Intégrer Security Command Center Enterprise aux systèmes de suivi des demandes

Ce document explique comment intégrer le niveau Enterprise de Security Command Center aux systèmes de billetterie après avoir configuré la fonctionnalité d'orchestration de la sécurité, d'automatisation et de réponse (SOAR) fournie par Google Security Operations.

L'intégration des systèmes de billetterie est facultative et nécessite une configuration manuelle. Si vous utilisez la configuration de Security Command Center Enterprise par défaut, vous n'avez pas besoin de suivre cette procédure. Vous pourrez intégrer un système de suivi des demandes à tout moment et ultérieurement.

Présentation

Vous pouvez suivre les résultats à l'aide de la console et des API avec la configuration par défaut de Security Command Center Enterprise. Si votre organisation utilise des systèmes de tickets pour suivre les problèmes, intégrez Jira ou ServiceNow après avoir configuré votre instance Google Security Operations.

Après avoir reçu des résultats concernant des ressources, le connecteur de résultats de stratégie urgente SCC Enterprise analyse et filtre les résultats lors de l'ingestion, puis les regroupe dans des demandes nouvelles ou existantes, en fonction du type de résultat.

Si vous intégrez un système de suivi des demandes, Security Command Center crée une demande d'assistance chaque fois qu'une demande est créée pour les résultats. Security Command Center met automatiquement à jour la demande associée chaque fois qu'une demande est mise à jour.

Un même cas peut contenir plusieurs résultats. Security Command Center crée une demande pour chaque demande, et synchronise le contenu et les informations de la demande avec la demande correspondante pour indiquer aux responsables des demandes les mesures à prendre.

La synchronisation entre une demande et sa demande fonctionne dans les deux sens:

• Les modifications apportées à une demande, telles qu'une mise à jour de l'état ou un nouveau commentaire, sont automatiquement répercutées dans la demande associée.

• De même, les détails de la demande sont synchronisés avec la demande, en les enrichissant avec les informations du système de billetterie.

Avant de commencer

Avant de configurer Jira ou ServiceNow, indiquez une adresse e-mail valide pour le paramètre Propriétaire de remplacement dans le connecteur SCC Enterprise – Urgent Posture Findings et assurez-vous que cette adresse e-mail peut être attribuée dans votre système de demande d'assistance.

Intégrer à Jira

Veillez à effectuer toutes les étapes d'intégration pour synchroniser les mises à jour de la demande avec les problèmes Jira et assurez-vous que le flux de playbook est correct.

Une priorité de demande est reflétée dans le champ Gravité du problème de Jira.

Créer un projet dans Jira

Pour créer un projet dans Jira pour les problèmes liés à Security Command Center Enterprise appelé SCCE Enterprise Project (Projet SCC Enterprise), exécutez une action manuelle dans la demande. Vous pouvez utiliser n'importe quel cas existant ou en simuler un. Pour en savoir plus sur la simulation de cas, consultez la page Simuler des cas dans la documentation Google SecOps.

Pour créer un projet Jira, vous devez disposer d'identifiants d'administrateur Jira.

Pour créer un projet Jira, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Demandes.
2. Sélectionnez un cas existant ou celui que vous avez simulé.
3. Dans l'onglet Présentation de la demande, cliquez sur Action manuelle.
4. Dans le champ Rechercher de l'action manuelle, saisissez Create SCC Enterprise.
5. Dans les résultats de recherche sous l'intégration SCCEnterprise, sélectionnez l'action Create SCC Enterprise Cloud Posture Ticket Type Jira (Créer un type de ticket de stratégie cloud SCC Enterprise Jira). La fenêtre de dialogue s'ouvre.

6. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API de votre instance Jira, par exemple https://YOUR_DOMAIN_NAME.atlassian.net.

7. Pour configurer le paramètre Username (Nom d'utilisateur), saisissez le nom d'utilisateur avec lequel vous vous connectez à Jira en tant qu'administrateur.

8. Pour configurer le paramètre Password (Mot de passe), saisissez le mot de passe que vous utilisez pour vous connecter à Jira en tant qu'administrateur.

9. Pour configurer le paramètre API Token (Jeton d'API), saisissez le jeton d'API de votre compte administrateur Atlassian généré dans la console Jira.

10. Cliquez sur Exécuter. Attendez que l'action soit terminée.

Facultatif: Configurer une mise en page personnalisée des problèmes Jira

1. Connectez-vous à Jira en tant qu'administrateur.
2. Accédez à Projets > SCC Enterprise Project (SCCE).
3. Modifiez et réorganisez les champs des problèmes. Pour en savoir plus sur la gestion des champs de problème, consultez Configurer la mise en page des champs de problème dans la documentation de Jira.

Configurer l'intégration de Jira

1. Dans la console Opérations de sécurité, accédez à Réponse > Configuration des intégrations.
2. Sélectionnez l'environnement par défaut.
3. Dans le champ Rechercher de l'intégration, saisissez Jira. L'intégration Jira est renvoyée comme résultat de recherche.
4. Cliquez sur settings Configurer l'instance. La boîte de dialogue s'ouvre.

5. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API de votre instance Jira, par exemple https://YOUR_DOMAIN_NAME.atlassian.net.

6. Pour configurer le paramètre Username (Nom d'utilisateur), saisissez le nom d'utilisateur avec lequel vous vous connectez à Jira. N'utilisez pas vos identifiants d'administrateur.

7. Pour configurer le paramètre Jeton d'API, saisissez le jeton d'API de votre compte Atlassian non administrateur, généré dans la console Jira.

8. Cliquez sur Enregistrer.

9. Pour tester votre configuration, cliquez sur Tester.

Activer le playbook "Conclusions de la stratégie avec Jira"

1. Dans la console Opérations de sécurité, accédez à Réponse > Playbooks.
2. Dans la barre de recherche du playbook, saisissez Generic.
3. Sélectionnez le playbook Posture Findings - Generic (Résultats de la posture – Générique). Ce playbook est activé par défaut.
4. Activez le bouton pour désactiver le playbook.
5. Cliquez sur Enregistrer.
6. Dans la barre de recherche du playbook, saisissez Jira.
7. Sélectionnez le playbook Posture Findings With Jira (Résultats de la posture avec Jira). Ce playbook est désactivé par défaut.
8. Cliquez sur le bouton pour activer le playbook.
9. Cliquez sur Enregistrer.

Intégrer à ServiceNow

Veillez à effectuer toutes les étapes d'intégration pour synchroniser les mises à jour des demandes Google SecOps avec les demandes d'assistance ServiceNow, et assurez-vous que le flux de playbook est correct.

Créer et configurer un type de ticket personnalisé ServiceNow

Veillez à créer et à configurer le type de billet personnalisé ServiceNow. Activez l'onglet "Activités" dans l'interface utilisateur de ServiceNow, et évitez d'utiliser la mise en page erronée des billets.

Créer un type de ticket personnalisé ServiceNow

La création d'un type de demande ServiceNow personnalisé nécessite des identifiants d'administrateur ServiceNow.

Pour créer un type de billet personnalisé, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Demandes.
2. Sélectionnez un cas existant ou celui que vous avez simulé.
3. Dans l'onglet Présentation de la demande, cliquez sur Action manuelle.
4. Dans le champ Rechercher de l'action manuelle, saisissez Create SCC Enterprise.
5. Dans les résultats de recherche sous l'intégration SCCEnterprise, sélectionnez l'action Create SCC Enterprise Cloud Ticket Type SNOW. La fenêtre de dialogue s'ouvre.

6. Pour configurer le paramètre Racine de l'API, saisissez la racine API de votre instance ServiceNow, par exemple https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Pour configurer le paramètre Username, saisissez le nom d'utilisateur avec lequel vous vous connectez à ServiceNow en tant qu'administrateur.

8. Pour configurer le paramètre Password (Mot de passe), saisissez le mot de passe que vous utilisez pour vous connecter à ServiceNow en tant qu'administrateur.

9. Pour configurer le paramètre Table Role, laissez le champ vide ou indiquez une valeur si vous en avez une. Ce paramètre n'accepte qu'une seule valeur de rôle.

   Par défaut, le champ Rôle de la table est vide pour créer un rôle personnalisé dans ServiceNow afin de gérer spécifiquement les demandes d'assistance Security Command Center Enterprise. Seuls les utilisateurs de ServiceNow disposant de ce nouveau rôle personnalisé ont accès aux demandes d'assistance Security Command Center Enterprise.

   Si vous disposez déjà d'un rôle dédié pour les utilisateurs qui gèrent les incidents dans ServiceNow et que vous souhaitez l'utiliser pour gérer les résultats de Security Command Center Enterprise, saisissez le nom du rôle ServiceNow existant dans le champ Rôle de table. Par exemple, si vous fournissez la valeur incident_handler_role existante, tous les utilisateurs disposant du rôle incident_handler_role dans ServiceNow peuvent accéder aux demandes d'assistance Security Command Center Enterprise.

10. Cliquez sur Exécuter. Attendez que l'action soit terminée.

Configurer la mise en page personnalisée des demandes d'assistance pour ServiceNow

Pour vous assurer que l'interface utilisateur de ServiceNow affiche correctement les mises à jour liées aux demandes et aux commentaires associés, procédez comme suit:

1. Dans votre compte administrateur ServiceNow, accédez à l'onglet Tous.
2. Dans le champ Rechercher, saisissez SCC Enterprise.
3. Dans la liste déroulante, sélectionnez SCC Enterprise Cloud Posture Ticket (Demande de stratégie cloud d'entreprise SCC), puis effectuez une recherche.
4. Sélectionnez Posture Test Ticket (Demande de test de posture). La page de présentation des demandes ServiceNow s'ouvre.
5. Sur la page de mise en page de la demande ServiceNow, accédez à Autres actions > Configurer > Mise en page du formulaire.
6. Accédez à la section Vue et section du formulaire.
7. Dans le champ Section (Section), sélectionnez u_scc_enterprise_cloud_posture_ticket.
8. Cliquez sur Enregistrer. Une fois la page mise à jour, les champs du modèle de demande sont répartis dans deux colonnes.
9. Accédez à Actions supplémentaires > Configurer > Mise en page des formulaires.
10. Accédez à la section Vue et section du formulaire.
11. Dans le champ Section (Section), sélectionnez Summary (Résumé).
12. Cliquez sur Enregistrer. Une fois la page mise à jour, le modèle de demande présente la nouvelle structure récapitulative.

Configurer l'intégration de ServiceNow

1. Dans la console Opérations de sécurité, accédez à Réponse > Configuration des intégrations.
2. Sélectionnez l'environnement par défaut.
3. Dans le champ Rechercher de l'intégration, saisissez ServiceNow. L'intégration ServiceNow est renvoyée comme résultat de recherche.
4. Cliquez sur settings Configurer l'instance. La boîte de dialogue s'ouvre.

5. Pour configurer le paramètre Racine de l'API, saisissez la racine API de votre instance ServiceNow, par exemple https://INSTANCE_NAME.service-now.com/api/now/v1/.

6. Pour configurer le paramètre Username, saisissez le nom d'utilisateur avec lequel vous vous connectez à ServiceNow. N'utilisez pas vos identifiants d'administrateur.

7. Pour configurer le paramètre Password (Mot de passe), saisissez le mot de passe que vous utilisez pour vous connecter à ServiceNow. N'utilisez pas vos identifiants d'administrateur.

8. Cliquez sur Enregistrer.

9. Pour tester votre configuration, cliquez sur Tester.

Activer le playbook "Conclusions de la stratégie avec SNOW"

1. Dans la console Opérations de sécurité, accédez à Réponse > Playbooks.
2. Dans la barre de recherche du playbook, saisissez Generic.
3. Sélectionnez le playbook Posture Findings - Generic (Résultats de la posture – Générique). Ce playbook est activé par défaut.
4. Activez le bouton pour désactiver le playbook.
5. Cliquez sur Enregistrer.
6. Dans la barre de recherche du playbook, saisissez SNOW.
7. Sélectionnez le playbook Posture Findings With SNOW (Résultats de la posture avec la neige). Ce playbook est désactivé par défaut.
8. Cliquez sur le bouton pour activer le playbook.
9. Cliquez sur Enregistrer.

Activer la synchronisation des données de cas

Security Command Center synchronise automatiquement les informations entre une demande et sa demande d'assistance correspondante, ce qui garantit la mise en correspondance des priorités, des états, des commentaires et d'autres données pertinentes entre une demande et sa demande.

Pour synchroniser les données de cas, Security Command Center utilise des processus automatiques internes appelés "tâches de synchronisation". Les tâches Sync SCC-Jira Tickets et Sync SCC-ServiceNow Tickets synchronisent les données des demandes entre Security Command Center et les systèmes de gestion des demandes intégrés. Les deux tâches sont initialement désactivées et nécessitent que vous les activiez pour lancer la synchronisation automatique des données de cas.

La clôture d'une demande résout automatiquement la demande correspondante. La résolution d'un ticket dans Jira ou ServiceNow déclenche également la clôture des tâches de synchronisation.

Avant de commencer

Pour activer la synchronisation des cas, vous devez disposer de l'un des rôles SOC suivants dans la console Opérations de sécurité:

• Administrateur
• Gestionnaire de failles
• Gestionnaire de menaces

Pour en savoir plus sur les rôles SOC dans la console Opérations de sécurité et sur les autorisations requises pour les utilisateurs, consultez la section Contrôler l'accès aux fonctionnalités dans la console Opérations de sécurité.

Activer la synchronisation pour les systèmes de gestion des demandes d'assistance

Pour vous assurer que les informations dans les demandes et les demandes sont synchronisées automatiquement, activez la tâche de synchronisation pertinente pour le système de suivi des demandes que vous avez intégré.

Pour activer le job de synchronisation, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Réponse > Job Scheduler.

2. Sélectionnez le job de synchronisation approprié:

   • Si vous avez intégré Jira, sélectionnez la tâche Sync SCC-Jira Tickets (Synchroniser SCC-Jira Tickets).

   • Si vous avez intégré ServiceNow, sélectionnez la tâche Sync SCC-ServiceNow Tickets (Synchroniser SCC-ServiceNow Tickets).

3. Activez le job sélectionné à l'aide du bouton.

4. Cliquez sur Save (Security Command Center) pour activer la synchronisation automatique des données de demande avec un système de billetterie.

Créer des demandes d'assistance pour des demandes existantes

Security Command Center ne crée automatiquement des demandes que pour les demandes ouvertes après l'intégration d'un système de suivi des demandes. De plus, il n'associe pas rétroactivement de nouveaux playbooks aux alertes existantes. Pour créer des demandes d'assistance pour des demandes ouvertes avant leur intégration à un système de suivi des demandes, utilisez l'une des approches suivantes:

• Clôturez une demande sans ticket et attendez que SCC réintègre les résultats et attribue un nouveau playbook aux alertes de cas.

• Ajoutez manuellement un playbook à toute alerte dans un dossier ouvert avant l'intégration à un système de suivi des demandes.

Clôturer une demande sans ticket

Pour clôturer une demande qui n'est associée à aucun ticket, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Demandes.

2. Cliquez sur Ouvrir le filtre. Le panneau Filtre de la file d'attente des cas s'ouvre.

3. Dans le filtre de file d'attente des demandes, spécifiez les éléments suivants:

   1. Dans le champ Période, indiquez la période pour les demandes en cours.
   2. Définissez l'opérateur logique sur AND.
   3. Pour la première valeur sous Opérateur logique, sélectionnez Tags.
   4. Définissez la condition sur IS.
   5. Pour la deuxième valeur, sélectionnez Internal-SCC-Ticket-Info.
   6. Cliquez sur Apply (Appliquer) pour mettre à jour les demandes dans la file d'attente et n'afficher que celles qui correspondent au filtre que vous avez spécifié.

4. Dans la file d'attente, sélectionnez la demande.

5. Dans la vue de la demande, sélectionnez Fermer la demande. La fenêtre Fermer la demande s'ouvre.

6. Dans la fenêtre Fermer la demande, spécifiez les informations suivantes:

   1. Sélectionnez une valeur dans le champ Motif afin d'indiquer le motif de clôture de la demande.

   2. Dans le champ Cause, indiquez la cause de la clôture de la demande.

   3. Facultatif: Ajoutez un commentaire.

   4. Cliquez sur Fermer pour clôturer la demande. Security Command Center réingère ensuite les résultats dans un nouveau dossier et y associe automatiquement un playbook approprié.

Ajouter manuellement un playbook à une alerte

Pour associer manuellement un playbook à une alerte dans une demande existante, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Demandes.

2. Cliquez sur Ouvrir le filtre. Le panneau Filtre de la file d'attente des cas s'ouvre.

3. Dans le filtre de file d'attente des demandes, spécifiez les éléments suivants:

   1. Dans le champ Période, indiquez la période pour les demandes en cours.
   2. Définissez l'opérateur logique sur AND.
   3. Pour la première valeur sous Opérateur logique, sélectionnez Tags.
   4. Définissez la condition sur IS.
   5. Pour la deuxième valeur, sélectionnez Internal-SCC-Ticket-Info.
   6. Cliquez sur Apply (Appliquer) pour mettre à jour les demandes dans la file d'attente et n'afficher que celles qui correspondent au filtre que vous avez spécifié.

4. Dans la file d'attente, sélectionnez la demande.

5. Sélectionnez une alerte contenue dans un cas.

6. Dans une vue d'alerte, accédez à l'onglet Playbooks.

7. Cliquez sur add Add Playbook (Ajouter un playbook). La fenêtre Add a Playbook (Ajouter un playbook) contenant la liste des playbooks disponibles s'affiche.

8. Dans le champ de recherche de la fenêtre Add a Playbook (Ajouter un playbook), saisissez Posture Findings.

   • Si vous avez intégré Jira, sélectionnez le playbook Posture Findings With Jira.
   • Si vous avez intégré ServiceNow, sélectionnez le playbook Posture Findings With SNOW (Résultats de la stratégie avec SNOW).

9. Cliquez sur Ajouter pour ajouter un playbook à une alerte.

Une fois l'opération terminée, le playbook crée une demande pour une demande et la remplit automatiquement avec les informations de la demande.

L'ajout d'un playbook à une seule alerte au sein d'un cas suffit pour créer une demande et déclencher la synchronisation des données.

Étapes suivantes

• Découvrez comment déterminer la propriété des résultats de stratégie.

• Découvrez comment regrouper les résultats par cas.

• Découvrez comment attribuer des demandes d'assistance en fonction des cas de stratégie.