将 Security Command Center Enterprise 与服务工单系统集成

本文档介绍了如何集成 Security Command Center 的企业层级 在配置安全编排、自动化 响应 (SOAR)。

与票务系统集成是可选的,并且需要手动配置。如果您使用默认的 Security Command Center Enterprise 配置,则无需执行此过程。您可以 与工单系统集成。

概览

您可以使用控制台和 API 跟踪发现结果,并采用默认的 Security Command Center 企业版配置。如果贵组织使用工单系统来跟踪问题,请在配置 Google 安全运营实例后与 Jira 或 ServiceNow 集成。

收到资源的发现结果后,SCC Enterprise - Urgent Posture Findings 连接器会对其进行分析,并将其分组为新案例或现有案例,具体取决于发现结果类型。

如果您与服务工单系统集成,Security Command Center 每次为发现结果创建新支持请求时都会创建新的工单。每当有支持请求更新时,Security Command Center 都会自动更新相关工单。

一个支持请求可以包含多个发现。Security Command Center 为每个支持请求创建一个工单,并同步支持请求内容 以及相应的工单信息,让工单分配对象知道 修复。

支持请求与其工单之间的同步是双向的:

  • 支持请求中的更改(例如状态更新或新评论) 会自动反映在关联的工单中。

  • 同样,工单详情会同步回工单,并使用工单系统中的信息丰富工单。

准备工作

在配置 Jira 或 ServiceNow 之前,请先提供有效的电子邮件地址 SCC Enterprise 中的后备所有者参数 Urgent Posture Findings Connector,并确保此电子邮件可分配 。

与 Jira 集成

确保完成所有集成步骤以同步支持请求 更新 Jira 问题,并确保采用正确的 playbook 流程。

支持请求优先级会反映在 Jira 问题严重性中。

在 Jira 中创建新项目

如需在 Jira 中为 Security Command Center Enterprise 问题创建一个名为 SCC Enterprise Project (SCCE) 的新项目,请在支持请求中运行手动操作。您 可以使用任何现有案例或模拟一个案例。如需详细了解如何模拟 请参阅模拟案例 页面。

创建新的 Jira 项目需要 Jira 管理员级凭据。

如需创建新的 Jira 项目,请完成以下步骤:

  1. 在 Security Operations 控制台中,前往案例
  2. 选择一个现有支持请求或您模拟的支持请求。
  3. 支持请求概览标签页中,点击手动操作
  4. 在人工处置措施搜索字段中,输入 Create SCC Enterprise
  5. SCCEnterprise 集成下的搜索结果中,选择 创建 SCC Enterprise Cloud Posture 工单类型 Jira 操作。系统随即会打开对话框窗口。

  6. 如需配置 API Root 参数,请输入 Jira 实例的 API 根,例如 https://YOUR_DOMAIN_NAME.atlassian.net

  7. 如需配置 Username 参数,请输入您用来以管理员身份登录 Jira 的用户名。

  8. 要配置密码参数,请输入您在 以管理员身份登录 Jira。

  9. 要配置 API 令牌参数,请输入您 API 的 API 令牌 在 Jira 控制台中生成的 Atlassian 管理员账号。

  10. 点击 Execute。等待操作完成。

可选:配置自定义 Jira 问题布局

  1. 以管理员身份登录 Jira。
  2. 转到项目 > SCC Enterprise 项目 (SCCE)
  3. 调整和重新排列问题字段。如需详细了解如何管理问题字段, 请参阅 Jira 文档中的配置问题字段布局

配置 Jira 集成

  1. 在 Security Operations 控制台中,前往 响应 > 集成设置
  2. 选择默认环境
  3. 在集成 Search 字段中,输入 JiraJira 集成会作为搜索结果返回。
  4. 点击 Configure Instance(配置实例)。 系统随即会打开对话框窗口。

  5. 如需配置 API Root 参数,请输入 Jira 实例的 API 根,例如 https://YOUR_DOMAIN_NAME.atlassian.net

  6. 如需配置用户名参数,请输入您用于登录 Jira 的用户名。请勿使用您的管理员凭据。

  7. 要配置 API 令牌参数,请输入您 API 的 API 令牌 在 Jira 控制台中生成的非管理员 Atlassian 账号。

  8. 点击保存

  9. 如需测试配置,请点击 Test

使用 Jira 手册启用“安全状况发现”

  1. 在 Security Operations 控制台中,转到响应 > playbook
  2. 在 playbook 搜索栏中,输入 Generic
  3. 选择 Posture Findings - Generic 手册。此 playbook 已启用 默认情况。
  4. 将切换开关切换为停用 playbook
  5. 点击保存
  6. 在 Playbook 搜索栏中,输入 Jira
  7. 选择 Posture Findings With Jira playbook。此 playbook 已停用 默认情况。
  8. 将开关切换为启用 playbook
  9. 点击保存

与 ServiceNow 集成

请务必完成所有集成步骤,以便将 Google SecOps 支持请求的更新与 ServiceNow 工单同步,并确保正确的 Playbook 流程。

创建和配置 ServiceNow 自定义票券类型

请务必创建并配置 ServiceNow 自定义票券类型 在 ServiceNow 界面中启用“活动”标签页,并避免使用错误的 票券布局。

创建 ServiceNow 自定义工单类型

若要创建自定义 ServiceNow 工单类型,您需要拥有 ServiceNow 管理员级凭据。

如需创建自定义票券类型,请完成以下步骤:

  1. 在 Security Operations 控制台中,前往案例
  2. 选择一个现有支持请求或您模拟的支持请求。
  3. 支持请求概览标签页中,点击手动操作
  4. 在手动操作 Search(搜索)字段中,输入 Create SCC Enterprise
  5. SCCEnterprise 集成下的搜索结果中,选择 创建 SCC Enterprise Cloud Posture 工单类型 SNOW 操作。对话框 窗口。

  6. 如需配置 API Root 参数,请输入 ServiceNow 实例的 API 根,例如 https://INSTANCE_NAME.service-now.com/api/now/v1/

  7. 要配置用户名参数,请输入您在登录 以管理员身份登录 ServiceNow

  8. 如需配置 Password 参数,请输入您用来以管理员身份登录 ServiceNow 的密码。

  9. 如需配置 Table Role 参数,请将该字段留空,或者提供值(如果有)。此参数仅接受一个角色值。

    默认情况下,表角色字段为空,可以在其中创建新的自定义角色 ServiceNow 专门管理 Security Command Center Enterprise 工单。 只有被授予了这个新自定义角色的 ServiceNow 用户才有权访问 Security Command Center Enterprise 工单。

    如果您已为在 ServiceNow 中管理服务工单的用户创建专用角色,并且希望使用此角色来管理 Security Command Center Enterprise 发现结果,请在表格角色字段中输入现有的 ServiceNow 角色名称。例如,如果您提供现有的 incident_handler_role 值,则在 ServiceNow 中被授予 incident_handler_role 角色的所有用户都可以访问 Security Command Center Enterprise 工单。

  10. 点击 Execute。等待操作完成。

配置 ServiceNow 自定义工单布局

确保 ServiceNow 界面准确显示与支持请求相关的更新 和案例评论,请完成以下步骤:

  1. 在您的 ServiceNow 管理员账号中,转到全部标签页。
  2. 搜索字段中,输入 SCC Enterprise
  3. 在下拉列表中,选择 SCC Enterprise Cloud Posture Ticket,然后运行搜索。
  4. 选择 Posture Test Ticket(安全状况测试工单)。系统随即会打开 ServiceNow 工单布局页面。
  5. 在 ServiceNow 工单布局页面上,依次选择其他操作 > 配置 > 表单布局
  6. 前往表单视图和部分部分。
  7. Section(部分)字段中,选择 u_scc_enterprise_cloud_posture_ticket
  8. 点击保存。页面更新后,工单模板中的字段会分布在两列中。
  9. 转到其他操作 > 配置 > 表单布局
  10. 转到表单视图和部分部分。
  11. 版块字段中,选择摘要
  12. 点击保存。页面更新后,工单模板将采用新的摘要结构。

配置 ServiceNow 集成

  1. 在 Security Operations 控制台中,转到响应 > 集成 设置
  2. 选择默认环境
  3. 在集成 Search 字段中,输入 ServiceNowServiceNow 集成会作为搜索结果返回。
  4. 点击 Configure Instance。 系统随即会打开对话框窗口。

  5. 如需配置 API Root 参数,请输入 ServiceNow 实例的 API 根,例如 https://INSTANCE_NAME.service-now.com/api/now/v1/

  6. 如需配置用户名参数,请输入您用于登录 ServiceNow 的用户名。请勿使用您的管理员凭据。

  7. 如需配置密码参数,请输入您用于登录 ServiceNow 的密码。请勿使用您的管理员凭据。

  8. 点击保存

  9. 如需测试配置,请点击 Test

启用“使用 SNOW 获取状况发现结果”手册

  1. 在安全运营控制台中,依次选择响应 > 预设响应方案
  2. 在 playbook 搜索栏中,输入 Generic
  3. 选择 Posture Findings - Generic 手册。此 playbook 已启用 默认情况。
  4. 将切换开关切换为停用 playbook
  5. 点击保存
  6. 在 Playbook 搜索栏中,输入 SNOW
  7. 选择 Posture Findings With SNOW 手册。此 playbook 已停用 默认情况。
  8. 将开关切换为启用 playbook
  9. 点击保存

启用支持请求数据同步

Security Command Center 会自动同步支持请求之间的信息 及其相应的工单,确保优先级、状态、评论和 支持请求与其工单之间的其他相关数据

Security Command Center 使用内部自动化流程来同步支持请求数据 称为同步作业Sync SCC-Jira TicketsSync SCC-ServiceNow Tickets 作业可在 Security Command Center 和集成的工单系统之间同步支持请求数据。这两个作业最初处于停用状态,您需要启用它们才能启动自动支持请求数据同步。

关闭支持请求会自动解决相应的工单。在 Jira 或 ServiceNow 中解决工单也会触发同步作业来关闭支持请求。

准备工作

如需启用支持请求同步,您必须在安全运营控制台中获得以下 SOC 角色中的任一角色:

  • 管理员
  • 漏洞管理器
  • 威胁管理器

有关 Security Operations 控制台中的 SOC 角色和权限的更多详细信息 请参阅控制对 Google Cloud 中功能的访问权限 Security Operations 控制台

为票务系统启用同步

为了确保系统可以自动获取支持请求和工单中的信息 已同步,请启用与工单相关的同步作业 与您集成的系统

如需启用同步作业,请完成以下步骤:

  1. 在 Security Operations 控制台中,转到响应 > 作业 Scheduler

  2. 选择正确的同步作业:

    • 如果您已与 Jira 集成,请选择 Sync SCC-Jira Tickets 作业。

    • 如果您已与 ServiceNow 集成,请选择同步 SCC-ServiceNow 工单 作业。

  3. 切换开关以启用所选作业。

  4. 点击保存,使 Security Command Center 自动同步案例 数据与工单系统相关联。

为现有支持请求创建工单

Security Command Center 仅会为您与服务工单系统集成后创建的支持请求自动创建工单,不会将新的 Playbook 回溯性地附加到现有提醒。为之前开设的案例创建工单 与票务系统集成,请使用以下方法之一:

  • 了结没有工单的支持请求,然后等待 SCC 重新注入发现结果,然后 为支持请求提醒分配新的 playbook。

  • 针对在您之前已打开的案例中的任何提醒中手动添加 playbook 与票务系统集成。

了结没有工单的案例

如需关闭没有工单的支持请求,请完成以下步骤:

  1. 在 Security Operations 控制台中,前往案例

  2. 点击 打开过滤器支持请求队列过滤条件面板随即会打开。

  3. 支持请求队列过滤条件中,指定以下内容:

    1. 时间范围字段中,指定未结支持请求的时间段。
    2. 逻辑运算符设置为 AND
    3. 对于逻辑运算符下的第一个值,选择代码
    4. 将条件设置为展示次数份额
    5. 对于第二个值,请选择 Internal-SCC-Ticket-Info
    6. 点击应用以更新支持请求队列中的支持请求,并仅显示与您指定的过滤条件匹配的支持请求。

  4. 从支持请求队列中选择支持请求。

  5. “支持请求”视图中,选择 了结支持请求。系统会打开关闭支持请求窗口。

  6. Close Case 窗口中,指定以下内容:

    1. 原因字段选择一个值,说明关闭支持请求的原因。

    2. 为“根本原因”字段选择一个值,以说明出现以下错误的原因 关闭案例

    3. 可选:添加评论。

    4. 点击关闭可关闭案例。然后访问 Security Command Center 将发现结果重新提取到新案例中,并自动附加正确的 策略方案

手动向提醒添加 Playbook

如需手动将 playbook 附加到现有支持请求中的提醒,请完成 操作步骤:

  1. 在 Security Operations 控制台中,前往案例

  2. 点击 打开过滤器支持请求队列过滤条件面板随即会打开。

  3. 支持请求队列过滤条件中,指定以下内容:

    1. 时间范围字段中,指定未结支持请求的时间段。
    2. 逻辑运算符设置为 AND
    3. 对于逻辑运算符下的第一个值,选择代码
    4. 将条件设置为展示次数份额
    5. 对于第二个值,请选择 Internal-SCC-Ticket-Info
    6. 点击应用以更新支持请求队列中的支持请求,并仅显示与您指定的过滤条件匹配的支持请求。

  4. 从支持请求队列中选择相应支持请求。

  5. 选择案例中包含的任何提醒。

  6. 在提醒视图中,前往手册标签页。

  7. 点击添加“添加 Playbook”。 系统会显示 Add a Playbook 窗口,其中包含可用 playbook 的列表。

  8. 添加 Playbook 窗口的搜索字段中,输入 Posture Findings

    • 如果您已与 Jira 集成,请选择 Posture Findings With Jira playbook。
    • 如果您已与 ServiceNow 集成,请选择安全状况发现结果 SNOW 使用指南。

  9. 点击添加,将操作手册添加到提醒。

完成后,该手册会为支持请求创建工单,并自动 使用案例中的信息填充工单。

将 playbook 添加到案例内的单个提醒中就足以创建 工单并触发数据同步。

后续步骤