Integra Security Command Center Enterprise con sistemas de tickets

En este documento, se explica cómo integrar el nivel empresarial de Security Command Center con sistemas de tickets después de configurar la organización, automatización y respuesta de seguridad (SOAR).

La integración con sistemas de venta de entradas es opcional y requiere una configuración manual. Si usas la configuración predeterminada de Security Command Center Enterprise, no es necesario que realices este procedimiento. Puedes integrarlo con un sistema de venta de entradas más adelante en cualquier momento.

Descripción general

Puedes hacer un seguimiento de los resultados con la consola y las APIs con la configuración predeterminada de Security Command Center Enterprise. Si tu organización usa sistemas de tickets para hacer un seguimiento de los problemas, realiza la integración con Jira o ServiceNow después de configurar tu instancia de Google Security Operations.

Cuando se reciben hallazgos de recursos, el Conector de SCC Enterprise – Urgent Posture Findings los analiza y los agrupa en casos nuevos o existentes, según el tipo de hallazgo.

Si realizas la integración con un sistema de tickets, Security Command Center creará un ticket nuevo cada vez que cree un caso nuevo para los resultados. Security Command Center actualiza automáticamente el ticket relacionado cada vez que se actualiza un caso.

Un solo caso puede contener varios hallazgos. Security Command Center crea un ticket para cada caso y sincroniza el contenido y la información del caso con el ticket correspondiente para que los asignados sepan qué medidas tomar.

La sincronización entre un caso y su ticket funciona en ambos sentidos:

• Los cambios en un caso, como una actualización de estado o un comentario nuevo, se reflejan automáticamente en el ticket asociado.

• Del mismo modo, los detalles del ticket se vuelven a sincronizar con el caso y se enriquecen con información del sistema de tickets.

Antes de comenzar

Antes de configurar Jira o ServiceNow, proporciona una dirección de correo electrónico válida para el parámetro Fallback Owner en el SCC Enterprise – Urgent Posture Findings Connector y asegúrate de que este correo electrónico se pueda asignar en tu sistema de tickets.

Cómo realizar la integración con Jira

Asegúrate de completar todos los pasos de integración para sincronizar las actualizaciones de los casos con los problemas de Jira y garantizar el flujo correcto del libro de jugadas.

La prioridad del caso se refleja en la gravedad del problema de Jira.

Crea un proyecto nuevo en Jira

Para crear un proyecto nuevo en Jira para los problemas de Security Command Center Enterprise llamado SCC Enterprise Project (SCCE), ejecuta una acción manual en el caso. Puedes usar cualquier caso existente o simular uno. Para obtener más información sobre la simulación de casos, consulta la página Simulate cases en la documentación de SecOps de Google.

Para crear un proyecto de Jira nuevo, se requieren credenciales de administrador de Jira.

Para crear un proyecto de Jira nuevo, completa los siguientes pasos:

1. En la consola de Security Operations, ve a Casos.
2. Selecciona un caso existente o el que simulaste.
3. En la pestaña Descripción general del caso, haz clic en Acción manual.
4. En el campo de acción manual Buscar, ingresa Create SCC Enterprise.
5. En los resultados de la búsqueda de la integración de SCCEnterprise, selecciona la acción Create SCC Enterprise Cloud Posture Ticket Type Jira. Se abrirá la ventana de diálogo.

6. Para configurar el parámetro API Root, ingresa la raíz de la API de tu instancia de Jira, como https://YOUR_DOMAIN_NAME.atlassian.net.

7. Para configurar el parámetro Username, ingresa el nombre de usuario que usas para acceder a Jira como administrador.

8. Para configurar el parámetro Password, ingresa la contraseña que usas para acceder a Jira como administrador.

9. Para configurar el parámetro Token de API, ingresa el token de API de tu cuenta de administrador de Atlassian que se generó en la consola de Jira.

10. Haz clic en Ejecutar. Espera a que se complete la acción.

Opcional: Configura el diseño personalizado de problemas de Jira

1. Accede a Jira como administrador.
2. Ve a Proyectos > Proyecto empresarial de SCC (SCCE).
3. Ajusta y reordena los campos de problemas. Para obtener más detalles sobre la administración de campos de problemas, consulta Configura el diseño de los campos de problemas en la documentación de Jira.

Configura la integración con Jira

1. En la consola de Security Operations, ve a Response > Integrations Setup.
2. Selecciona el entorno predeterminado.
3. En el campo Buscar de la integración, ingresa Jira. La integración con Jira se muestra como un resultado de la búsqueda.
4. Haz clic en settings Configurar instancia. Se abrirá la ventana de diálogo.

5. Para configurar el parámetro API Root, ingresa la raíz de la API de tu instancia de Jira, como https://YOUR_DOMAIN_NAME.atlassian.net.

6. Para configurar el parámetro Username, ingresa el nombre de usuario que usas para acceder a Jira. No uses tus credenciales de administrador.

7. Para configurar el parámetro Token de API, ingresa el token de API de tu cuenta de Atlassian sin permisos de administrador que se generó en la consola de Jira.

8. Haz clic en Guardar.

9. Para probar la configuración, haz clic en Probar.

Habilita la guía Posture Findings With Jira

1. En la consola de Security Operations, ve a Respuesta > Guías de respuesta.
2. En la barra de búsqueda de la Guía de Play, ingresa Generic.
3. Selecciona la guía de Hallazgos de postura: genérico. Esta guía está habilitada de forma predeterminada.
4. Usa el botón de activación para inhabilitar la guía de instrucciones.
5. Haz clic en Guardar.
6. En la barra de búsqueda de la Guía de Play, ingresa Jira.
7. Selecciona la guía de Hallazgos de postura con Jira. Este libro de jugadas está inhabilitado de forma predeterminada.
8. Usa el botón de activación para habilitar la guía.
9. Haz clic en Guardar.

Integración con ServiceNow

Asegúrate de completar todos los pasos de integración para sincronizar las actualizaciones de los casos de SecOps de Google con los tickets de ServiceNow y garantizar el flujo correcto del libro de jugadas.

Crea y configura un tipo de ticket personalizado de ServiceNow

Asegúrate de crear y configurar el tipo de ticket personalizado de ServiceNow, habilitar la pestaña Actividades en la IU de ServiceNow y evitar usar el diseño de ticket incorrecto.

Crea un tipo de ticket personalizado de ServiceNow

Para crear un tipo de ticket personalizado de ServiceNow, se requieren credenciales de nivel de administrador de ServiceNow.

Para crear un tipo de ticket personalizado, sigue estos pasos:

1. En la consola de Security Operations, ve a Casos.
2. Selecciona un caso existente o el que simulaste.
3. En la pestaña Descripción general del caso, haz clic en Acción manual.
4. En el campo de acción manual Buscar, ingresa Create SCC Enterprise.
5. En los resultados de la búsqueda de la integración de SCCEnterprise, selecciona la acción Create SCC Enterprise Cloud Posture Ticket Type SNOW. Se abrirá la ventana de diálogo.

6. Para configurar el parámetro API Root, ingresa la raíz de la API de tu instancia de ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Para configurar el parámetro Username, ingresa el nombre de usuario que usas para acceder a ServiceNow como administrador.

8. Para configurar el parámetro Password, ingresa la contraseña que usas para acceder a ServiceNow como administrador.

9. Para configurar el parámetro Table Role, deja el campo vacío o proporciona un valor si tienes uno. Este parámetro solo acepta un valor de rol.

   De forma predeterminada, el campo Table Role está vacío para crear un nuevo rol personalizado en ServiceNow y administrar específicamente los tickets de Security Command Center Enterprise. Solo los usuarios de ServiceNow a los que se les otorgó este nuevo rol personalizado tienen acceso a los tickets de Security Command Center Enterprise.

   Si ya tienes un rol exclusivo para los usuarios que administran incidentes en ServiceNow y deseas usar este rol para administrar los resultados de Security Command Center Enterprise, ingresa el nombre del rol existente de ServiceNow en el campo Table Role. Por ejemplo, si proporcionas el valor de incident_handler_role existente, todos los usuarios a los que se les otorgó el rol de incident_handler_role en ServiceNow pueden acceder a los tickets de Security Command Center Enterprise.

10. Haz clic en Ejecutar. Espera a que se complete la acción.

Configura el diseño de tickets personalizados de ServiceNow

Para asegurarte de que la IU de ServiceNow muestre con precisión las actualizaciones relacionadas con los casos y los comentarios de los casos, completa los siguientes pasos:

1. En tu cuenta de administrador de ServiceNow, ve a la pestaña Todo.
2. En el campo Buscar, ingresa SCC Enterprise.
3. En la lista desplegable, selecciona el ticket de estado de la nube empresarial de SCC y ejecuta una búsqueda.
4. Selecciona el ticket de prueba de postura. Se abrirá la página de diseño de tickets de ServiceNow.
5. En la página de diseño de tickets de ServiceNow, ve a Acciones adicionales > Configurar > Diseño de formulario.
6. Ve a la sección Vista y sección del formulario.
7. En el campo Sección, selecciona u_scc_enterprise_cloud_posture_ticket.
8. Haz clic en Guardar. Después de que se actualiza la página, la plantilla de ticket tiene campos distribuidos en dos columnas.
9. Ve a Acciones adicionales > Configurar > Diseño del formulario.
10. Ve a la sección Vista y sección del formulario.
11. En el campo Sección, selecciona Resumen.
12. Haz clic en Guardar. Después de que se actualice la página, la plantilla del ticket tendrá la nueva estructura de resumen.

Configura la integración de ServiceNow

1. En la consola de Security Operations, ve a Response > Integrations setup.
2. Selecciona el entorno predeterminado.
3. En el campo Buscar de la integración, ingresa ServiceNow. La integración de ServiceNow se muestra como un resultado de la búsqueda.
4. Haz clic en settings Configurar instancia. Se abrirá la ventana de diálogo.

5. Para configurar el parámetro API Root, ingresa la raíz de la API de tu instancia de ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/.

6. Para configurar el parámetro Nombre de usuario, ingresa el nombre de usuario que usas para acceder a ServiceNow. No uses tus credenciales de administrador.

7. Para configurar el parámetro Password, ingresa la contraseña que usas para acceder a ServiceNow. No uses tus credenciales de administrador.

8. Haz clic en Guardar.

9. Para probar la configuración, haz clic en Probar.

Habilita la guía Posture Findings With SNOW

1. En la consola de Security Operations, ve a Respuesta > Guías de respuesta.
2. En la barra de búsqueda de la Guía de Play, ingresa Generic.
3. Selecciona la guía de Hallazgos de postura: genérico. Esta guía está habilitada de forma predeterminada.
4. Usa el botón de activación para inhabilitar la guía de instrucciones.
5. Haz clic en Guardar.
6. En la barra de búsqueda de la Guía de Play, ingresa SNOW.
7. Selecciona la guía de Hallazgos de postura con SNOW. Este libro de jugadas está inhabilitado de forma predeterminada.
8. Usa el botón de activación para habilitar la guía.
9. Haz clic en Guardar.

Habilita la sincronización de datos de casos

Security Command Center sincroniza automáticamente la información entre un caso y su ticket correspondiente, lo que garantiza que coincidan la prioridad, el estado, los comentarios y otros datos relevantes entre un caso y su ticket.

Para sincronizar los datos de los casos, Security Command Center usa procesos automáticos internos llamados trabajos de sincronización. Las tareas Sync SCC-Jira Tickets y Sync SCC-ServiceNow Tickets sincronizan los datos de los casos entre Security Command Center y los sistemas de tickets integrados. Ambas tareas están inhabilitadas inicialmente y requieren que las habilites para iniciar la sincronización automática de datos de casos.

Cuando cierras un caso, se resuelve automáticamente el ticket correspondiente. La resolución de un ticket en Jira o ServiceNow activa las tareas de sincronización para cerrar el caso también.

Antes de comenzar

Para habilitar la sincronización de casos, debes tener uno de los siguientes roles de SOC en la consola de Operaciones de seguridad:

• Administrador
• Administrador de vulnerabilidades
• Administrador de amenazas

Para obtener más detalles sobre los roles de SOC en la consola de Security Operations y los permisos necesarios para los usuarios, consulta Controla el acceso a las funciones en la consola de Security Operations.

Habilita la sincronización para los sistemas de venta de entradas

Para asegurarte de que la información de los casos y los tickets se sincronice automáticamente, habilita el trabajo de sincronización que sea relevante para el sistema de tickets con el que realizaste la integración.

Para habilitar el trabajo de sincronización, completa los siguientes pasos:

1. En la consola de Security Operations, ve a Response > Job Scheduler.

2. Elige la tarea de sincronización correcta:

   • Si realizaste la integración con Jira, selecciona la tarea Sync SCC-Jira Tickets.

   • Si realizaste la integración con ServiceNow, selecciona la tarea Sync SCC-ServiceNow Tickets.

3. Activa el botón de activación para habilitar la tarea seleccionada.

4. Haz clic en Guardar para habilitar que Security Command Center sincronice automáticamente los datos de los casos con un sistema de tickets.

Crea tickets para casos existentes

Security Command Center crea automáticamente tickets solo para los casos que se abren después de que realices la integración con un sistema de tickets y no adjunta planes de acción nuevos a las alertas existentes de forma retroactiva. Para crear tickets para los casos abiertos antes de la integración con un sistema de tickets, usa uno de los siguientes enfoques:

• Cierra un caso que no tenga un ticket y espera a que SCC vuelva a transferir los hallazgos y asigne una nueva guía de procedimientos a las alertas del caso.

• Agrega manualmente una guía a cualquier alerta de un caso que se haya abierto antes de integrarlo con un sistema de tickets.

Cómo cerrar un caso sin un ticket

Para cerrar un caso que no tiene un ticket, completa los siguientes pasos:

1. En la consola de Security Operations, ve a Casos.

2. Haz clic en Abrir filtro. Se abrirá el panel Filtro de la cola de casos.

3. En el Filtro de fila de casos, especifica lo siguiente:

   1. En el campo Período, especifica el período de los casos abiertos.
   2. Establece Operador lógico en AND.
   3. Para el primer valor en Operador lógico, selecciona Etiquetas.
   4. Establece la condición en ES.
   5. Para el segundo valor, selecciona Internal-SCC-Ticket-Info.
   6. Haz clic en Aplicar para actualizar los casos en la fila de casos y mostrar solo los casos que coincidan con el filtro que especificaste.

4. En la cola de casos, selecciona el caso.

5. En la vista de casos, selecciona Cerrar caso. Se abrirá la ventana Cerrar caso.

6. En la ventana Close Case, especifica lo siguiente:

   1. Selecciona un valor para el campo Motivo para indicar el motivo por el que se cerró el caso.

   2. Selecciona un valor para el campo Causa raíz para indicar la causa por la que se cerró el caso.

   3. Opcional: Agrega un comentario.

   4. Haz clic en Cerrar para cerrar el caso. Luego, Security Command Center vuelve a transferir los resultados a un caso nuevo y les adjunta automáticamente una guía de acción correcta.

Cómo agregar manualmente una guía a una alerta

Para adjuntar manualmente una guía de respuesta a una alerta en un caso existente, completa los siguientes pasos:

1. En la consola de Security Operations, ve a Casos.

2. Haz clic en Abrir filtro. Se abrirá el panel Filtro de la cola de casos.

3. En el Filtro de fila de casos, especifica lo siguiente:

   1. En el campo Período, especifica el período de los casos abiertos.
   2. Establece Operador lógico en AND.
   3. Para el primer valor en Operador lógico, selecciona Etiquetas.
   4. Establece la condición en ES.
   5. Para el segundo valor, selecciona Internal-SCC-Ticket-Info.
   6. Haz clic en Aplicar para actualizar los casos en la fila de casos y mostrar solo los casos que coincidan con el filtro que especificaste.

4. En la cola de casos, selecciona el caso.

5. Selecciona cualquier alerta contenida en un caso.

6. En una vista de alerta, ve a la pestaña Guías.

7. Haz clic en agregar Agregar guía de prácticas. Aparecerá la ventana Add a Playbook con una lista de las guías disponibles.

8. En el campo de búsqueda de la ventana Add a Playbook, ingresa Posture Findings.

   • Si realizaste la integración con Jira, selecciona la guía Posture Findings With Jira.
   • Si realizaste la integración con ServiceNow, selecciona la guía de Resultados de la postura con SNOW.

9. Haz clic en Agregar para agregar un plan de acción a una alerta.

Cuando se completa, la guía de procedimientos crea un ticket para un caso y lo completa automáticamente con la información del caso.

Agregar una guía a una sola alerta dentro de un caso es suficiente para crear un ticket y activar la sincronización de datos.

¿Qué sigue?

• Obtén más información para determinar la propiedad de los resultados de la postura.

• Obtén más información para agrupar los resultados en casos.

• Obtén información para asignar tickets según los casos de postura.