Integrare Security Command Center Enterprise con i sistemi di ticketing

Questo documento spiega come integrare il livello Enterprise di Security Command Center con i sistemi di ticketing dopo aver configurato l'organizzazione della sicurezza, l'automazione e la risposta (SOAR).

L'integrazione con i sistemi di vendita di biglietti è facoltativa e richiede la configurazione manuale. Se utilizzi la configurazione predefinita di Security Command Center Enterprise, non devi eseguire questa procedura. Puoi integrarti con un sistema di vendita di biglietti in qualsiasi momento in un secondo momento.

Panoramica

Puoi monitorare i risultati utilizzando la console e le API con la configurazione predefinita di Security Command Center Enterprise. Se la tua organizzazione utilizza sistemi di ticketing per monitorare i problemi, esegui l'integrazione con Jira o ServiceNow dopo aver configurato l'istanza di Google Security Operations.

Una volta ricevuti i risultati per le risorse, il connettore SCC Enterprise - Urgent Posture Findings li analizza e li raggruppa in casi nuovi o esistenti, a seconda del tipo di risultato.

Se esegui l'integrazione con un sistema di ticketing, Security Command Center crea un nuovo ticket ogni volta che crea una nuova richiesta per i risultati. Security Command Center aggiorna automaticamente il ticket correlato ogni volta che viene aggiornata una richiesta.

Una singola richiesta può contenere più risultati. Security Command Center crea un ticket per ogni richiesta e sincronizza i contenuti e le informazioni della richiesta con il ticket corrispondente per comunicare agli assegnatari del ticket cosa fare per risolvere il problema.

La sincronizzazione tra una richiesta e il relativo ticket funziona in entrambi i modi:

• Le modifiche all'interno di una richiesta, ad esempio un aggiornamento dello stato o un nuovo commento, vengono comunicate automaticamente al ticket associato.

• Analogamente, i dettagli della richiesta vengono sincronizzati nuovamente con la richiesta, arricchendola con le informazioni del sistema di ticketing.

Prima di iniziare

Prima di configurare Jira o ServiceNow, fornisci un indirizzo email valido per il parametro Proprietario di riserva in SCC Enterprise - Connector per i risultati relativi alla posizione urgente e assicurati che questo indirizzo email sia assegnabile nel tuo sistema di ticketing.

Eseguire l'integrazione con Jira

Assicurati di completare tutti i passaggi di integrazione per sincronizzare gli aggiornamenti della richiesta con i problemi di Jira e assicurarti il corretto flusso del playbook.

La priorità della richiesta si riflette nella gravità del problema di Jira.

Creare un nuovo progetto in Jira

Per creare un nuovo progetto in Jira per i problemi di Security Command Center Enterprise chiamato SCC Enterprise Project (SCCE), esegui un'azione manuale nella richiesta. Puoi utilizzare qualsiasi richiesta esistente o simularne una. Per ulteriori informazioni sulla simulazione delle richieste, consulta la pagina Simulare richieste nella documentazione di Google SecOps.

Per creare un nuovo progetto Jira sono necessarie credenziali a livello di amministratore di Jira.

Per creare un nuovo progetto Jira:

1. Nella console Security Operations, vai a Cases.
2. Seleziona una richiesta esistente o quella che hai simulato.
3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
4. Nel campo dell'azione manuale Cerca, inserisci Create SCC Enterprise.
5. Nei risultati di ricerca dell'integrazione SCCEnterprise, seleziona l'azione Crea tipo di ticket Jira per la posizione cloud di SCC Enterprise. Viene visualizzata la finestra di dialogo.

6. Per configurare il parametro API Root, inserisci la radice dell'API della tua istanza Jira, ad esempio https://YOUR_DOMAIN_NAME.atlassian.net

7. Per configurare il parametro Nome utente, inserisci il nome utente che utilizzi per accedere a Jira come amministratore.

8. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a Jira come amministratore.

9. Per configurare il parametro Token API, inserisci il token API del tuo account amministratore Atlassian generato nella console di Jira.

10. Fai clic su Execute (Esegui). Attendi il completamento dell'azione.

(Facoltativo) Configura il layout personalizzato dei problemi Jira

1. Accedi a Jira come amministratore.
2. Vai a Progetti > Progetto SCC Enterprise (SCCE).
3. Modifica e riordina i campi dei problemi. Per ulteriori dettagli sulla gestione dei campi dei problemi, consulta Configurazione del layout dei campi dei problemi nella documentazione di Jira.

Configurare l'integrazione di Jira

1. Nella console Security Operations, vai a Risposta > Configurazione delle integrazioni.
2. Seleziona l'ambiente predefinito.
3. Nel campo Cerca dell'integrazione, inserisci Jira. L'integrazione di Jira viene restituita come risultato di ricerca.
4. Fai clic su settings Configura istanza. Si apre la finestra di dialogo.

5. Per configurare il parametro API Root, inserisci la radice dell'API della tua istanza Jira, ad esempio https://YOUR_DOMAIN_NAME.atlassian.net

6. Per configurare il parametro Nome utente, inserisci il nome utente che utilizzi per accedere a Jira. Non utilizzare le tue credenziali di amministratore.

7. Per configurare il parametro Token API, inserisci il token API del tuo account Atlassian non amministratore generato nella console di Jira.

8. Fai clic su Salva.

9. Per testare la configurazione, fai clic su Test.

Attivare il playbook Risultati relativi alla posizione con Jira

1. Nella console Security Operations, vai a Risposta > Playbook.
2. Nella barra di ricerca del playbook, inserisci Generic.
3. Seleziona il playbook Posture Findings - Generic. Questo playbook è attivo per impostazione predefinita.
4. Imposta l'opzione su Disattiva il playbook.
5. Fai clic su Salva.
6. Nella barra di ricerca del playbook, inserisci Jira.
7. Seleziona il playbook Posture Findings With Jira. Questo playbook è disattivato per impostazione predefinita.
8. Attiva l'opzione per abilitare il playbook.
9. Fai clic su Salva.

Eseguire l'integrazione con ServiceNow

Assicurati di completare tutti i passaggi di integrazione per sincronizzare gli aggiornamenti delle richieste Google SecOps con i ticket ServiceNow e assicurarti il corretto flusso del playbook.

Creare e configurare il tipo di ticket personalizzato di ServiceNow

Assicurati di creare e configurare il tipo di ticket personalizzato ServiceNow, attivare la scheda Attività nell'interfaccia utente di ServiceNow ed evitare di utilizzare il layout del ticket errato.

Creare un tipo di ticket personalizzato di ServiceNow

La creazione di un tipo di ticket ServiceNow personalizzato richiede le credenziali di livello amministrativo di ServiceNow.

Per creare un tipo di ticket personalizzato:

1. Nella console Security Operations, vai a Cases.
2. Seleziona una richiesta esistente o quella che hai simulato.
3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
4. Nel campo dell'azione manuale Cerca, inserisci Create SCC Enterprise.
5. Nei risultati di ricerca dell'integrazione SCCEnterprise, seleziona l'azione Crea tipo di ticket per la posizione cloud di SCC Enterprise SNOW. Viene visualizzata la finestra di dialogo.

6. Per configurare il parametro API Root, inserisci la radice dell'API della tua istanza ServiceNow, ad esempio https://INSTANCE_NAME.service-now.com/api/now/v1/

7. Per configurare il parametro Nome utente, inserisci il nome utente che utilizzi per accedere a ServiceNow come amministratore.

8. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a ServiceNow come amministratore.

9. Per configurare il parametro Ruolo tabella, lascia vuoto il campo o fornisci un valore, se disponibile. Questo parametro accetta un solo valore del ruolo.

   Per impostazione predefinita, il campo Table Role (Ruolo tabella) è vuoto per creare un nuovo ruolo personalizzato in ServiceNow per gestire specificamente i ticket di Security Command Center Enterprise. Solo gli utenti di ServiceNow a cui è stato concesso questo nuovo ruolo personalizzato hanno accesso ai ticket di Security Command Center Enterprise.

   Se disponi già di un ruolo dedicato per gli utenti che gestiscono gli incidenti in ServiceNow e vuoi utilizzarlo per gestire i risultati di Security Command Center Enterprise, inserisci il nome del ruolo ServiceNow esistente nel campo Ruolo tabella. Ad esempio, se fornisci il valore incident_handler_role esistente, tutti gli utenti a cui è stato assegnato il ruolo incident_handler_role in ServiceNow possono accedere ai ticket di Security Command Center Enterprise.

10. Fai clic su Execute (Esegui). Attendi il completamento dell'azione.

Configurare il layout dei ticket personalizzati di ServiceNow

Per assicurarti che l'interfaccia utente di ServiceNow mostri con precisione gli aggiornamenti relativi alle richieste e ai commenti, svolgi i seguenti passaggi:

1. Nel tuo account amministratore ServiceNow, vai alla scheda Tutti.
2. Nel campo Cerca, inserisci SCC Enterprise.
3. Nell'elenco a discesa, seleziona SCC Enterprise Cloud Posture Ticket e esegui una ricerca.
4. Seleziona il ticket del test della postura. Si apre la pagina del layout dei ticket di ServiceNow.
5. Nella pagina del layout dei ticket di ServiceNow, vai ad Azioni aggiuntive > Configura > Layout modulo.
6. Vai alla sezione Visualizzazione e sezione del modulo.
7. Nel campo Sezione, seleziona u_scc_enterprise_cloud_posture_ticket.
8. Fai clic su Salva. Dopo l'aggiornamento della pagina, il modello di ticket ha i campi distribuiti in due colonne.
9. Vai a Azioni aggiuntive > Configura > Layout del modulo.
10. Vai alla sezione Visualizzazione e sezione del modulo.
11. Nel campo Sezione, seleziona Riepilogo.
12. Fai clic su Salva. Dopo l'aggiornamento della pagina, il modello di ticket avrà la nuova struttura Riepilogo.

Configurare l'integrazione di ServiceNow

1. Nella console Security Operations, vai a Risposta > Configurazione delle integrazioni.
2. Seleziona l'ambiente predefinito.
3. Nel campo Cerca dell'integrazione, inserisci ServiceNow. L'integrazione di ServiceNow viene restituita come risultato di ricerca.
4. Fai clic su settings Configura istanza. Si apre la finestra di dialogo.

5. Per configurare il parametro API Root, inserisci la radice dell'API della tua istanza ServiceNow, ad esempio https://INSTANCE_NAME.service-now.com/api/now/v1/

6. Per configurare il parametro Nome utente, inserisci il nome utente che utilizzi per accedere a ServiceNow. Non utilizzare le tue credenziali di amministratore.

7. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a ServiceNow. Non utilizzare le tue credenziali di amministratore.

8. Fai clic su Salva.

9. Per testare la configurazione, fai clic su Test.

Attivare il playbook Risultati relativi alla posizione con SNOW

1. Nella console Security Operations, vai a Risposta > Playbook.
2. Nella barra di ricerca del playbook, inserisci Generic.
3. Seleziona il playbook Posture Findings - Generic. Questo playbook è attivo per impostazione predefinita.
4. Imposta l'opzione su Disattiva il playbook.
5. Fai clic su Salva.
6. Nella barra di ricerca del playbook, inserisci SNOW.
7. Seleziona la guida pratica Posture Findings With SNOW. Questo playbook è disattivato per impostazione predefinita.
8. Attiva l'opzione per abilitare il playbook.
9. Fai clic su Salva.

Attivare la sincronizzazione dei dati delle richieste

Security Command Center sincronizza automaticamente le informazioni tra una richiesta e il relativo ticket, garantendo la corrispondenza di priorità, stato, commenti e altri dati pertinenti tra una richiesta e il relativo ticket.

Per sincronizzare i dati delle richieste, Security Command Center utilizza processi automatici interni chiamati job di sincronizzazione. I job Sync SCC-Jira Tickets e Sync SCC-ServiceNow Tickets sincronizzano i dati delle richieste tra Security Command Center e i sistemi di gestione dei ticket integrati. Entrambi i job sono inizialmente disattivati e richiedono di essere attivati per avviare la sincronizzazione automatica dei dati delle richieste.

La chiusura di una richiesta risolve automaticamente il ticket corrispondente. La risoluzione di un ticket in Jira o ServiceNow attiva anche i job di sincronizzazione per chiudere la richiesta.

Prima di iniziare

Per attivare la sincronizzazione delle richieste, devi disporre di uno dei seguenti ruoli SOC nella console Security Operations:

• Amministratore
• Vulnerability Manager
• Gestore delle minacce

Per ulteriori dettagli sui ruoli SOC nella console Security Operations e sulle autorizzazioni richieste per gli utenti, consulta Controllare l'accesso alle funzionalità nella console Security Operations.

Attivare la sincronizzazione per i sistemi di ticketing

Per assicurarti che le informazioni nelle richieste e nei ticket vengano sincronizzate automaticamente, attiva il job di sincronizzazione pertinente al sistema di ticketing con cui hai eseguito l'integrazione.

Per attivare il job di sincronizzazione, completa i seguenti passaggi:

1. Nella console Security Operations, vai a Risposta > Schedulatore compiti.

2. Scegli il job di sincronizzazione corretto:

   • Se hai eseguito l'integrazione con Jira, seleziona il job Sincronizza ticket SCC-Jira.

   • Se hai eseguito l'integrazione con ServiceNow, seleziona il job Sincronizza richieste SCC-ServiceNow.

3. Attiva l'opzione di attivazione/disattivazione per attivare il job selezionato.

4. Fai clic su Salva per consentire a Security Command Center di sincronizzare automaticamente i dati delle richieste con un sistema di ticketing.

Creare ticket per le richieste esistenti

Security Command Center crea automaticamente i ticket solo per le richieste aperte dopo l'integrazione con un sistema di ticketing e non allega in modo retroattivo nuovi playbook agli avvisi esistenti. Per creare ticket per le richieste aperte prima dell'integrazione con un sistema di ticketing, utilizza uno dei seguenti approcci:

• Chiudi una richiesta senza ticket e attendi che SCC importi nuovamente i risultati e assegni un nuovo playbook agli avvisi della richiesta.

• Aggiungi manualmente un playbook a qualsiasi avviso in una richiesta aperta prima dell'integrazione con un sistema di ticketing.

Chiudere una richiesta senza ticket

Per chiudere una richiesta senza ticket:

1. Nella console Security Operations, vai a Cases.

2. Fai clic su Apri filtro. Viene visualizzato il riquadro Filtro coda di richieste.

3. In Filtro coda di richieste, specifica quanto segue:

   1. Nel campo Periodo di tempo, specifica il periodo di tempo per le richieste aperte.
   2. Imposta Operatore logico su E.
   3. Per il primo valore in Operatore logico, seleziona Tag.
   4. Imposta la condizione su È.
   5. Per il secondo valore, seleziona Internal-SCC-Ticket-Info.
   6. Fai clic su Applica per aggiornare le richieste nella coda e mostrare solo quelle che corrispondono al filtro specificato.

4. Seleziona la richiesta dalla coda.

5. Nella visualizzazione Richiesta, seleziona Chiudi richiesta. Viene visualizzata la finestra Chiudi richiesta.

6. Nella finestra Chiudi richiesta, specifica quanto segue:

   1. Seleziona un valore per il campo Motivo per indicare il motivo della chiusura della richiesta.

   2. Seleziona un valore per il campo Causa principale per indicare la causa della chiusura della richiesta.

   3. (Facoltativo) Aggiungi un commento.

   4. Fai clic su Chiudi per chiudere la richiesta. Security Command Center poi importa nuovamente i risultati in una nuova richiesta e li associa automaticamente a un playbook corretto.

Aggiungere manualmente un playbook a un avviso

Per allegare manualmente un playbook a un avviso in una richiesta esistente, completa i seguenti passaggi:

1. Nella console Security Operations, vai a Cases.

2. Fai clic su Apri filtro. Viene visualizzato il riquadro Filtro coda di richieste.

3. In Filtro coda di richieste, specifica quanto segue:

   1. Nel campo Periodo di tempo, specifica il periodo di tempo per le richieste aperte.
   2. Imposta Operatore logico su E.
   3. Per il primo valore in Operatore logico, seleziona Tag.
   4. Imposta la condizione su È.
   5. Per il secondo valore, seleziona Internal-SCC-Ticket-Info.
   6. Fai clic su Applica per aggiornare le richieste nella coda e mostrare solo quelle che corrispondono al filtro specificato.

4. Seleziona la richiesta dalla coda.

5. Seleziona un avviso contenuto in una richiesta.

6. In una visualizzazione di avviso, vai alla scheda Playbook.

7. Fai clic su Aggiungi Aggiungi playbook. Viene visualizzata la finestra Aggiungi un playbook con un elenco dei playbook disponibili.

8. Nel campo di ricerca della finestra Aggiungi un playbook, inserisci Posture Findings.

   • Se hai eseguito l'integrazione con Jira, seleziona il playbook Risultati relativi alla posizione con Jira.
   • Se hai eseguito l'integrazione con ServiceNow, seleziona il playbook Posture Findings With SNOW.

9. Fai clic su Aggiungi per aggiungere un playbook a un avviso.

Al termine, il playbook crea un ticket per una richiesta e lo compila automaticamente con le informazioni della richiesta.

L'aggiunta di un playbook a un singolo avviso all'interno di una richiesta è sufficiente per creare un ticket e attivare la sincronizzazione dei dati.

Passaggi successivi

• Scopri come determinare la proprietà per i risultati relativi alla postura.

• Scopri come raggruppare i risultati nelle richieste.

• Scopri come assegnare i ticket in base alle richieste relative alla posizione.