Integra Security Command Center Enterprise con i sistemi di gestione dei ticket

Questo documento spiega come integrare il livello Enterprise di Security Command Center con i sistemi di ticketing dopo aver configurato l'organizzazione della sicurezza, l'automazione e la risposta (SOAR).

L'integrazione con i sistemi di vendita di biglietti è facoltativa e richiede la configurazione manuale. Se utilizzi Security Command Center predefinito per la configurazione aziendale, non è necessario eseguire questa procedura. Puoi integrarti con un sistema di vendita di biglietti in qualsiasi momento in un secondo momento.

Panoramica

Puoi monitorare i risultati utilizzando la console e le API con la configurazione predefinita di Security Command Center Enterprise. Se la tua organizzazione utilizza sistemi di ticketing per monitorare i problemi, esegui l'integrazione con Jira o ServiceNow dopo aver configurato l'istanza di Google Security Operations.

Una volta ricevuti i risultati relativi alle risorse, il connettore SCC Enterprise - Urgent Posture Findings li analizza e li raggruppa in casi nuovi o esistenti, a seconda del tipo di risultato.

Se esegui l'integrazione con un sistema di ticketing, Security Command Center crea un nuovo ticket ogni volta che crea una nuova richiesta per i risultati. Security Command Center aggiorna automaticamente il ticket correlato ogni volta che viene aggiornata una richiesta.

Un singolo caso può contenere più risultati. Security Command Center crea un ticket per ogni richiesta e ne sincronizza i contenuti e informazioni con il ticket corrispondente per far sapere agli assegnatari del ticket cosa porre rimedio.

La sincronizzazione tra una richiesta e il relativo ticket funziona in entrambi i modi:

• Le modifiche all'interno di una richiesta, ad esempio un aggiornamento dello stato o un nuovo commento, vengono comunicate automaticamente al ticket associato.

• Allo stesso modo, i dettagli del ticket si sincronizzano con la richiesta, arricchendola con informazioni dal sistema di gestione delle richieste di assistenza.

Prima di iniziare

Prima di configurare Jira o ServiceNow, fornisci un indirizzo email valido per il parametro Proprietario di riserva in SCC Enterprise - Connector per i risultati relativi alla posizione urgente e assicurati che questo indirizzo email sia assegnabile nel tuo sistema di ticketing.

Integrazione con Jira

Assicurati di completare tutti i passaggi di integrazione per sincronizzare gli aggiornamenti della richiesta con i problemi di Jira e assicurarti il corretto flusso del playbook.

La priorità della richiesta si riflette nella gravità del problema di Jira.

Creare un nuovo progetto in Jira

Per creare un nuovo progetto in Jira per i problemi di Security Command Center Enterprise chiamato SCC Enterprise Project (SCCE), esegui un'azione manuale nella richiesta. Tu puoi usare qualsiasi caso esistente o simularne uno. Per ulteriori informazioni sulla simulazione delle richieste, consulta la pagina Simulare richieste nella documentazione di Google SecOps.

La creazione di un nuovo progetto Jira richiede le credenziali di amministratore di Jira.

Per creare un nuovo progetto Jira:

1. Nella console Security Operations, vai a Cases.
2. Seleziona una richiesta esistente o quella che hai simulato.
3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
4. Nel campo Ricerca dell'azione manuale, inserisci Create SCC Enterprise.
5. Nei risultati di ricerca sotto l'integrazione di SCCEnterprise, seleziona la Create SCC Enterprise Cloud Posture Ticket Type Jira. Viene visualizzata la finestra di dialogo.

6. Per configurare il parametro Root API, inserisci la radice API del tuo Istanza Jira, come https://YOUR_DOMAIN_NAME.atlassian.net

7. Per configurare il parametro Username, inserisci il nome utente che utilizzi per accedi a Jira come amministratore.

8. Per configurare il parametro Password, inserisci la password che utilizzi per accedi a Jira come amministratore.

9. Per configurare il parametro Token API, inserisci il token API del tuo Account amministratore Atlassian generato nella console Jira.

10. Fai clic su Execute (Esegui). Attendi il completamento dell'azione.

(Facoltativo) Configurare il layout personalizzato dei problemi Jira

1. Accedi a Jira come amministratore.
2. Vai a Progetti > Progetto SCC Enterprise (SCCE).
3. Modifica e riordina i campi dei problemi. Per ulteriori dettagli sulla gestione dei campi dei problemi, consulta Configurazione del layout dei campi dei problemi nella documentazione di Jira.

Configura l'integrazione Jira

1. In Security Operations Console, vai a Risposta > Configurazione integrazioni.
2. Seleziona l'ambiente predefinito.
3. Nel campo Ricerca dell'integrazione, inserisci Jira. La Jira l'integrazione restituisce come risultato di ricerca.
4. Fai clic su settings Configura istanza. Si apre la finestra di dialogo.

5. Per configurare il parametro API Root, inserisci la radice dell'API della tua istanza Jira, ad esempio https://YOUR_DOMAIN_NAME.atlassian.net

6. Per configurare il parametro Username, inserisci il nome utente che utilizzi per accedi a Jira. Non utilizzare le tue credenziali di amministratore.

7. Per configurare il parametro Token API, inserisci il token API del tuo account Atlassian non amministratore generato nella console di Jira.

8. Fai clic su Salva.

9. Per testare la configurazione, fai clic su Test.

Attivare il playbook Risultati relativi alla posizione con Jira

1. Nella Security Operations Console, vai a Risposta > Playbook.
2. Nella barra di ricerca del playbook, inserisci Generic.
3. Seleziona il playbook Risultati postura - Generici. Questo playbook è abilitato per impostazione predefinita.
4. Imposta l'opzione di attivazione/disattivazione per disattivare il playbook.
5. Fai clic su Salva.
6. Nella barra di ricerca del playbook, inserisci Jira.
7. Seleziona il playbook Risultati di postura con Jira. Questo playbook è disattivato per impostazione predefinita.
8. Attiva l'opzione per abilitare il playbook.
9. Fai clic su Salva.

Integrazione con ServiceNow

Assicurati di completare tutti i passaggi di integrazione per sincronizzare gli aggiornamenti delle richieste Google SecOps con i ticket ServiceNow e assicurarti il corretto flusso del playbook.

Creare e configurare il tipo di ticket personalizzato di ServiceNow

Assicurati di creare e configurare il tipo di ticket personalizzato ServiceNow, attivare la scheda Attività nell'interfaccia utente di ServiceNow ed evitare di utilizzare il layout del ticket errato.

Crea tipo di ticket personalizzato ServiceNow

La creazione di un tipo di ticket ServiceNow personalizzato richiede le credenziali di livello amministrativo di ServiceNow.

Per creare un tipo di ticket personalizzato:

1. Nella Security Operations Console, vai a Richieste.
2. Seleziona una richiesta esistente o quella che hai simulato.
3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
4. Nel campo dell'azione manuale Cerca, inserisci Create SCC Enterprise.
5. Nei risultati di ricerca sotto l'integrazione di SCCEnterprise, seleziona la Azione Create SCC Enterprise Cloud Posture Ticket Type SNOW. Viene visualizzata la finestra di dialogo.

6. Per configurare il parametro API Root, inserisci la radice dell'API della tua istanza ServiceNow, ad esempio https://INSTANCE_NAME.service-now.com/api/now/v1/

7. Per configurare il parametro Username, inserisci il nome utente che utilizzi per accedi a ServiceNow come amministratore.

8. Per configurare il parametro Password, inserisci la password che utilizzi per accedi a ServiceNow come amministratore.

9. Per configurare il parametro Ruolo tabella, lascia il campo vuoto o fornisci un valore, se disponibile. Questo parametro accetta un solo valore del ruolo.

   Per impostazione predefinita, il campo Table Role (Ruolo tabella) è vuoto per creare un nuovo ruolo personalizzato in ServiceNow per gestire specificamente i ticket di Security Command Center Enterprise. Solo gli utenti di ServiceNow a cui è stato concesso questo nuovo ruolo personalizzato hanno accesso ai ticket di Security Command Center Enterprise.

   Se hai già un ruolo dedicato per gli utenti che gestiscono gli incidenti in ServiceNow e vorresti utilizzare questo ruolo per gestire Security Command Center Risultati Enterprise, inserisci il nome del ruolo ServiceNow esistente nel campo Ruolo tabella. Ad esempio, se fornisci il valore incident_handler_role esistente, tutti gli utenti a cui è stato assegnato il ruolo incident_handler_role in ServiceNow possono accedere ai ticket di Security Command Center Enterprise.

10. Fai clic su Execute (Esegui). Attendi il completamento dell'azione.

Configurare il layout dei ticket personalizzati di ServiceNow

per garantire che l'interfaccia utente di ServiceNow mostri accuratamente gli aggiornamenti relativi alle richieste e commenti sulla richiesta, completa i seguenti passaggi:

1. Nel tuo account amministratore di ServiceNow, vai alla scheda Tutti.
2. Nel campo Cerca, inserisci SCC Enterprise.
3. Nell'elenco a discesa, seleziona SCC Enterprise Cloud Posture Ticket e esegui una ricerca.
4. Seleziona il ticket di test postura. Si apre la pagina di layout dei ticket ServiceNow.
5. Nella pagina di layout dei ticket ServiceNow, vai ad Azioni aggiuntive >. Configura > Layout modulo.
6. Vai alla sezione Visualizzazione e sezione del modulo.
7. Nel campo Sezione, seleziona u_scc_enterprise_cloud_posture_ticket.
8. Fai clic su Salva. Dopo l'aggiornamento della pagina, il modello di ticket include campi distribuiti in due colonne.
9. Vai a Azioni aggiuntive > Configura > Layout del modulo.
10. Vai alla sezione Visualizzazione modulo e sezione.
11. Nel campo Sezione, seleziona Riepilogo.
12. Fai clic su Salva. Dopo l'aggiornamento della pagina, il modello di ticket avrà la nuova struttura Riepilogo.

Configurare l'integrazione di ServiceNow

1. Nella console Security Operations, vai a Risposta > Configurazione delle integrazioni.
2. Seleziona l'ambiente predefinito.
3. Nel campo Ricerca dell'integrazione, inserisci ServiceNow. Il team di ServiceNow l'integrazione restituisce come risultato di ricerca.
4. Fai clic su settings Configura istanza. Si apre la finestra di dialogo.

5. Per configurare il parametro API Root, inserisci la radice dell'API della tua istanza ServiceNow, ad esempio https://INSTANCE_NAME.service-now.com/api/now/v1/

6. Per configurare il parametro Nome utente, inserisci il nome utente che utilizzi per accedere a ServiceNow. Non utilizzare le tue credenziali di amministratore.

7. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a ServiceNow. Non utilizzare le tue credenziali di amministratore.

8. Fai clic su Salva.

9. Per testare la configurazione, fai clic su Test.

Abilita il playbook dei risultati della postura con SNOW

1. Nella console Security Operations, vai a Risposta > Playbook.
2. Nella barra di ricerca del playbook, inserisci Generic.
3. Seleziona il playbook Risultati postura - Generici. Questo playbook è abilitato per impostazione predefinita.
4. Imposta l'opzione di attivazione/disattivazione per disattivare il playbook.
5. Fai clic su Salva.
6. Nella barra di ricerca del playbook, inserisci SNOW.
7. Seleziona il playbook Posture Findings With SNOW. Questo playbook è disattivato per impostazione predefinita.
8. Attiva l'opzione per abilitare il playbook.
9. Fai clic su Salva.

Attiva la sincronizzazione dei dati della richiesta

Security Command Center sincronizza automaticamente le informazioni tra una richiesta e il relativo ticket, assicurando la corrispondenza di priorità, stato, commenti altri dati pertinenti tra una richiesta e la relativa richiesta di assistenza.

Per sincronizzare i dati sulle richieste, Security Command Center utilizza processi automatici interni chiamati job di sincronizzazione. I ticket Sync SCC-Jira e Sync I job SCC-ServiceNow Tickets sincronizzano i dati delle richieste tra Security Command Center e sistemi di gestione delle richieste integrati. Entrambi i job sono inizialmente disabilitati e richiedono per consentire l'avvio della sincronizzazione automatica dei dati delle richieste.

La chiusura di una richiesta risolve automaticamente il ticket corrispondente. La risoluzione di un ticket in Jira o ServiceNow attiva anche i job di sincronizzazione per chiudere la richiesta.

Prima di iniziare

Per attivare la sincronizzazione delle richieste, devi disporre di uno dei seguenti ruoli SOC nella console Security Operations:

• Amministratore
• Vulnerability Manager
• Gestore delle minacce

Per ulteriori dettagli sui ruoli SOC nella console Security Operations e sulle autorizzazioni richieste per gli utenti, consulta Controllare l'accesso alle funzionalità nella console Security Operations.

Attiva la sincronizzazione per i sistemi di gestione dei ticket

Per fare in modo che le informazioni relative a richieste e ticket vengano automaticamente sincronizzati, attivare il job di sincronizzazione pertinente alla vendita di ticket con cui hai eseguito l'integrazione.

Per attivare il job di sincronizzazione, completa i seguenti passaggi:

1. Nella Security Operations Console, vai a Risposta > Job Scheduler.

2. Scegli il job di sincronizzazione corretto:

   • Se hai eseguito l'integrazione con Jira, seleziona il job Sync SCC-Jira Tickets.

   • Se hai eseguito l'integrazione con ServiceNow, seleziona Sync SCC-ServiceNow Tickets (Sincronizza i ticket SCC-ServiceNow). un lavoro.

3. Attiva l'opzione di attivazione/disattivazione per attivare il job selezionato.

4. Fai clic su Salva per consentire a Security Command Center di sincronizzare automaticamente i dati delle richieste con un sistema di ticketing.

Crea ticket per le richieste esistenti

Security Command Center crea automaticamente ticket di assistenza solo per le richieste aperte dopo il giorno sono stati integrati in un sistema di gestione delle richieste di assistenza e non collegano retroattivamente nuovi tra i playbook degli avvisi esistenti. Per creare ticket per le richieste aperte in precedenza integra un sistema di gestione dei ticket, utilizza uno dei seguenti approcci:

• Chiudi una richiesta senza ticket e attendi che SCC importi di nuovo i risultati e Assegna un nuovo playbook agli avvisi relativi alle richieste.

• Aggiungi manualmente un playbook a qualsiasi avviso in una richiesta che è stata aperta prima di integrati con un sistema di gestione dei ticket.

Chiudere una richiesta senza ticket

Per chiudere una richiesta senza ticket, svolgi i seguenti passaggi:

1. Nella console Security Operations, vai a Cases.

2. Fai clic su Apri filtro. Riquadro Filtro coda di richieste si apre.

3. Nel filtro coda delle richieste, specifica quanto segue:

   1. Nel campo Periodo di tempo, specifica il periodo di tempo per le richieste aperte.
   2. Imposta Operatore logico su AND.
   3. Per il primo valore in Operatore logico, seleziona Tag.
   4. Imposta la condizione su IS.
   5. Per il secondo valore, seleziona Internal-SCC-Ticket-Info.
   6. Fai clic su Applica per aggiornare le richieste nella coda e mostrare solo quelle che corrispondono al filtro specificato.

4. Seleziona la richiesta dalla coda delle richieste.

5. Nella visualizzazione Richiesta, seleziona Chiudi richiesta. Viene visualizzata la finestra Chiudi richiesta.

6. Nella finestra Chiudi richiesta, specifica quanto segue:

   1. Seleziona un valore per il campo Motivo per indicare il motivo della chiusura della richiesta.

   2. Seleziona un valore nel campo Causa principale per indicarne la causa chiudendo la richiesta.

   3. (Facoltativo) Aggiungi un commento.

   4. Fai clic su Chiudi per chiudere la richiesta. Security Command Center quindi importa di nuovo i risultati in una nuova richiesta e allega automaticamente una guida pratica.

Aggiungere manualmente un playbook a un avviso

Per allegare manualmente un playbook a un avviso in una richiesta esistente, completa i seguenti passaggi:

1. Nella Security Operations Console, vai a Richieste.

2. Fai clic su Apri filtro. Riquadro Filtro coda di richieste si apre.

3. Nel filtro coda delle richieste, specifica quanto segue:

   1. Nel campo Periodo di tempo, specifica il periodo di tempo per le richieste aperte.
   2. Imposta Operatore logico su AND.
   3. Per il primo valore in Operatore logico, seleziona Tag.
   4. Imposta la condizione su IS.
   5. Per il secondo valore, seleziona Internal-SCC-Ticket-Info.
   6. Fai clic su Applica per aggiornare le richieste nella coda e mostrare solo quelle che corrispondono al filtro specificato.

4. Seleziona la richiesta dalla coda.

5. Seleziona un avviso contenuto in una richiesta.

6. In una visualizzazione dell'avviso, vai alla scheda Playbook.

7. Fai clic su aggiungi Aggiungi playbook. Viene visualizzata la finestra Aggiungi un playbook con un elenco dei playbook disponibili.

8. Nel campo di ricerca della finestra Aggiungi un playbook, inserisci Posture Findings.

   • Se hai eseguito l'integrazione con Jira, seleziona il playbook Risultati relativi alla posizione con Jira.
   • Se hai eseguito l'integrazione con ServiceNow, seleziona il playbook Posture Findings With SNOW.

9. Fai clic su Aggiungi per aggiungere un playbook a un avviso.

Al termine, la guida pratica crea un ticket per una richiesta e, compila il ticket con le informazioni della richiesta.

È sufficiente aggiungere un playbook a un singolo avviso all'interno di una richiesta per creare ticket e attivare la sincronizzazione dei dati.

Passaggi successivi

• Scopri come determinare la proprietà per i risultati della postura.

• Scopri come raggruppare i risultati nei casi.

• Scopri come assegnare ticket in base a casi di postura.