Security Command Center Enterprise in Ticketsysteme einbinden

In diesem Dokument wird erläutert, wie Sie die Enterprise-Stufe von Security Command Center einbinden nachdem die Sicherheitsorchestrierung, Automatisierung und Antwort (SOAR) zurückgegeben.

Die Einbindung in Ticketsysteme ist optional und erfordert eine manuelle Konfiguration. Wenn Sie das standardmäßige Security Command Center verwenden Enterprise-Konfiguration verwenden, müssen Sie diesen Vorgang nicht ausführen. Sie können die Einbindung in ein Ticketsystem später jederzeit vornehmen.

Übersicht

Mit der Standardkonfiguration von Security Command Center Enterprise können Sie Ergebnisse über die Console und APIs verfolgen. Wenn Ihre Organisation Ticketsysteme zur Nachverfolgung von Problemen verwendet, integrieren Sie Jira oder ServiceNow, nachdem Sie Ihre Google Security Operations-Instanz konfiguriert haben.

Nach Erhalt von Ressourcenergebnissen hat SCC Enterprise – Urgent Posture Findings Connector analysiert und in neue oder bestehende Fälle gruppiert. je nach Ergebnistyp.

Wenn Sie eine Ticketsystem-Integration verwenden, wird in Security Command Center jedes Mal ein neues Ticket erstellt, wenn ein neuer Fall für Ergebnisse erstellt wird. Das zugehörige Ticket wird in Security Command Center automatisch aktualisiert, sobald ein Fall aktualisiert wird.

Ein einzelner Fall kann mehrere Ergebnisse enthalten. Security Command Center erstellt für jeden Fall ein Ticket und synchronisiert den Fallinhalt und die Informationen mit dem entsprechenden Ticket, damit die zugewiesenen Personen wissen, was zu tun ist.

Die Synchronisierung zwischen einem Fall und dem zugehörigen Ticket funktioniert auf beide Arten:

  • Änderungen innerhalb einer Anfrage, z. B. ein Statusupdate oder ein neuer Kommentar, automatisch im zugehörigen Ticket widergespiegelt.

  • Ebenso werden Ticketdetails mit dem Fall synchronisiert und mit Informationen aus dem Ticketsystem angereichert.

Hinweis

Geben Sie vor der Konfiguration von Jira oder ServiceNow eine gültige E-Mail-Adresse für den Parameter Fallback Owner (Fallback-Inhaber) im SCC Enterprise – Connector für dringende Posture-Ergebnisse an und achten Sie darauf, dass diese E-Mail-Adresse in Ihrem Ticketsystem zugewiesen werden kann.

In Jira einbinden

Führe alle Integrationsschritte aus, um die Fallaktualisierungen mit Jira-Problemen zu synchronisieren und den korrekten Ablauf des Playbooks zu gewährleisten.

Die Fallpriorität spiegelt den Schweregrad des Jira-Problems wider.

Neues Projekt in Jira erstellen

Wenn du ein neues Projekt in Jira für die Security Command Center Enterprise-Probleme erstellen möchtest, das SCC Enterprise Project (SCCE) heißt, führe eine manuelle Aktion im Fall aus. Sie können einen vorhandenen Fall verwenden oder einen simulieren. Weitere Informationen zur Simulation finden Sie unter Fälle simulieren. in der Google SecOps-Dokumentation.

Zum Erstellen eines neuen Jira-Projekts sind Anmeldedaten auf Jira-Administratorebene erforderlich.

So erstellen Sie ein neues Jira-Projekt:

  1. Klicken Sie in der Security Operations Console auf Cases (Fälle).
  2. Wählen Sie einen vorhandenen Fall oder den simulierten Fall aus.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie im Feld Suchen der manuellen Aktion Create SCC Enterprise ein.
  5. Wählen Sie in den Suchergebnissen unter der Integration SCCEnterprise die Aktion Create SCC Enterprise Cloud Posture Ticket Type Jira (SCC Enterprise-Tickettyp „Cloud-Posture“ in Jira erstellen) aus. Das Dialogfeld wird geöffnet.
  6. Um den Parameter API Root zu konfigurieren, geben Sie das API-Stammverzeichnis Ihrer Jira-Instanz wie https://YOUR_DOMAIN_NAME.atlassian.net

  7. Geben Sie den Nutzernamen ein, mit dem Sie sich als Administrator in Jira anmelden, um den Parameter Username zu konfigurieren.

  8. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, das Sie für die sich als Administrator in Jira anmelden.

  9. Geben Sie zum Konfigurieren des Parameters API-Token das API-Token Ihres Atlassian-Administratorkontos ein, das in der Jira-Konsole generiert wurde.

  10. Klicken Sie auf Ausführen. Warten Sie, bis die Aktion abgeschlossen ist.

Optional: Benutzerdefiniertes Jira-Problemlayout konfigurieren

  1. Melden Sie sich als Administrator in Jira an.
  2. Rufen Sie Projekte > SCC Enterprise-Projekt (SCCE) auf.
  3. Passen Sie Problemfelder an und ordnen Sie sie neu an. Weitere Informationen zum Verwalten von Problemfeldern finden Sie in der Jira-Dokumentation unter Layout von Problemfeldern konfigurieren.

Jira-Integration konfigurieren

  1. Gehen Sie in der Security Operations-Konsole zu Antwort > Integrationseinrichtung.
  2. Wählen Sie die Standardumgebung aus.
  3. Geben Sie im Feld Search der Integration Jira ein. Die Jira wird die Integration als Suchergebnis zurückgegeben.
  4. Klicken Sie auf  Instanz konfigurieren. Das Dialogfeld wird geöffnet.
  5. Geben Sie zum Konfigurieren des Parameters API-Stamm den API-Stamm Ihrer Jira-Instanz ein, z. B. https://YOUR_DOMAIN_NAME.atlassian.net.

  6. Geben Sie den Nutzernamen ein, mit dem Sie sich in Jira anmelden, um den Parameter Username zu konfigurieren. Verwenden Sie nicht Ihre Administratoranmeldedaten.

  7. Geben Sie zum Konfigurieren des Parameters API Token das API-Token Ihres Atlassian-Konto mit einem Konto ohne Administratorberechtigungen, das in der Jira-Konsole generiert wurde.

  8. Klicken Sie auf Speichern.

  9. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook „Posture Findings With Jira“ aktivieren

  1. Klicken Sie in der Security Operations Console auf Response > Playbooks.
  2. Geben Sie in der Playbook-Suchleiste Generic ein.
  3. Wählen Sie das Playbook Posture Findings – Generic (Ergebnisse zur Position – allgemein) aus. Dieses Playbook ist standardmäßig aktiviert.
  4. Stellen Sie den Schalter auf Aus, um das Playbook zu deaktivieren.
  5. Klicken Sie auf Speichern.
  6. Geben Sie in der Suchleiste des Playbooks Jira ein.
  7. Wählen Sie das Playbook Status-Ergebnisse mit Jira aus. Dieses Playbook ist deaktiviert ist standardmäßig aktiviert.
  8. Stellen Sie die Ein/Aus-Schaltfläche auf Playbook aktivieren.
  9. Klicken Sie auf Speichern.

In ServiceNow einbinden

Führe alle Integrationsschritte aus, um die Aktualisierungen von Google SecOps-Anfragen mit ServiceNow-Tickets zu synchronisieren und den korrekten Ablauf des Playbooks zu gewährleisten.

Benutzerdefinierten ServiceNow-Tickettyp erstellen und konfigurieren

Erstellen und konfigurieren Sie den benutzerdefinierten Tickettyp von ServiceNow, aktivieren Sie den Tab „Aktivitäten“ in der ServiceNow-Benutzeroberfläche und vermeiden Sie das fehlerhafte Ticketlayout.

Benutzerdefinierten ServiceNow-Tickettyp erstellen

Zum Erstellen eines benutzerdefinierten ServiceNow-Tickettyps sind Anmeldedaten auf ServiceNow-Administratorebene erforderlich.

Führe die folgenden Schritte aus, um einen benutzerdefinierten Tickettyp zu erstellen:

  1. Klicken Sie in der Security Operations Console auf Cases (Fälle).
  2. Wählen Sie einen vorhandenen Fall oder den simulierten Fall aus.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie in das Feld Suchen der manuellen Maßnahme Create SCC Enterprise ein.
  5. Wählen Sie in den Suchergebnissen unter der Integration von SCCEnterprise die Aktion SCC Enterprise Cloud Posture Ticket Type SNOW erstellen. Das Dialogfeld wird geöffnet.
  6. Geben Sie zum Konfigurieren des Parameters API-Stamm den API-Stamm Ihrer ServiceNow-Instanz ein, z. B. https://INSTANCE_NAME.service-now.com/api/now/v1/.

  7. Um den Parameter Nutzername zu konfigurieren, geben Sie den Nutzernamen ein, den Sie für als Administrator in ServiceNow anmelden.

  8. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, mit dem Sie sich als Administrator in ServiceNow anmelden.

  9. Wenn Sie den Parameter Table Role konfigurieren möchten, lassen Sie das Feld leer oder geben Sie einen Wert an, falls vorhanden. Für diesen Parameter ist nur ein Rollenwert zulässig.

    Das Feld Table Role (Tabellenrolle) ist standardmäßig leer. Hier können Sie eine neue benutzerdefinierte Rolle in ServiceNow erstellen, um speziell die Security Command Center Enterprise-Tickets zu verwalten. Nur ServiceNow-Nutzer, denen diese neue benutzerdefinierte Rolle zugewiesen wurde, haben Zugriff auf die Tickets von Security Command Center Enterprise.

    Wenn Sie bereits eine eigene Rolle für die Verwaltung von Vorfällen in ServiceNow möchten Sie diese Rolle zum Verwalten des Security Command Center verwenden. Enterprise-Ergebnisse erhalten, geben Sie den Namen der vorhandenen ServiceNow-Rolle in das Feld Table Role (Tabellenrolle) angeben. Wenn Sie beispielsweise den vorhandenen Wert incident_handler_role angeben, können alle Nutzer, denen in ServiceNow die Rolle incident_handler_role zugewiesen wurde, auf die Tickets in Security Command Center Enterprise zugreifen.

  10. Klicken Sie auf Ausführen. Warten Sie, bis die Aktion abgeschlossen ist.

Benutzerdefiniertes Ticketlayout für ServiceNow konfigurieren

Um sicherzustellen, dass die Updates zu Fällen in der ServiceNow-Benutzeroberfläche korrekt angezeigt werden und Kommentare zur Anfrage, führen Sie die folgenden Schritte aus:

  1. Gehen Sie in Ihrem ServiceNow-Administratorkonto zum Tab Alle.
  2. Geben Sie SCC Enterprise in das Feld Suchen ein.
  3. Wählen Sie in der Drop-down-Liste SCC Enterprise Cloud Posture Ticket aus und führen Sie eine Suche aus.
  4. Wählen Sie das Status-Testticket aus. Die Seite mit dem Ticketlayout von ServiceNow wird geöffnet.
  5. Gehen Sie auf der Layoutseite des ServiceNow-Tickets zu Zusätzliche Aktionen >. Konfigurieren Sie > Formularlayout.
  6. Wechseln Sie zum Bereich Formularansicht und -abschnitt.
  7. Wählen Sie im Feld Abschnitt die Option u_scc_enterprise_cloud_posture_ticket aus.
  8. Klicken Sie auf Speichern. Nach der Aktualisierung der Seite enthält die Ticketvorlage Felder die in zwei Spalten verteilt sind.
  9. Gehen Sie zu Zusätzliche Aktionen > Konfigurieren > Formularlayout.
  10. Gehen Sie zum Abschnitt Formularanzeige und Bereich.
  11. Wählen Sie im Feld Bereich die Option Zusammenfassung aus.
  12. Klicken Sie auf Speichern. Nach der Aktualisierung der Seite hat die Ticketvorlage die neue Zusammenfassungsstruktur.

ServiceNow-Integration konfigurieren

  1. Klicken Sie in der Security Operations Console auf Response > Integrations setup (Reaktion > Integrationseinrichtung).
  2. Wählen Sie die Standardumgebung aus.
  3. Geben Sie im Feld Suchen der Integration ServiceNow ein. Mit dem Dienst ServiceNow wird die Integration als Suchergebnis zurückgegeben.
  4. Klicken Sie auf Instanz konfigurieren. Das Dialogfeld wird geöffnet.
  5. Um den Parameter API Root zu konfigurieren, geben Sie das API-Stammverzeichnis Ihrer ServiceNow-Instanz wie https://INSTANCE_NAME.service-now.com/api/now/v1/

  6. Geben Sie den Nutzernamen ein, mit dem Sie sich in ServiceNow anmelden, um den Parameter Username zu konfigurieren. Verwenden Sie nicht Ihre Administratoranmeldedaten.

  7. Geben Sie zum Konfigurieren des Parameters Passwort das Passwort ein, mit dem Sie sich in ServiceNow anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

  8. Klicken Sie auf Speichern.

  9. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook „Posture Findings With SNOW“ aktivieren

  1. Klicken Sie in der Security Operations Console auf Response > Playbooks.
  2. Geben Sie in der Playbook-Suchleiste Generic ein.
  3. Wählen Sie das Playbook Posture Findings – Generic (Ergebnisse zur Position – allgemein) aus. Dieses Playbook ist standardmäßig aktiviert.
  4. Stellen Sie den Schalter auf Aus, um das Playbook zu deaktivieren.
  5. Klicken Sie auf Speichern.
  6. Geben Sie in der Suchleiste des Playbooks SNOW ein.
  7. Wählen Sie das Playbook Posture Findings With SNOW aus. Dieses Playbook ist deaktiviert ist standardmäßig aktiviert.
  8. Stellen Sie die Ein/Aus-Schaltfläche auf Playbook aktivieren.
  9. Klicken Sie auf Speichern.

Synchronisierung von Falldaten aktivieren

Security Command Center synchronisiert die Informationen zwischen einem Fall automatisch und das entsprechende Ticket, wodurch Priorität, Status, Kommentare und andere relevante Daten zwischen einem Fall und dem zugehörigen Ticket.

Security Command Center verwendet interne automatische Prozesse, um Falldaten zu synchronisieren Synchronisierungsjobs. Die Schaltflächen Sync SCC-Jira Tickets und Sync SCC-ServiceNow Tickets-Jobs synchronisieren Falldaten zwischen Security Command Center. und integrierte Ticketsysteme. Beide Jobs sind anfangs deaktiviert und erfordern damit diese die automatische Synchronisierung der Falldaten starten können.

Wenn Sie einen Fall schließen, wird automatisch das entsprechende Ticket aufgelöst. Wenn Sie ein Ticket in Jira oder ServiceNow schließen, werden auch die Synchronisierungsjobs ausgelöst, um den Fall zu schließen.

Hinweis

Um die Synchronisierung von Fällen zu aktivieren, benötigen Sie eines der folgenden Sicherheitscenter Rollen in der Security Operations-Konsole:

  • Administrator
  • Vulnerability Manager
  • Threat Manager

Weitere Informationen zu SOC-Rollen in der Security Operations Console und zu den für Nutzer erforderlichen Berechtigungen finden Sie unter Zugriff auf Funktionen in der Security Operations Console steuern.

Synchronisierung für Ticketsysteme aktivieren

Um sicherzustellen, dass die Informationen in Fällen und Tickets automatisch synchronisiert, den für den Ticketing relevanten Synchronisierungsjob aktivieren das Sie integriert haben.

Führen Sie die folgenden Schritte aus, um den Synchronisierungsjob zu aktivieren:

  1. Klicken Sie in der Security Operations Console auf Response > Job Scheduler.

  2. Wählen Sie den richtigen Synchronisierungsjob aus:

    • Wenn Sie Jira eingebunden haben, wählen Sie den Job SCC-Jira-Tickets synchronisieren aus.

    • Wenn Sie eine Integration mit ServiceNow vorgenommen haben, wählen Sie den Job SCC-ServiceNow-Tickets synchronisieren aus.

  3. Aktivieren Sie den ausgewählten Job mit der Ein/Aus-Schaltfläche.

  4. Klicken Sie auf Speichern, damit Security Command Center den Fall automatisch synchronisieren kann mit einem Ticketing-System.

Tickets für bestehende Anfragen erstellen

Security Command Center erstellt automatisch Tickets nur für Fälle, die nach einer in ein Ticketing-System integriert sind und nicht rückwirkend neue Playbooks zu vorhandenen Benachrichtigungen. So erstellen Sie Tickets für Fälle, die vor dem für die Integration in ein Ticketing-System einen der folgenden Ansätze verwenden:

  • Schließe einen Fall ohne Ticket und warte, bis das SCC die Ergebnisse noch einmal eingibt und den Fallbenachrichtigungen ein neues Playbook zuweist.

  • Playbook jeder Benachrichtigung in einem Fall, der vor der Erstellung geöffnet wurde, manuell hinzufügen in ein Ticketsystem integriert sind.

Anfrage ohne Ticket schließen

So schließen Sie einen Fall ohne Ticket:

  1. Gehen Sie in der Security Operations-Konsole zu Fälle.

  2. Klicken Sie auf Filter öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.

  3. Geben Sie im Filter für die Fallwarteschlange Folgendes an:

    1. Geben Sie im Feld Zeitraum den Zeitraum für offene Fälle an.
    2. Legen Sie Logischer Operator auf AND fest.
    3. Wählen Sie für den ersten Wert unter Logischer Operator die Option Tags aus.
    4. Legen Sie die Bedingung auf IS fest.
    5. Wählen Sie für den zweiten Wert Internal-SCC-Ticket-Info aus.
    6. Klicken Sie auf Übernehmen, um Fälle in der Fallwarteschlange zu aktualisieren und nur die Fälle, die dem angegebenen Filter entsprechen.
  4. Wählen Sie in der Fallwarteschlange den Fall aus.

  5. Wählen Sie in der Fallansicht die Option Fall schließen aus. Das Fenster Case schließen wird geöffnet.

  6. Geben Sie im Fenster Fall schließen Folgendes an:

    1. Wählen Sie für das Feld Grund einen Wert aus, um den Grund für das Schließen des Falls anzugeben.

    2. Wählen Sie einen Wert für das Feld Grund aus, um den Grund für das Schließen des Falls anzugeben.

    3. Optional: Fügen Sie einen Kommentar hinzu.

    4. Klicken Sie auf Schließen, um den Fall zu schließen. Security Command Center dann Die Ergebnisse werden in einem neuen Fall erneut aufgenommen und automatisch eine korrekte ein Playbook für sie.

Playbook manuell zu einer Benachrichtigung hinzufügen

So hängen Sie in einem vorhandenen Fall manuell ein Playbook an eine Benachrichtigung an:

  1. Klicken Sie in der Security Operations Console auf Cases (Fälle).

  2. Klicken Sie auf Filter öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.

  3. Geben Sie im Filter für die Fallwarteschlange Folgendes an:

    1. Geben Sie im Feld Zeitraum den Zeitraum für offene Fälle an.
    2. Legen Sie Logischer Operator auf AND fest.
    3. Wählen Sie für den ersten Wert unter Logischer Operator die Option Tags aus.
    4. Legen Sie die Bedingung auf IS fest.
    5. Wählen Sie für den zweiten Wert Internal-SCC-Ticket-Info aus.
    6. Klicken Sie auf Übernehmen, um Fälle in der Fallwarteschlange zu aktualisieren und nur die Fälle, die dem angegebenen Filter entsprechen.
  4. Wählen Sie den Fall aus der Fallwarteschlange aus.

  5. Wählen Sie eine Benachrichtigung in einem Fall aus.

  6. Rufen Sie in einer Benachrichtigungsansicht den Tab Playbooks auf.

  7. Klicken Sie auf add Playbook hinzufügen. Das Fenster Playbook hinzufügen mit einer Liste der verfügbaren Playbooks wird angezeigt.

  8. Geben Sie im Suchfeld des Fensters Playbook hinzufügen Folgendes ein: Posture Findings

    • Wenn Sie Jira eingebunden haben, wählen Sie das Playbook Posture-Ergebnisse mit Jira aus.
    • Wenn Sie eine Integration mit ServiceNow vorgenommen haben, wählen Sie das Playbook Posture Findings With SNOW aus.
  9. Klicken Sie auf Hinzufügen, um einer Benachrichtigung ein Playbook hinzuzufügen.

Nach Abschluss erstellt das Playbook ein Ticket für einen Fall und füllt das Ticket mit Informationen aus dem Fall.

Wenn Sie einer einzelnen Benachrichtigung in einem Fall ein Playbook hinzufügen, wird ein Ticket erstellt und die Datensynchronisierung ausgelöst.

Nächste Schritte