Security Command Center Enterprise をチケット発行システムと統合する

このドキュメントでは、セキュリティ、オーケストレーション、自動化、対応(SOAR)を構成した後、Security Command Center のエンタープライズ ティアをチケット発行システムと統合する方法について説明します。

チケット発行システムとの統合はオプションであり、手動で構成する必要があります。デフォルトの Security Command Center Enterprise 構成を使用している場合は、この手順を行う必要はありません。後でいつでもチケット発行システムとの統合できます。

概要

デフォルトの Security Command Center Enterprise 構成でコンソールと API を使用して検出結果を追跡できます。組織でチケット発行システムを使用して問題を追跡している場合は、Google Security Operations インスタンスを構成した後に Jira または ServiceNow と統合します。

リソースの検出結果を受信すると、SCC Enterprise - 緊急体制検出コネクタは、取り込み中に検出結果を分析してフィルタし、新規または既存のケースにグループ化します。(検出結果の種類によって異なります。)

チケット発行システムと統合する場合、Security Command Center は検出結果の新しいケースを作成するたびに新しいチケットを作成します。Security Command Center は、ケースが更新されるたびに関連するチケットを自動的に更新します。

1 つのケースに複数の検出結果を含めることができます。Security Command Center では、ケースごとに 1 つのチケットを作成し、ケースの内容と情報を対応するチケットと同期して、チケットの割り当て先に修正すべき箇所を知らせます。

ケースとチケットの同期は双方向で行われます。

  • ステータスの更新や新しいコメントなど、ケース内の変更は、関連するチケットに自動的に反映されます。

  • 同様に、チケットの詳細はケースと同期され、チケット発行システムからの情報が追加されます。

始める前に

Jira または ServiceNow を構成する前に、[SCC Enterprise - Urgent Posture Findings Connector] の [代替オーナー] パラメータに有効なメールアドレスを指定します。このメールがチケット発行システムで割り当てられることを確認します。

Jira と統合する

すべての統合手順を完了して、ケースの更新を Jira の問題と同期し、正しいハンドブックのフローを確実にします。

ケースの優先度は、Jira の問題の重大度に反映されます。

Jira で新しいプロジェクトを作成する

SCC Enterprise Project(SCCE)と呼ばれる Security Command Center Enterprise の問題のために Jira で新しいプロジェクトを作成するには、ケースで手動アクションを実行します。既存のケースを使用することも、ケースをシミュレートすることもできます。ケースのシミュレーションの詳細については、Google SecOps ドキュメントのケースのシミュレーションのページをご覧ください。

新しい Jira プロジェクトを作成するには、Jira 管理者レベルの認証情報が必要です。

新しい Jira プロジェクトを作成するには、次の手順を実行します。

  1. セキュリティ運用コンソールで、[ケース] に移動します。
  2. 既存のケースまたはシミュレーションしたケースを選択します。
  3. [ケースの概要] タブで [手動による対策] をクリックします。
  4. [手動での対応] の [検索] フィールドに「Create SCC Enterprise」と入力します。
  5. SCCEnterprise 統合の検索結果で、[SCCEnterprise] アクションを選択します。ダイアログ ウィンドウが開きます。

  6. API ルート パラメータを構成するには、Jira インスタンスの API ルート(https://YOUR_DOMAIN_NAME.atlassian.net など)を入力します。

  7. ユーザー名パラメータを構成するには、管理者として Jira へのログインに使用するユーザー名を入力します。

  8. パスワード パラメータを構成するには、管理者として Jira へのログインに使用するパスワードを入力します。

  9. API トークン パラメータを構成するには、Jira コンソールで生成された Atlassian 管理者アカウントの API トークンを入力します。

  10. [実行] をクリックします。アクションが完了するまで待ちます。

省略可: カスタム Jira の問題レイアウトを構成する

  1. 管理者として Jira にログインします。
  2. [Projects] > [SCC Enterprise Project (SCCE)] に移動します。
  3. 問題フィールドの調整と並べ替えを行います。問題フィールドの管理の詳細については、Jira のドキュメントの問題フィールド レイアウトの構成をご覧ください。

Jira 統合を構成する

  1. セキュリティ運用コンソールで、[レスポンス] > [統合の設定] に移動します。
  2. デフォルト環境を選択します。
  3. 統合の [検索] フィールドに「Jira」と入力します。Jira 統合が検索結果として返されます。
  4. [ インスタンスを構成] をクリックします。ダイアログ ウィンドウが開きます。

  5. API ルート パラメータを構成するには、Jira インスタンスの API ルート(https://YOUR_DOMAIN_NAME.atlassian.net など)を入力します。

  6. ユーザー名パラメータを構成するには、Jira へのログインに使用するユーザー名を入力します。管理者の認証情報は使用しないでください。

  7. [API トークン] パラメータを構成するには、Jira コンソールで生成された管理者以外の Atlassian アカウントの API トークンを入力します。

  8. [保存] をクリックします。

  9. 構成をテストするには、[テスト] をクリックします。

Jira ハンドブックで体制の検出結果を有効にする

  1. セキュリティ運用コンソールで、[レスポンス] > [ハンドブック] に移動します。
  2. ハンドブックの [検索] バーに「Generic」と入力します。
  3. [体制の検出 - 汎用] ハンドブックを選択します。このハンドブックはデフォルトで有効になっています。
  4. スイッチを切り替えて、ハンドブックを無効にします
  5. [保存] をクリックします。
  6. ハンドブックの [検索] バーに「Jira」と入力します。
  7. [Jira で体制を検出] ハンドブックを選択します。このハンドブックは、デフォルトで無効になっています。
  8. スイッチを切り替えて、ハンドブックを有効にします
  9. [保存] をクリックします。

ServiceNow と統合する

すべての統合手順を完了して、Google SecOps ケースの更新を ServiceNow チケットと同期し、正しいハンドブックのフローを確実にします。

ServiceNow カスタム チケット タイプを作成して構成する

ServiceNow カスタム チケットタイプを作成して構成し、ServiceNow UI の [アクティビティ] タブを有効にして、誤ったチケット レイアウトの使用を回避します。

ServiceNow カスタム チケットタイプを作成する

カスタム ServiceNow チケットタイプを作成するには、ServiceNow 管理者レベルの認証情報が必要です。

カスタム チケットタイプを作成するには、次の手順を行います。

  1. セキュリティ運用コンソールで、[ケース] に移動します。
  2. 既存のケースまたはシミュレーションしたケースを選択します。
  3. [ケースの概要] タブで [手動による対策] をクリックします。
  4. [手動での対応] の [検索] フィールドに「Create SCC Enterprise」と入力します。
  5. SCCEnterprise 統合の検索結果で、[SCCEnterprise] アクションを選択します。ダイアログ ウィンドウが開きます。

  6. API ルート パラメータを構成するには、ServiceNow インスタンスの API ルート(https://INSTANCE_NAME.service-now.com/api/now/v1/ など)を入力します。

  7. ユーザー名パラメータを構成するには、管理者として ServiceNow へのログインに使用するユーザー名を入力します。

  8. パスワード パラメータを構成するには、管理者として ServiceNow へのログインに使用するパスワードを入力します。

  9. テーブルのロール パラメータを構成するには、フィールドを空白のままにするか、値(存在する場合)を指定します。このパラメータは 1 つのロール値のみを受け入れます。

    デフォルトでは、[テーブルのロール] フィールドは空です。Security Command Center Enterprise チケットを明示的に管理するための ServiceNow で新しいカスタムロールを作成できます。この新しいカスタムロールが付与された ServiceNow ユーザーのみが、Security Command Center Enterprise チケットにアクセスできます。

    ServiceNow でインシデントを管理するユーザー専用のロールがすでにあり、このロールを使用して Security Command Center Enterprise の検出結果を管理する場合は、既存の ServiceNow ロール名をテーブルのロール フィールドに入力します。たとえば、既存の incident_handler_role 値を指定すると、ServiceNow で incident_handler_role ロールを付与されたすべてのユーザーが Security Command Center Enterprise チケットにアクセスできます。

  10. [実行] をクリックします。アクションが完了するまで待ちます。

ServiceNow カスタム チケット レイアウトを構成する

ServiceNow UI にケースとケースコメントに関連する更新が正確に表示されるようにするには、次の手順を行います。

  1. ServiceNow 管理者アカウントで [すべて] タブに移動します。
  2. 検索フィールドに「SCC Enterprise」と入力します。
  3. プルダウン リストで [SCC Enterprise クラウド体制チケット] を選択して検索を行います。
  4. [体制テストチケット] を選択します。ServiceNow のチケットのレイアウト ページが開きます。
  5. ServiceNow チケットのレイアウト ページで、[追加アクション] > [構成する] > [フォーム レイアウト] に移動します。
  6. [フォームビューとセクション] セクションに移動します。
  7. [セクション] フィールドで [u_scc_enterprise_cloud_posture_ticket] を選択します。
  8. [保存] をクリックします。ページが更新されると、チケット テンプレートのフィールドが 2 つの列に分割されます。
  9. [追加アクション] > [設定] > [フォーム レイアウト] に移動します。
  10. [フォームビューとセクション] セクションに移動します。
  11. [セクション] フィールドで [概要] を選択します。
  12. [保存] をクリックします。ページが更新されると、チケット テンプレートが新しい概要構造になります。

ServiceNow の統合を構成する

  1. セキュリティ運用コンソールで、[レスポンス] > [統合の設定] に移動します。
  2. デフォルト環境を選択します。
  3. 統合の [検索] フィールドに「ServiceNow」と入力します。ServiceNow 統合が検索結果として返されます。
  4. [ インスタンスを構成] をクリックします。ダイアログ ウィンドウが開きます。

  5. API ルート パラメータを構成するには、ServiceNow インスタンスの API ルート(https://INSTANCE_NAME.service-now.com/api/now/v1/ など)を入力します。

  6. ユーザー名パラメータを構成するには、ServiceNow へのログインに使用するユーザー名を入力します。管理者の認証情報は使用しないでください。

  7. パスワード パラメータを構成するには、ServiceNow へのログインに使用するパスワードを入力します。管理者の認証情報は使用しないでください。

  8. [保存] をクリックします。

  9. 構成をテストするには、[テスト] をクリックします。

SNOW ハンドブックで体制の検出結果を有効にする

  1. セキュリティ運用コンソールで、[レスポンス] > [ハンドブック] に移動します。
  2. ハンドブックの [検索] バーに「Generic」と入力します。
  3. [体制の検出 - 汎用] ハンドブックを選択します。このハンドブックはデフォルトで有効になっています。
  4. スイッチを切り替えて、ハンドブックを無効にします
  5. [保存] をクリックします。
  6. ハンドブックの [検索] バーに「SNOW」と入力します。
  7. [SNOW による体制の検索結果] ハンドブックを選択します。このハンドブックは、デフォルトで無効になっています。
  8. スイッチを切り替えて、ハンドブックを有効にします
  9. [保存] をクリックします。

ケースデータの同期を有効にする

Security Command Center では、ケースと対応するチケット間の情報を自動的に同期し、ケースとチケットの間で優先度、ステータス、コメント、その他の関連データが一致するようにします。

ケースデータを同期するために、Security Command Center は同期ジョブと呼ばれる内部自動プロセスを使用します。Sync SCC-Jira Tickets ジョブと Sync SCC-ServiceNow Tickets ジョブは、Security Command Center と統合チケット発行システム間でケースデータを同期します。どちらのジョブも最初は無効になっており、自動ケースデータ同期を開始するにはそれらのジョブを有効にする必要があります。

ケースをクローズすると、対応するチケットが自動的に解決されます。Jira または ServiceNow でチケットを解決すると、同期ジョブがトリガーされ、ケースもクローズされます。

始める前に

ケースの同期を有効にするには、セキュリティ運用コンソールで次のいずれかの SOC ロールが付与されている必要があります。

  • 管理者
  • 脆弱性マネージャー
  • 脅威マネージャー

セキュリティ運用コンソールの SOC のロールとユーザーに必要な権限の詳細については、セキュリティ運用コンソールで機能へのアクセスを制御するをご覧ください。

チケット発行システムの同期を有効にする

ケースとチケットの情報が自動的に同期されるようにするには、統合したチケット発行システムに関連する同期ジョブを有効にします。

同期ジョブを有効にするには、次の手順を実行します。

  1. セキュリティ運用コンソールで、[レスポンス] > [ジョブ スケジューラ] に移動します。

  2. 適切な同期ジョブを選択します。

    • Jira と統合した場合は、Sync SCC-Jira Tickets ジョブを選択します。

    • ServiceNow と統合した場合は、Sync SCC-ServiceNow Tickets ジョブを選択します。

  3. スイッチを切り替えて、選択したジョブを有効にします。

  4. [保存] をクリックして、Security Command Center がケースデータをチケット発行システムと自動的に同期できるようにします。

既存のケースのチケットを作成する

Security Command Center は、チケット発行システムと統合した後に開かれたケースに対してのみチケットを自動的に作成します。既存のアラートに新しいハンドブックを遡及的にアタッチすることはありません。チケット発行システムと統合する前にオープンされたケースのチケットを作成するには、次のいずれかの方法を使用します。

  • チケットのないケースをクローズし、SCC が検出結果を再インジェストしてケースアラートに新しいハンドブックを割り当てるまで待ちます。

  • チケット発行システムと統合する前にオープンされたケースのアラートに、ハンドブックを手動で追加します。

チケットなしでケースをクローズする

チケットがないケースをクローズするには、次の手順を行います。

  1. セキュリティ運用コンソールで、[ケース] に移動します。

  2. [フィルタを開く] をクリックします。[ケースキュー フィルタ] パネルが開きます。

  3. [ケースキュー フィルタ] で、次のように指定します。

    1. [期間] フィールドで、オープン ケースの期間を指定します。
    2. [論理演算子] を [AND] に設定します。
    3. [論理演算子] の最初の値で、[タグ] を選択します。
    4. 条件を [IS] に設定します。
    5. 2 番目の値として [Internal-SCC-Ticket-Info] を選択します。
    6. [適用] をクリックしてケースキュー内のケースを更新し、指定したフィルタに一致するケースのみを表示します。

  4. ケースキューからケースを選択します。

  5. [ケースビュー] で [ケースをクローズ] を選択します。[ケースをクローズする] ウィンドウが開きます。

  6. [ケースをクローズする] ウィンドウで、次のように指定します。

    1. [理由] フィールドの値を選択して、ケースをクローズする理由を示します。

    2. [根本原因] フィールドの値を選択して、ケースをクローズする理由を指定します。

    3. 省略可: コメントを追加します。

    4. [クローズ] をクリックしてケースをクローズします。その後、Security Command Center は検出結果を新しいケースに取り込み、正しいハンドブックを自動的にアタッチします。

ハンドブックをアラートに手動で追加する

既存のケースのアラートにハンドブックを手動でアタッチするには、次の手順を行います。

  1. セキュリティ運用コンソールで、[ケース] に移動します。

  2. [フィルタを開く] をクリックします。[ケースキュー フィルタ] パネルが開きます。

  3. [ケースキュー フィルタ] で、次のように指定します。

    1. [期間] フィールドで、オープン ケースの期間を指定します。
    2. [論理演算子] を [AND] に設定します。
    3. [論理演算子] の最初の値で、[タグ] を選択します。
    4. 条件を [IS] に設定します。
    5. 2 番目の値として [Internal-SCC-Ticket-Info] を選択します。
    6. [適用] をクリックしてケースキュー内のケースを更新し、指定したフィルタに一致するケースのみを表示します。

  4. ケースキューからケースを選択します。

  5. ケースに含まれているアラートを選択します。

  6. アラートビューで [ハンドブック] タブに移動します。

  7. [add ハンドブックを追加] をクリックします。[ハンドブックを追加] ウィンドウに、使用可能なハンドブックのリストが表示されます。

  8. [ハンドブックを追加] ウィンドウの検索フィールドに「Posture Findings」と入力します。

    • Jira と統合した場合は、[Jira による体制の検出結果] ハンドブックを選択します。
    • ServiceNow と統合した場合は、[SNOW による体制の検索結果] ハンドブックを選択します。

  9. [追加] をクリックして、アラートにハンドブックを追加します。

完了すると、ハンドブックによってケースのチケットが作成され、ケースの情報が自動的にチケットに入力されます。

ケース内の 1 つのアラートにハンドブックを追加すれば、チケットを作成してデータの同期をトリガーすることができます。

次のステップ