Intégrer Security Command Center Enterprise aux systèmes de suivi des demandes

Ce document explique comment intégrer le niveau Enterprise de Security Command Center avec des systèmes de suivi des demandes après avoir configuré l'orchestration de la sécurité, l'automatisation (SOAR).

L'intégration aux systèmes de billetterie est facultative et nécessite une configuration manuelle. Si vous utilisez la configuration par défaut de Security Command Center Enterprise, vous n'avez pas besoin d'effectuer cette procédure. Vous pouvez à un système de tickets ultérieurement à tout moment.

Présentation

Vous pouvez suivre les résultats à l'aide de la console et des API avec le Configuration de Security Command Center Enterprise. Si votre organisation utilise des systèmes de gestion des tickets pour suivre les problèmes, intégrez-les à Jira ou à ServiceNow après avoir configuré votre instance Google Security Operations.

Après avoir reçu les résultats concernant des ressources, la SCC Enterprise - Urgent Posture Le connecteur de résultats les analyse et les regroupe dans des demandes nouvelles ou existantes. selon le type de résultat.

Si vous effectuez une intégration avec un système de gestion des tickets, Security Command Center crée un ticket chaque fois qu'il crée une demande pour les résultats. Security Command Center met automatiquement à jour la demande associée chaque fois qu'une demande est mise à jour.

Un même cas peut contenir plusieurs résultats. Security Command Center crée un ticket pour chaque cas et synchronise son contenu et avec le ticket correspondant pour indiquer aux personnes responsables la rectifier le problème.

La synchronisation entre une demande et sa demande d'assistance fonctionne dans les deux sens:

• Les modifications apportées à une demande, comme un changement d'état ou un nouveau commentaire, sont automatiquement répercutées dans la demande associée.

• De même, les détails de la demande sont synchronisés avec le dossier, en les enrichissant avec du système de suivi des demandes d'assistance.

Avant de commencer

Avant de configurer Jira ou ServiceNow, fournissez une adresse e-mail valide pour le paramètre Propriétaire de remplacement dans le Connecteur SCC Enterprise – Urgent Posture Findings, et assurez-vous que cette adresse e-mail peut être attribuée dans votre système de gestion des tickets.

Intégrer à Jira

Veillez à suivre toutes les étapes d'intégration pour synchroniser les mises à jour de la demande avec les problèmes Jira et vous assurer du bon déroulement du playbook.

La priorité de la demande est reflétée dans la gravité du problème dans Jira.

Créer un projet dans Jira

Pour créer un projet dans Jira pour les problèmes liés à Security Command Center Enterprise appelé Projet SCC Enterprise (SCCE), exécutez une action manuelle dans la demande. Vous pouvez utiliser un cas existant ou en simuler un. Pour en savoir plus sur la simulation de cas, consultez la page Simuler des cas dans la documentation Google SecOps.

Pour créer un projet Jira, vous devez disposer d'identifiants de niveau administrateur Jira.

Pour créer un projet Jira, procédez comme suit :

1. Dans la console Opérations de sécurité, accédez à Demandes.
2. Sélectionnez un cas existant ou celui que vous avez simulé.
3. Dans l'onglet Vue d'ensemble de la demande, cliquez sur Action manuelle.
4. Dans le champ de l'action manuelle Rechercher, saisissez Create SCC Enterprise.
5. Dans les résultats de recherche sous l'intégration SCCEnterprise, sélectionnez le Créer l'action SCC Enterprise Cloud Posture Ticket Type Jira La boîte de dialogue s'ouvre.

6. Pour configurer le paramètre API Root (Racine de l'API), saisissez la racine de l'API de votre instance Jira, par exemple https://YOUR_DOMAIN_NAME.atlassian.net.

7. Pour configurer le paramètre Username (Nom d'utilisateur), saisissez le nom d'utilisateur que vous utilisez pour connectez-vous à Jira en tant qu'administrateur.

8. Pour configurer le paramètre Mot de passe, saisissez le mot de passe que vous utilisez pour connectez-vous à Jira en tant qu'administrateur.

9. Pour configurer le paramètre Jeton d'API, saisissez le jeton d'API de votre Compte administrateur Atlassian généré dans la console Jira.

10. Cliquez sur Exécuter. Attendez que l'action soit terminée.

Facultatif : Configurer la mise en page personnalisée des problèmes Jira

1. Connectez-vous à Jira en tant qu'administrateur.
2. Accédez à Projets > SCC Enterprise Project (SCCE).
3. Modifiez et réorganisez les champs des problèmes. Pour en savoir plus sur la gestion des champs de problème, consultez la section Configurer la mise en page des champs de problème dans la documentation Jira.

Configurer l'intégration dans Jira

1. Dans la console Opérations de sécurité, accédez à Réponse > Configuration des intégrations.
2. Sélectionnez l'environnement par défaut.
3. Dans le champ Rechercher de l'intégration, saisissez Jira. Le Jira s'affiche comme résultat de recherche.
4. Cliquez sur settings Configurer l'instance. La boîte de dialogue s'ouvre.

5. Pour configurer le paramètre API Root (Racine de l'API), saisissez la racine de l'API de votre instance Jira, par exemple https://YOUR_DOMAIN_NAME.atlassian.net.

6. Pour configurer le paramètre Username (Nom d'utilisateur), saisissez le nom d'utilisateur que vous utilisez pour connectez-vous à Jira. N'utilisez pas vos identifiants d'administrateur.

7. Pour configurer le paramètre Jeton d'API, saisissez le jeton d'API de votre compte Atlassian non administrateur généré dans la console Jira.

8. Cliquez sur Enregistrer.

9. Pour tester votre configuration, cliquez sur Tester.

Activer le playbook "Déterminer la posture avec Jira"

1. Dans la console Opérations de sécurité, accédez à Réponse > Playbooks.
2. Dans la barre de recherche du playbook, saisissez Generic.
3. Sélectionnez le playbook Posture Findings - Generic (Résultats de la posture – Générique). Ce playbook est activé par défaut.
4. Désactivez le playbook en déplaçant le bouton bascule.
5. Cliquez sur Enregistrer.
6. Dans la barre de recherche du playbook, saisissez Jira.
7. Sélectionnez le playbook Posture Findings With Jira (Résultats de la posture avec Jira). Ce playbook est désactivé par défaut.
8. Activez le bouton bascule pour activer le playbook.
9. Cliquez sur Enregistrer.

Intégrer à ServiceNow

Veillez à suivre toutes les étapes d'intégration pour synchroniser les mises à jour des demandes Google SecOps avec les demandes ServiceNow et assurer le bon déroulement du playbook.

Créer et configurer un type de demande personnalisé ServiceNow

Veillez à créer et à configurer le type de demande personnalisé ServiceNow, à activer l'onglet "Activités" dans l'interface utilisateur ServiceNow et à éviter d'utiliser la mise en page de demande erronée.

Créer un type de ticket personnalisé ServiceNow

Pour créer un type d'e-ticket ServiceNow personnalisé, vous devez disposer d'identifiants de niveau administrateur ServiceNow.

Pour créer un type de demande personnalisé, procédez comme suit :

1. Dans la console Opérations de sécurité, accédez à Demandes.
2. Sélectionnez un cas existant ou celui que vous avez simulé.
3. Dans l'onglet Vue d'ensemble de la demande, cliquez sur Action manuelle.
4. Dans le champ de l'action manuelle Rechercher, saisissez Create SCC Enterprise.
5. Dans les résultats de recherche sous l'intégration SCCEnterprise, sélectionnez le Créez une action Create SCC Enterprise Cloud Posture Ticket Type SNOW (Créer un type de ticket de stratégie cloud SCC Enterprise). Boîte de dialogue s'ouvre.

6. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API Instance ServiceNow, par exemple https://INSTANCE_NAME.service-now.com/api/now/v1/

7. Pour configurer le paramètre Username (Nom d'utilisateur), saisissez le nom d'utilisateur que vous utilisez pour vous connecter à ServiceNow en tant qu'administrateur.

8. Pour configurer le paramètre Mot de passe, saisissez le mot de passe que vous utilisez pour connectez-vous à ServiceNow en tant qu'administrateur.

9. Pour configurer le paramètre Table Role, laissez le champ vide ou indiquez une valeur si vous en avez une. Ce paramètre n'accepte qu'une seule valeur de rôle.

   Par défaut, le champ Rôle de table est vide. Vous pouvez ainsi créer un rôle personnalisé dans ServiceNow pour gérer spécifiquement les demandes Security Command Center Enterprise. Seuls les utilisateurs de ServiceNow disposant de ce nouveau rôle personnalisé ont accès au Tickets de Security Command Center Enterprise

   Si vous disposez déjà d'un rôle dédié pour les utilisateurs qui gèrent les incidents dans ServiceNow et si vous souhaitez utiliser ce rôle pour gérer Security Command Center Résultats d'entreprise, saisissez le nom du rôle ServiceNow existant dans le Rôle de la table. Par exemple, si vous fournissez incident_handler_role, tous les utilisateurs disposant du rôle Le rôle incident_handler_role dans ServiceNow peut accéder à Tickets de Security Command Center Enterprise

10. Cliquez sur Exécuter. Attendez que l'action soit terminée.

Configurer la mise en page personnalisée des demandes ServiceNow

Pour s'assurer que l'UI de ServiceNow affiche avec précision les mises à jour liées aux demandes et commentaires sur la demande, procédez comme suit:

1. Dans votre compte administrateur ServiceNow, accédez à l'onglet Tous.
2. Dans le champ Rechercher, saisissez SCC Enterprise.
3. Dans la liste déroulante, sélectionnez SCC Enterprise Cloud Posture Ticket (Demande de posture cloud d'entreprise SCC) et effectuez une recherche.
4. Sélectionnez Demande de test de posture. La page de mise en page des demandes ServiceNow s'ouvre.
5. Sur la page de présentation des demandes ServiceNow, accédez à Autres actions > Configurez > Mise en page du formulaire.
6. Accédez à la section Vue et section du formulaire.
7. Dans le champ Section (Section), sélectionnez u_scc_enterprise_cloud_posture_ticket.
8. Cliquez sur Enregistrer. Une fois la page mise à jour, les champs du modèle de demande sont répartis sur deux colonnes.
9. Accédez à Actions supplémentaires > Configurer > Mise en page des formulaires.
10. Accédez à la section Vue et section du formulaire.
11. Dans le champ Section, sélectionnez Résumé.
12. Cliquez sur Enregistrer. Une fois la page mise à jour, le modèle de demande affiche la nouvelle structure de résumé.

Configurer l'intégration à ServiceNow

1. Dans la console Opérations de sécurité, accédez à Réponse > Intégrations. Configuration.
2. Sélectionnez l'environnement par défaut.
3. Dans le champ Search (Rechercher) de l'intégration, saisissez ServiceNow. L'intégration ServiceNow s'affiche dans les résultats de recherche.
4. Cliquez sur settings Configurer l'instance. La boîte de dialogue s'ouvre.

5. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API Instance ServiceNow, par exemple https://INSTANCE_NAME.service-now.com/api/now/v1/

6. Pour configurer le paramètre Nom d'utilisateur, saisissez le nom d'utilisateur que vous utilisez pour vous connecter à ServiceNow. N'utilisez pas vos identifiants d'administrateur.

7. Pour configurer le paramètre Mot de passe, saisissez le mot de passe que vous utilisez pour connectez-vous à ServiceNow. N'utilisez pas vos identifiants d'administrateur.

8. Cliquez sur Enregistrer.

9. Pour tester votre configuration, cliquez sur Test.

Activer le playbook "Déterminer la posture avec SNOW"

1. Dans la console Security Operations, accédez à Réponse > Playbooks.
2. Dans la barre de recherche du playbook, saisissez Generic.
3. Sélectionnez le playbook Posture Findings - Generic (Résultats de la posture – Générique). Ce playbook est activé par défaut.
4. Désactivez le playbook en déplaçant le bouton bascule.
5. Cliquez sur Enregistrer.
6. Dans la barre de recherche du playbook, saisissez SNOW.
7. Sélectionnez le playbook Posture Findings With SNOW (Résultats de la posture avec la neige). Ce playbook est désactivé par défaut.
8. Activez le bouton bascule pour activer le playbook.
9. Cliquez sur Enregistrer.

Activer la synchronisation des données de la demande

Security Command Center synchronise automatiquement les informations entre une demande et la demande correspondante, en veillant à ce que la priorité, l'état, les commentaires entre une demande et sa demande.

Pour synchroniser les données des demandes, Security Command Center utilise des processus automatiques internes appelées "tâches de synchronisation". Les jobs Sync SCC-Jira Tickets (Synchroniser les demandes SCC-Jira) et Sync SCC-ServiceNow Tickets (Synchroniser les demandes SCC-ServiceNow) synchronisent les données des demandes entre Security Command Center et les systèmes de gestion des demandes intégrés. Les deux tâches sont initialement désactivées et vous devez les activer pour lancer la synchronisation automatique des données des demandes.

La clôture d'une demande résout automatiquement la demande correspondante. La résolution d'une demande dans Jira ou ServiceNow déclenche également les tâches de synchronisation pour fermer la demande.

Avant de commencer

Pour activer la synchronisation des demandes, vous devez disposer de l'un des rôles SOC suivants dans la console Security Operations :

• Administrateur
• Gestionnaire des failles
• Gestionnaire de menaces

Pour en savoir plus sur les rôles SOC dans la console Security Operations et les autorisations requises pour les utilisateurs, consultez Contrôler l'accès aux fonctionnalités de la console Security Operations.

Activer la synchronisation pour les systèmes de gestion des demandes d'assistance

Pour vous assurer que les informations des demandes et des tickets sont automatiquement synchronisées, activez la tâche de synchronisation correspondant au système de gestion des demandes avec lequel vous avez intégré.

Pour activer la tâche de synchronisation, procédez comme suit :

1. Dans la console Security Operations, accédez à Réponse > Planificateur de tâches.

2. Sélectionnez le job de synchronisation approprié:

   • Si vous avez intégré Jira, sélectionnez la tâche Sync SCC-Jira Tickets (Synchroniser SCC-Jira Tickets).

   • Si vous avez intégré ServiceNow, sélectionnez Synchroniser SCC-ServiceNow Tickets. tâche.

3. Activez le bouton bascule pour activer le job sélectionné.

4. Cliquez sur Enregistrer pour permettre à Security Command Center de synchroniser automatiquement les données des demandes avec un système de gestion des tickets.

Créer des demandes d'assistance pour des demandes existantes

Security Command Center ne crée automatiquement des demandes d'assistance que pour les demandes ouvertes après l'intégration à un système de gestion des demandes d'assistance. Il n'associe pas rétroactivement de nouveaux playbooks aux alertes existantes. Pour créer des demandes pour les demandes ouvertes avant l'intégration à un système de gestion des demandes, utilisez l'une des méthodes suivantes :

• Clôturez une demande sans ticket et attendez que SCC ingère les résultats et attribue un nouveau playbook aux alertes de cas.

• Ajouter manuellement un playbook à une alerte dans une demande ouverte avant vous intégrés à un système de suivi des demandes d'assistance.

Clôturer une demande sans ticket

Pour clôturer une demande sans demande associée, procédez comme suit :

1. Dans la console Security Operations, accédez à Demandes.

2. Cliquez sur  Ouvrir le filtre. Panneau Filtre de la file d'attente des cas s'ouvre.

3. Dans le filtre de file d'attente des demandes, spécifiez les éléments suivants:

   1. Dans le champ Période, indiquez la période pour les demandes en cours.
   2. Définissez l'opérateur logique sur AND.
   3. Pour la première valeur sous Opérateur logique, sélectionnez Balises.
   4. Définissez la condition sur EST.
   5. Pour la deuxième valeur, sélectionnez Internal-SCC-Ticket-Info.
   6. Cliquez sur Appliquer pour mettre à jour les demandes dans la file d'attente et n'afficher que les qui correspondent au filtre que vous avez spécifié.

4. Dans la file d'attente des demandes, sélectionnez la demande.

5. Dans la vue de la demande, sélectionnez Close Case (Fermer la demande). La fenêtre Close Case (Clôturer la demande) s'ouvre.

6. Dans la fenêtre Fermer la demande, spécifiez les informations suivantes:

   1. Sélectionnez une valeur dans le champ Motif afin d'indiquer le motif de la clôture. le cas.

   2. Sélectionnez une valeur pour le champ Cause racine afin d'indiquer la raison de la clôture de la demande.

   3. Facultatif: Ajoutez un commentaire.

   4. Cliquez sur Fermer pour clôturer la demande. Security Command Center réingère ensuite les résultats dans une nouvelle demande et leur associe automatiquement un playbook approprié.

Ajouter manuellement un playbook à une alerte

Pour associer manuellement un playbook à une alerte dans une demande existante, procédez comme suit :

1. Dans la console Security Operations, accédez à Demandes.

2. Cliquez sur Ouvrir le filtre. Panneau Filtre de la file d'attente des cas s'ouvre.

3. Dans le filtre de file d'attente des demandes, spécifiez les éléments suivants:

   1. Dans le champ Période, indiquez la période pour les demandes en cours.
   2. Définissez l'opérateur logique sur AND.
   3. Pour la première valeur sous Opérateur logique, sélectionnez Balises.
   4. Définissez la condition sur EST.
   5. Pour la deuxième valeur, sélectionnez Internal-SCC-Ticket-Info.
   6. Cliquez sur Appliquer pour mettre à jour les demandes dans la file d'attente et n'afficher que les qui correspondent au filtre que vous avez spécifié.

4. Dans la file d'attente des demandes, sélectionnez la demande.

5. Sélectionnez une alerte contenue dans un cas.

6. Dans une vue d'alerte, accédez à l'onglet Playbooks.

7. Cliquez sur add Add Playbook (Ajouter un playbook). La fenêtre Add a Playbook (Ajouter un playbook) contenant la liste des playbooks disponibles s'affiche.

8. Dans le champ de recherche de la fenêtre Ajouter un playbook, saisissez Posture Findings.

   • Si vous avez intégré Jira, sélectionnez Posture Findings With Jira (Résultats de la stratégie avec Jira) playbook.
   • Si vous avez intégré ServiceNow, sélectionnez l'option Posture Findings With Playbook sur la neige

9. Cliquez sur Ajouter pour ajouter un playbook à une alerte.

Une fois l'opération terminée, le playbook crée une demande d'assistance et est automatiquement remplit la demande avec les informations de la demande.

L'ajout d'un playbook à une seule alerte d'un cas suffit pour créer une des demandes d'assistance et déclencher la synchronisation des données.

Étape suivante

• Découvrez comment déterminer la propriété des résultats de stratégie.

• Découvrez comment grouper les résultats dans des cas.

• Découvrez comment attribuer des demandes en fonction des cas de posture.