本文档介绍了如何集成 Security Command Center 的企业层级 与票务系统进行集成 由 Google Security Operations 提供支持的自动化和响应 (SOAR) 功能。
与票务系统集成是可选的,需要手动集成 配置。如果您使用默认的 Security Command Center Enterprise 配置,则无需执行此过程。您可以 与工单系统集成。
概览
您可以使用默认的控制台和 API 跟踪发现结果 Security Command Center Enterprise 配置。如果贵组织使用工单系统来跟踪 与 Jira 或 ServiceNow 集成。 Google Security Operations 实例。
在收到资源的发现结果后,SCC 企业 - 紧急状况 Findings Connector 会分析和在注入期间过滤发现结果,并分组 并将其转换为新的或现有的案例,具体取决于发现结果类型。
如果您与工单系统集成,Security Command Center 会创建新的 都会针对发现结果创建支持请求。Security Command Center 每当有更新案例时,都会自动更新相关工单。
一个支持请求可以包含多个发现结果。Security Command Center 为每个支持请求创建一个工单,并同步支持请求内容 以及相应的工单信息,让工单分配对象知道 修复。
案例与其工单之间的同步运作方式有以下两种:
支持请求中的更改(例如状态更新或新评论) 会自动反映在关联的工单中。
同样,工单详情也会同步回支持请求,并为其补充信息 来自工单系统的信息。
准备工作
在配置 Jira 或 ServiceNow 之前,请先提供一个有效的电子邮件地址 SCC Enterprise - 后备所有者参数 Urgent Posture Findings Connector,并确保此电子邮件可分配 。
与 Jira 集成
确保完成所有集成步骤以同步支持请求 更新 Jira 问题,并确保采用正确的 playbook 流程。
支持请求优先级会反映在 Jira 问题严重程度中。
在 Jira 中创建一个新项目
在 Jira 中针对 Security Command Center Enterprise 问题创建新项目 名为 SCC Enterprise 项目 (SCCE),针对该支持请求执行手动操作。您 可以使用任何现有案例或模拟一个案例。如需详细了解如何模拟 请参阅模拟案例 页面。
创建新的 Jira 项目需要 Jira 管理员级凭据。
如需创建新的 Jira 项目,请完成以下步骤:
- 在 Security Operations 控制台中,前往案例。
- 选择一个现有支持请求或您模拟的支持请求。
- 在支持请求概览标签页中,点击手动操作。
- 在人工处置措施搜索字段中,输入
Create SCC Enterprise
。 - 在 SCCEnterprise 集成下的搜索结果中,选择 创建 SCC Enterprise Cloud Posture 工单类型 Jira 操作。对话框 窗口。
要配置 API 根参数,请输入您 API 的 Jira 实例,例如
https://YOUR_DOMAIN_NAME.atlassian.net
要配置用户名参数,请输入您在登录 以管理员身份登录 Jira。
要配置密码参数,请输入您在 以管理员身份登录 Jira。
要配置 API 令牌参数,请输入您 API 的 API 令牌 在 Jira 控制台中生成的 Atlassian 管理员账号。
点击 Execute。等待操作完成。
可选:配置自定义 Jira 问题布局
- 以管理员身份登录 Jira。
- 转到项目 > SCC Enterprise 项目 (SCCE)。
- 调整问题字段并重新排序。如需详细了解如何管理问题字段, 请参阅 Jira 文档中的配置问题字段布局。
配置 Jira 集成
- 在 Security Operations 控制台中,前往 响应 > 集成设置。
- 选择默认环境。
- 在集成 Search 字段中,输入
Jira
。吉拉 集成作为搜索结果返回。 - 点击 Configure Instance。 此时会打开对话框窗口。
要配置 API 根参数,请输入您 API 的 Jira 实例,例如
https://YOUR_DOMAIN_NAME.atlassian.net
要配置用户名参数,请输入您在登录 登录 Jira。请勿使用您的管理员凭据。
要配置 API 令牌参数,请输入您 API 的 API 令牌 在 Jira 控制台中生成的非管理员 Atlassian 账号。
点击保存。
如需测试配置,请点击 Test。
使用 Jira playbook 启用 Posture 发现结果
- 在 Security Operations 控制台中,转到响应 > playbook。
- 在 Playbook 搜索栏中,输入
Generic
。 - 选择 Posture Findings - Generic playbook。此 playbook 已启用 默认情况。
- 将切换开关切换为停用 Playbook。
- 点击保存。
- 在 Playbook 搜索栏中,输入
Jira
。 - 选择 Posture Findings With Jira playbook。此 playbook 已停用 默认情况。
- 将开关切换为启用 Playbook。
- 点击保存。
与 ServiceNow 集成
请务必完成所有集成步骤,以同步 Google SecOps 支持请求的更新,包括 ServiceNow 工单和 确保采用正确的 playbook 流程
创建和配置 ServiceNow 自定义票券类型
请务必创建并配置 ServiceNow 自定义票券类型 在 ServiceNow 界面中启用“活动”标签页,并避免使用错误的 工单布局。
创建 ServiceNow 自定义工单类型
创建自定义 ServiceNow 工单类型需要 ServiceNow 管理员级别 凭据。
如需创建自定义票券类型,请完成以下步骤:
- 在 Security Operations 控制台中,前往案例。
- 选择一个现有支持请求或您模拟的支持请求。
- 在支持请求概览标签页中,点击手动操作。
- 在人工处置措施搜索字段中,输入
Create SCC Enterprise
。 - 在 SCCEnterprise 集成下的搜索结果中,选择 创建 SCC Enterprise Cloud Posture 工单类型 SNOW 操作。对话框 窗口。
要配置 API 根参数,请输入您 API 的 ServiceNow 实例,例如
https://INSTANCE_NAME.service-now.com/api/now/v1/
要配置用户名参数,请输入您在登录 以管理员身份登录 ServiceNow
要配置密码参数,请输入您在 以管理员身份登录 ServiceNow
如需配置表角色参数,请将此字段留空或提供 一个值(如果有)。此参数仅接受一个角色值。
默认情况下,表角色字段为空,可以在其中创建新的自定义角色 ServiceNow 专门管理 Security Command Center Enterprise 工单。 只有被授予了这个新自定义角色的 ServiceNow 用户才有权访问 Security Command Center Enterprise 工单。
如果您已经拥有在以下位置管理突发事件的用户的专属角色: ServiceNow,并且您希望使用此角色管理 Security Command Center Enterprise 发现结果,请输入现有 ServiceNow 角色名称, 表角色字段。例如,如果您提供现有的
incident_handler_role
值,被授予 ServiceNow 中的“incident_handler_role
”角色可以访问 Security Command Center Enterprise 工单。点击 Execute。等待操作完成。
配置 ServiceNow 自定义工单布局
确保 ServiceNow 界面准确显示与支持请求相关的更新 和案例评论,请完成以下步骤:
- 在您的 ServiceNow 管理员账号中,转到全部标签页。
- 在搜索字段中,输入
SCC Enterprise
。 - 在下拉列表中,选择 SCC Enterprise Cloud Posture Ticket(SCC 企业云安全状况工单) 并执行搜索。
- 选择 Posture Test Ticket(安全状况测试工单)。系统随即会打开 ServiceNow 工单布局页面。
- 在 ServiceNow 工单布局页面上,转到其他操作 > 配置 > 表单布局。
- 转到表单视图和部分部分。
- 在 Section(部分)字段中,选择 u_scc_enterprise_cloud_posture_ticket。
- 点击保存。页面更新后,票券模板将包含字段 分布到两列中。
- 转到其他操作 > 配置 > 表单布局。
- 转到表单视图和部分部分。
- 在版块字段中,选择摘要。
- 点击保存。页面更新后,工单模板将具有新的 摘要结构。
配置 ServiceNow 集成
- 在 Security Operations 控制台中,转到响应 > 集成 设置。
- 选择默认环境。
- 在集成 Search 字段中,输入
ServiceNow
。ServiceNow 集成作为搜索结果返回。 - 点击 Configure Instance。 此时会打开对话框窗口。
要配置 API 根参数,请输入您 API 的 ServiceNow 实例,例如
https://INSTANCE_NAME.service-now.com/api/now/v1/
要配置用户名参数,请输入您在登录 请登录 ServiceNow。请勿使用您的管理员凭据。
要配置密码参数,请输入您在 请登录 ServiceNow。请勿使用您的管理员凭据。
点击保存。
如需测试配置,请点击 Test。
通过 SNOW playbook 启用 Posture 发现结果
- 在 Security Operations 控制台中,转到响应 > playbook。
- 在 Playbook 搜索栏中,输入
Generic
。 - 选择 Posture Findings - Generic playbook。此 playbook 已启用 默认情况。
- 将切换开关切换为停用 Playbook。
- 点击保存。
- 在 Playbook 搜索栏中,输入
SNOW
。 - 选择 Posture Findings With SNOW 手册。此 playbook 已停用 默认情况。
- 将开关切换为启用 Playbook。
- 点击保存。
启用支持请求数据同步功能
Security Command Center 会自动同步支持请求之间的信息 及其相应的工单,确保优先级、状态、评论和 支持请求与其工单之间的其他相关数据
Security Command Center 使用内部自动化流程来同步支持请求数据 称为同步作业同步 SCC-Jira 工单和同步 SCC-ServiceNow Tickets 作业在 Security Command Center 之间同步支持请求数据 和集成式票务系统这两个作业最初都处于停用状态,需要 您可以让其启动自动支持请求数据同步。
关闭案例会自动解析相应的工单。解决 Jira 或 ServiceNow 中的工单触发同步作业以关闭案例 。
准备工作
如需启用支持请求同步,您必须获得以下任一 SOC Security Operations 控制台中的角色:
- 管理员
- 漏洞管理器
- 威胁管理器
有关 Security Operations 控制台中的 SOC 角色和权限的更多详细信息 请参阅控制对 Google Cloud 中功能的访问权限 Security Operations 控制台。
为工单系统启用同步功能
为了确保系统可以自动获取支持请求和工单中的信息 已同步,请启用与工单相关的同步作业 与您集成的系统
要启用同步作业,请完成以下步骤:
在 Security Operations 控制台中,转到响应 > 作业 Scheduler。
选择正确的同步作业:
如果您已与 Jira 集成,请选择 Sync SCC-Jira Tickets 作业。
如果您已与 ServiceNow 集成,请选择同步 SCC-ServiceNow 工单 作业。
将开关切换为启用所选作业。
点击保存,使 Security Command Center 自动同步案例 数据与工单系统相关联。
为现有支持请求创建工单
Security Command Center 仅针对在您之后创建的支持请求自动创建工单 已与工单系统集成,并且不会追溯 现有提醒的策略方案为之前开设的案例创建工单 与票务系统集成,请使用以下方法之一:
了结没有工单的支持请求,然后等待 SCC 重新注入发现结果,然后 为支持请求提醒分配新的 playbook。
针对在您之前打开过的支持请求中的任何提醒添加 playbook 与票务系统集成。
了结没有工单的案例
如需关闭没有工单的支持请求,请完成以下步骤:
在 Security Operations 控制台中,前往案例。
点击
打开过滤器。支持请求队列过滤条件面板 打开。
在案例队列过滤条件中,指定以下内容:
- 在时间范围字段中,指定未结支持请求的时间段。
- 将逻辑运算符设置为 AND。
- 对于逻辑运算符下的第一个值,选择标记。
- 将条件设置为展示次数份额。
- 对于第二个值,请选择 Internal-SCC-Ticket-Info。
- 点击 Apply 以更新支持请求队列中的支持请求,并仅显示 符合您指定的过滤条件的案例。
从支持请求队列中选择相应支持请求。
在“支持请求”视图中,选择
了结支持请求。系统随即会打开 Close Case 窗口。
在 Close Case 窗口中,指定以下内容:
为原因字段选择一个值,以说明关闭的原因 情况。
为“根本原因”字段选择一个值,以说明出现以下错误的原因 关闭案例
可选:添加评论。
点击关闭可关闭案例。然后访问 Security Command Center 将发现结果重新提取到新案例中,并自动附加正确的 策略方案
手动将 playbook 添加到提醒
如需手动将 playbook 附加到现有支持请求中的提醒,请完成 操作步骤:
在 Security Operations 控制台中,前往案例。
点击
打开过滤器。支持请求队列过滤条件面板 打开。
在案例队列过滤条件中,指定以下内容:
- 在时间范围字段中,指定未结支持请求的时间段。
- 将逻辑运算符设置为 AND。
- 对于逻辑运算符下的第一个值,选择标记。
- 将条件设置为展示次数份额。
- 对于第二个值,请选择 Internal-SCC-Ticket-Info。
- 点击 Apply 以更新支持请求队列中的支持请求,并仅显示 符合您指定的过滤条件的案例。
从支持请求队列中选择相应支持请求。
选择案例中包含的任何提醒。
在提醒视图中,转到 Playbooks 标签页。
点击 add Add Playbook(添加 playbook)。 系统会显示 Add a Playbook 窗口,其中包含可用 playbook 的列表。
在添加 Playbook 窗口的搜索字段中,输入
Posture Findings
.- 如果您已与 Jira 集成,请选择 Posture Findings With Jira playbook。
- 如果您已与 ServiceNow 集成,请选择安全状况发现结果 SNOW 手册。
点击添加,将 playbook 添加到提醒中。
完成后,该手册会为支持请求创建工单,并自动 使用案例中的信息填充工单。
将 playbook 添加到案例内的单个提醒中就足以创建 工单并触发数据同步。
后续步骤
了解如何确定状况发现结果的所有权。
了解如何在支持请求中对发现结果进行分组。
了解如何根据状况案例分配工单。