticket-Info
    6. 点击 Apply 以更新支持请求队列中的支持请求,并仅显示 符合您指定的过滤条件的案例。

  4. 从支持请求队列中选择相应支持请求。

  5. “支持请求”视图中,选择 了结支持请求。系统随即会打开 Close Case 窗口。

  6. Close Case 窗口中,指定以下内容:

    1. 原因字段选择一个值,以说明关闭的原因 情况。

    2. 为“根本原因”字段选择一个值,以说明出现以下错误的原因 关闭案例

    3. 可选:添加评论。

    4. 点击关闭可关闭案例。然后访问 Security Command Center 将发现结果重新提取到新案例中,并自动附加正确的 策略方案

手动将 playbook 添加到提醒

如需手动将 playbook 附加到现有支持请求中的提醒,请完成 操作步骤:

  1. 在 Security Operations 控制台中,前往案例

  2. 点击 打开过滤器支持请求队列过滤条件面板 打开。

  3. 案例队列过滤条件中,指定以下内容:

    1. 时间范围字段中,指定未结支持请求的时间段。
    2. 逻辑运算符设置为 AND
    3. 对于逻辑运算符下的第一个值,选择标记
    4. 将条件设置为展示次数份额
    5. 对于第二个值,请选择 Internal-SCC-Ticket-Info
    6. 点击 Apply 以更新支持请求队列中的支持请求,并仅显示 符合您指定的过滤条件的案例。

  4. 从支持请求队列中选择相应支持请求。

  5. 选择案例中包含的任何提醒。

  6. 在提醒视图中,转到 Playbooks 标签页。

  7. 点击 add Add Playbook(添加 playbook)。 系统会显示 Add a Playbook 窗口,其中包含可用 playbook 的列表。

  8. 添加 Playbook 窗口的搜索字段中,输入 Posture Findings.

    • 如果您已与 Jira 集成,请选择 Posture Findings With Jira playbook。
    • 如果您已与 ServiceNow 集成,请选择安全状况发现结果 SNOW 手册。

  9. 点击添加,将 playbook 添加到提醒中。

完成后,该手册会为支持请求创建工单,并自动 使用案例中的信息填充工单。

将 playbook 添加到案例内的单个提醒中就足以创建 工单并触发数据同步。

后续步骤