Integrar o Security Command Center Enterprise a sistemas de emissão de tíquetes

Este documento explica como integrar o nível Enterprise do Security Command Center a sistemas de emissão de tíquetes depois de configurar a orquestração, automação e resposta de segurança (SOAR).

A integração com sistemas de emissão de passagens é opcional e requer configuração manual. Se você usa a configuração padrão do Security Command Center Enterprise, não é necessário realizar este procedimento. Você pode integrar com um sistema de emissão de passagens mais tarde, a qualquer momento.

Visão geral

É possível acompanhar as descobertas usando o console e as APIs com a configuração padrão do Security Command Center Enterprise. Se a sua organização usa sistemas de emissão de tíquetes para acompanhar problemas, faça a integração com o Jira ou o ServiceNow depois de configurar sua instância do Google Security Operations.

Ao receber descobertas de recursos, o conector de descobertas de posturas urgentes do SCC Enterprise as analisa e as agrupa em casos novos ou existentes, dependendo do tipo de descoberta.

Se você integrar com um sistema de emissão de tíquetes, o Security Command Center vai criar um novo tíquete sempre que criar um novo caso para descobertas. O Security Command Center atualiza automaticamente o tíquete relacionado sempre que um caso é atualizado.

Um único caso pode conter várias descobertas. O Security Command Center cria um tíquete para cada caso e sincroniza o conteúdo e as informações do caso com o tíquete correspondente para que os atribuídos saibam o que remediar.

A sincronização entre um caso e o tíquete funciona nos dois sentidos:

  • As mudanças em um caso, como uma atualização de status ou um novo comentário, são refletidas automaticamente no tíquete associado.

  • Da mesma forma, os detalhes do tíquete são sincronizados de volta ao caso, enriquecendo-o com informações do sistema de tíquetes.

Antes de começar

Antes de configurar o Jira ou o ServiceNow, forneça um endereço de e-mail válido para o parâmetro Fallback Owner no SCC Enterprise – Urgent Posture Findings Connector e verifique se esse e-mail pode ser atribuído no seu sistema de emissão de tíquetes.

Integrar com o Jira

Conclua todas as etapas de integração para sincronizar as atualizações do caso com os problemas do Jira e garantir o fluxo correto do playbook.

A prioridade do caso é refletida na gravidade do problema do Jira.

Criar um novo projeto no Jira

Para criar um novo projeto no Jira para os problemas do Security Command Center Enterprise chamado SCC Enterprise Project (SCCE), execute uma ação manual no caso. Você pode usar qualquer caso existente ou simular um. Para mais informações sobre a simulação de casos, consulte a página Simulate cases na documentação do Google SecOps.

Para criar um novo projeto do Jira, é necessário ter credenciais de administrador.

Para criar um novo projeto do Jira, siga estas etapas:

  1. No console de operações de segurança, acesse Casos.
  2. Selecione um caso existente ou o que você simulou.
  3. Na guia Visão geral do caso, clique em Ação manual.
  4. No campo Pesquisar da ação manual, insira Create SCC Enterprise.
  5. Nos resultados da pesquisa, na integração SCCEnterprise, selecione a ação Create SCC Enterprise Cloud Posture Ticket Type Jira. A janela de diálogo é aberta.

  6. Para configurar o parâmetro API Root, insira a raiz da API da sua instância do Jira, como https://YOUR_DOMAIN_NAME.atlassian.net.

  7. Para configurar o parâmetro Username, insira o nome de usuário que você usa para fazer login no Jira como administrador.

  8. Para configurar o parâmetro Senha, insira a senha usada para fazer login no Jira como administrador.

  9. Para configurar o parâmetro Token de API, insira o token de API da sua conta de administrador da Atlassian gerada no console do Jira.

  10. Clique em Executar. Aguarde a conclusão da ação.

Opcional: configurar o layout de problemas personalizado do Jira

  1. Faça login no Jira como administrador.
  2. Acesse Projects > SCC Enterprise Project (SCCE).
  3. Ajustar e reordenar os campos de problemas. Para mais detalhes sobre como gerenciar campos de problemas, consulte Como configurar o layout de campos de problemas na documentação do Jira.

Configurar a integração do Jira

  1. No console de operações de segurança, acesse Resposta > Configuração de integrações.
  2. Selecione o ambiente padrão.
  3. No campo Pesquisar da integração, insira Jira. A integração com o Jira é retornada como um resultado da pesquisa.
  4. Clique em Configurar instância. A janela de diálogo é aberta.

  5. Para configurar o parâmetro API Root, insira a raiz da API da sua instância do Jira, como https://YOUR_DOMAIN_NAME.atlassian.net.

  6. Para configurar o parâmetro Nome de usuário, insira o nome de usuário que você usa para fazer login no Jira. Não use suas credenciais de administrador.

  7. Para configurar o parâmetro Token de API, insira o token de API da sua conta Atlassian não administrativa gerada no console do Jira.

  8. Clique em Salvar.

  9. Para testar a configuração, clique em Testar.

Ativar o playbook "Posture Findings With Jira"

  1. No console de operações de segurança, acesse Resposta > Playbooks.
  2. Na barra de Pesquisa do Playbook, digite Generic.
  3. Selecione o playbook Posture Findings - Generic. Esse playbook é ativado por padrão.
  4. Mude a chave para desativar o playbook.
  5. Clique em Salvar.
  6. Na barra de Pesquisa do Playbook, digite Jira.
  7. Selecione o playbook Posture Findings With Jira. Esse playbook fica desativado por padrão.
  8. Mude a posição da chave para ativar o playbook.
  9. Clique em Salvar.

Integrar com o ServiceNow

Conclua todas as etapas de integração para sincronizar as atualizações dos casos do Google SecOps com os tickets do ServiceNow e garantir o fluxo correto do playbook.

Criar e configurar o tipo de tíquete personalizado do ServiceNow

Crie e configure o tipo de tíquete personalizado do ServiceNow, ative a guia "Atividades" na interface do ServiceNow e evite usar o layout de tíquete incorreto.

Criar um tipo de tíquete personalizado do ServiceNow

A criação de um tipo de tíquete personalizado do ServiceNow requer credenciais de administrador do ServiceNow.

Para criar um tipo de tíquete personalizado, siga estas etapas:

  1. No console de operações de segurança, acesse Casos.
  2. Selecione um caso existente ou o que você simulou.
  3. Na guia Visão geral do caso, clique em Ação manual.
  4. No campo Pesquisar da ação manual, insira Create SCC Enterprise.
  5. Nos resultados da pesquisa, na integração SCCEnterprise, selecione a ação Create SCC Enterprise Cloud Posture Ticket Type SNOW. A janela de diálogo é aberta.

  6. Para configurar o parâmetro API Root, insira a raiz da API da sua instância do ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/.

  7. Para configurar o parâmetro Username, insira o nome de usuário que você usa para fazer login no ServiceNow como administrador.

  8. Para configurar o parâmetro Senha, insira a senha usada para fazer login no ServiceNow como administrador.

  9. Para configurar o parâmetro Função de tabela, deixe o campo em branco ou forneça um valor, se tiver um. Esse parâmetro aceita apenas um valor de função.

    Por padrão, o campo Função da tabela está vazio para criar uma nova função personalizada no ServiceNow e gerenciar especificamente os tickets do Security Command Center Enterprise. Somente os usuários do ServiceNow que receberam essa nova função personalizada têm acesso aos tickets do Security Command Center Enterprise.

    Se você já tem uma função dedicada para usuários que gerenciam incidentes no ServiceNow e gostaria de usar essa função para gerenciar as descobertas do Security Command Center Enterprise, insira o nome da função do ServiceNow no campo Função da tabela. Por exemplo, se você fornecer o valor incident_handler_role, todos os usuários que receberam o papel incident_handler_role no ServiceNow poderão acessar os tickets do Security Command Center Enterprise.

  10. Clique em Executar. Aguarde a conclusão da ação.

Configurar o layout de tíquetes personalizados do ServiceNow

Para garantir que a interface do ServiceNow mostre corretamente as atualizações relacionadas a casos e comentários de casos, siga estas etapas:

  1. Na sua conta de administrador do ServiceNow, acesse a guia Todos.
  2. No campo Pesquisar, digite SCC Enterprise.
  3. Na lista suspensa, selecione o SCC Enterprise Cloud Posture Ticket e faça uma pesquisa.
  4. Selecione o Posture Test Ticket. A página de layout de tíquetes do ServiceNow é aberta.
  5. Na página de layout de tíquetes do ServiceNow, acesse Ações adicionais > Configurar > Layout do formulário.
  6. Acesse a seção Visualização e seção do formulário.
  7. No campo Seção, selecione u_scc_enterprise_cloud_posture_ticket.
  8. Clique em Salvar. Depois que a página é atualizada, o modelo de tíquete tem campos distribuídos em duas colunas.
  9. Acesse Ações adicionais > Configurar > Layout do formulário.
  10. Acesse a seção Visualização e seção do formulário.
  11. No campo Seção, selecione Resumo.
  12. Clique em Salvar. Depois que a página for atualizada, o modelo de tíquete terá a nova estrutura de resumo.

Configurar a integração do ServiceNow

  1. No console de operações de segurança, acesse Resposta > Configurações de integrações.
  2. Selecione o ambiente padrão.
  3. No campo Pesquisar da integração, insira ServiceNow. A integração do ServiceNow é retornada como um resultado da pesquisa.
  4. Clique em Configurar instância. A janela de diálogo é aberta.

  5. Para configurar o parâmetro API Root, insira a raiz da API da sua instância do ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/.

  6. Para configurar o parâmetro Username, insira o nome de usuário que você usa para fazer login no ServiceNow. Não use suas credenciais de administrador.

  7. Para configurar o parâmetro Senha, insira a senha usada para fazer login no ServiceNow. Não use suas credenciais de administrador.

  8. Clique em Salvar.

  9. Para testar a configuração, clique em Testar.

Ativar o playbook "Posture Findings With SNOW"

  1. No console de operações de segurança, acesse Resposta > Playbooks.
  2. Na barra de Pesquisa do Playbook, digite Generic.
  3. Selecione o playbook Posture Findings - Generic. Esse playbook é ativado por padrão.
  4. Mude a chave para desativar o playbook.
  5. Clique em Salvar.
  6. Na barra de Pesquisa do Playbook, digite SNOW.
  7. Selecione o playbook Posture Findings With SNOW. Esse playbook fica desativado por padrão.
  8. Mude a posição da chave para ativar o playbook.
  9. Clique em Salvar.

Ativar a sincronização de dados do caso

O Security Command Center sincroniza automaticamente as informações entre um caso e o tíquete correspondente, garantindo a correspondência de prioridade, status, comentários e outros dados relevantes entre um caso e o tíquete.

Para sincronizar os dados do caso, o Security Command Center usa processos automáticos internos chamados jobs de sincronização. Os jobs Sync SCC-Jira Tickets e Sync SCC-ServiceNow Tickets sincronizam dados de casos entre o Security Command Center e os sistemas de tíquetes integrados. Os dois jobs são inicialmente desativados e exigem que você os ative para iniciar a sincronização automática de dados de casos.

O fechamento de um caso resolve automaticamente o tíquete correspondente. A resolução de um tíquete no Jira ou no ServiceNow também aciona os jobs de sincronização para fechar o caso.

Antes de começar

Para ativar a sincronização de casos, você precisa ter uma das seguintes funções do SOC no console de operações de segurança:

  • Administrador
  • Gerenciador de vulnerabilidades
  • Gerenciador de ameaças

Para mais detalhes sobre as funções do SOC no console de operações de segurança e as permissões necessárias para os usuários, consulte Controlar o acesso a recursos no console de operações de segurança.

Ativar a sincronização para sistemas de emissão de passagens

Para garantir que as informações em casos e tíquetes sejam sincronizadas automaticamente, ative o job de sincronização relevante para o sistema de tíquetes integrado.

Para ativar o job de sincronização, siga estas etapas:

  1. No console de operações de segurança, acesse Resposta > Programador de jobs.

  2. Escolha a tarefa de sincronização correta:

    • Se você integrou com o Jira, selecione o job Sync SCC-Jira Tickets.

    • Se você integrou com o ServiceNow, selecione o job Sync SCC-ServiceNow Tickets.

  3. Ative o botão para ativar o job selecionado.

  4. Clique em Salvar para permitir que o Security Command Center sincronize automaticamente os dados de casos com um sistema de emissão de tíquetes.

Criar tíquetes para casos

O Security Command Center cria automaticamente tíquetes apenas para casos abertos após a integração com um sistema de tíquetes e não anexa novos playbooks a alertas existentes de forma retroativa. Para criar tickets para casos abertos antes da integração com um sistema de tickets, use uma das seguintes abordagens:

  • Feche um caso sem tíquete e aguarde até que o SCC reingresse as descobertas e atribua um novo playbook aos alertas de caso.

  • Adicione manualmente um playbook a qualquer alerta em um caso que foi aberto antes da integração com um sistema de emissão de tíquetes.

Encerrar um caso sem tíquete

Para fechar um caso sem tíquete, siga estas etapas:

  1. No console de operações de segurança, acesse Casos.

  2. Clique em Abrir filtro. O painel Filtro da fila de casos é aberto.

  3. No Filtro da fila de casos, especifique o seguinte:

    1. No campo Período, especifique o período de tempo para os casos abertos.
    2. Defina Operador lógico como AND.
    3. Para o primeiro valor em Operador lógico, selecione Tags.
    4. Defina a condição como IS.
    5. Para o segundo valor, selecione Internal-SCC-Ticket-Info.
    6. Clique em Aplicar para atualizar os casos na fila e mostrar apenas os que correspondem ao filtro especificado.

  4. Na fila de casos, selecione o caso.

  5. Na Visualização de caso, selecione Fechar caso. A janela Fechar caso é aberta.

  6. Na janela Fechar caso, especifique o seguinte:

    1. Selecione um valor para o campo Motivo para indicar o motivo do fechamento do caso.

    2. Selecione um valor para o campo Root Cause para indicar a causa do fechamento do caso.

    3. Opcional: adicione um comentário.

    4. Clique em Fechar para encerrar o caso. O Security Command Center reinsere as descobertas em um novo caso e anexa automaticamente um playbook correto a elas.

Adicionar manualmente um playbook a um alerta

Para anexar manualmente um playbook a um alerta em um caso, siga estas etapas:

  1. No console de operações de segurança, acesse Casos.

  2. Clique em Abrir filtro. O painel Filtro da fila de casos é aberto.

  3. No Filtro da fila de casos, especifique o seguinte:

    1. No campo Período, especifique o período de tempo para os casos abertos.
    2. Defina Operador lógico como AND.
    3. Para o primeiro valor em Operador lógico, selecione Tags.
    4. Defina a condição como IS.
    5. Para o segundo valor, selecione Internal-SCC-Ticket-Info.
    6. Clique em Aplicar para atualizar os casos na fila e mostrar apenas os que correspondem ao filtro especificado.

  4. Na fila de casos, selecione o caso.

  5. Selecione qualquer alerta contido em um caso.

  6. Em uma visualização de alerta, acesse a guia Playbooks.

  7. Clique em adicionar Adicionar Playbook. A janela Add a Playbook com uma lista de playbooks disponíveis aparece.

  8. No campo de pesquisa da janela Adicionar um Playbook, digite Posture Findings.

    • Se você integrou com o Jira, selecione o playbook Posture Findings With Jira.
    • Se você integrou com o ServiceNow, selecione o playbook Posture Findings With SNOW.

  9. Clique em Adicionar para incluir um playbook a um alerta.

Após a conclusão, o playbook cria um tíquete para um caso e o preenche automaticamente com informações do caso.

Adicionar um playbook a um único alerta em um caso é suficiente para criar um tíquete e acionar a sincronização de dados.

A seguir