Security Command Center Enterprise in Ticketing-Systeme einbinden

In diesem Dokument wird erläutert, wie Sie die Enterprise-Stufe von Security Command Center in die Ticketing-Systeme einbinden, nachdem Sie die SOAR-Funktion (Security Orchestration, Automation and Response) von Google Security Operations konfiguriert haben.

Die Einbindung in Ticketsysteme ist optional und erfordert eine manuelle Konfiguration. Wenn Sie die Standardkonfiguration von Security Command Center Enterprise verwenden möchten, müssen Sie diesen Vorgang nicht ausführen. Du kannst später jederzeit ein Ticketing-System einbinden.

Überblick

Mit der Standardkonfiguration von Security Command Center Enterprise können Sie Ergebnisse mithilfe der Konsole und der APIs verfolgen. Wenn Ihre Organisation Ticketsysteme zur Nachverfolgung von Problemen verwendet, binden Sie Jira oder ServiceNow nach der Konfiguration Ihrer Google Security Operations-Instanz in Jira oder ServiceNow ein.

Wenn Ergebnisse für Ressourcen empfangen werden, analysiert und filtert der SCC Enterprise – Urgent Posture Findings Connector Ergebnisse während der Aufnahme und gruppiert sie je nach Ergebnistyp in neue oder vorhandene Fälle.

Wenn Sie ein Ticketing-System einbinden, erstellt Security Command Center jedes Mal ein neues Ticket, wenn ein neuer Fall für Ergebnisse erstellt wird. Bei jeder Aktualisierung eines Falls aktualisiert Security Command Center automatisch auch das zugehörige Ticket.

Ein einzelner Fall kann ein oder mehrere Ergebnisse enthalten. Security Command Center erstellt ein Ticket für jeden Fall und synchronisiert den Inhalt und die Informationen der Anfrage mit dem entsprechenden Ticket, damit die Ticketbeauftragten wissen, was zu beheben ist.

Die Synchronisierung zwischen einem Fall und dem zugehörigen Ticket funktioniert auf beide Arten: Wenn es in einem Fall eine Aktualisierung gibt, z. B. eine Statusänderung oder ein neuer Kommentar, wird dies in einem Ticket widergespiegelt. Die Ticketdetails werden mit der Anreicherung des Ticketsystems synchronisiert.

Hinweise

Bevor Sie Jira oder ServiceNow konfigurieren, geben Sie eine gültige E-Mail-Adresse für den Parameter Fallback Owner im SCC Enterprise – Urgent Posture Findings Connector an und prüfen Sie, ob diese E-Mail-Adresse in Ihrem Ticketing-System zuweisbar ist.

In Jira einbinden

Führen Sie alle Integrationsschritte aus, um die Aktualisierungen von Google SecOps-Fällen mit Jira-Problemen zu synchronisieren und für den richtigen Playbook-Ablauf zu sorgen.

Die Fallpriorität spiegelt den Schweregrad des Jira-Problems wider.

Neues Projekt in Jira erstellen

Führen Sie in dem Fall eine manuelle Maßnahme aus, um ein neues Projekt in Jira für Security Command Center Enterprise-Probleme mit dem Namen SCC Enterprise Project (SCCE) zu erstellen. Sie können einen vorhandenen Fall verwenden oder einen simulieren. Weitere Informationen zum Simulieren von Fällen finden Sie auf der Seite Fälle simulieren in der Google SecOps-Dokumentation.

Zum Erstellen eines neuen Jira-Projekts benötigen Sie Jira-Anmeldedaten auf Administratorebene.

Führen Sie die folgenden Schritte aus, um ein neues Jira-Projekt zu erstellen:

1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
2. Wählen Sie einen vorhandenen Fall oder den simulierten Fall aus.
3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
4. Geben Sie in das Feld Suchen der manuellen Maßnahme Create SCC Enterprise ein.
5. Wählen Sie in den Suchergebnissen unter der SCCEnterprise-Integration die Aktion Create SCC Enterprise Cloud Posture Ticket Type Jira (SCC Enterprise Cloud Posture Ticket Type Jira) aus. Das Dialogfeld wird geöffnet.

6. Geben Sie zum Konfigurieren des Parameters API Root das API-Stammverzeichnis Ihrer Jira-Instanz ein, z. B. https://YOUR_DOMAIN_NAME.atlassian.net.

7. Geben Sie zum Konfigurieren des Parameters Nutzername den Nutzernamen ein, mit dem Sie sich als Administrator in Jira anmelden.

8. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, mit dem Sie sich als Administrator in Jira anmelden.

9. Geben Sie zum Konfigurieren des Parameters API Token das in der Jira-Konsole generierte API-Token Ihres Atlassian-Administratorkontos ein.

10. Klicken Sie auf Execute. Warten Sie, bis die Aktion abgeschlossen ist.

Optional: Benutzerdefiniertes Jira-Problemlayout konfigurieren

1. Melden Sie sich als Administrator in Jira an.
2. Rufen Sie Projekte > SCC Enterprise-Projekt (SCCE) auf.
3. Passen Sie Problemfelder an und ordnen Sie sie neu an. Weitere Informationen zum Verwalten von Problemfeldern finden Sie in der Jira-Dokumentation unter Layout von Problemfeldern konfigurieren.

Jira-Integration konfigurieren

1. Klicken Sie in der Security Operations-Konsole auf Response > Integrations Setup (Antwort > Integrationseinrichtung).
2. Wählen Sie die Standardumgebung aus.
3. Geben Sie im Feld Search der Integration Jira ein. Die Jira wird als Suchergebnis zurückgegeben.
4. Klicken Sie auf settings Instanz konfigurieren. Das Dialogfeld wird geöffnet.

5. Geben Sie zum Konfigurieren des Parameters API Root das API-Stammverzeichnis Ihrer Jira-Instanz ein, z. B. https://YOUR_DOMAIN_NAME.atlassian.net.

6. Geben Sie zum Konfigurieren des Parameters username den Nutzernamen ein, mit dem Sie sich in Jira anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

7. Geben Sie zum Konfigurieren des Parameters API Token das API-Token Ihres Atlassian-Kontos ohne Administrator ein, das in der Jira-Konsole generiert wurde.

8. Klicken Sie auf Speichern.

9. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook für Statusergebnisse mit Jira aktivieren

1. Gehen Sie in der Security Operations-Konsole zu Antwort > Playbooks.
2. Geben Sie in der Playbook-Suchleiste Generic ein.
3. Wählen Sie das Playbook Statusergebnisse – allgemein aus. Dieses Playbook ist standardmäßig aktiviert.
4. Stellen Sie die Ein/Aus-Schaltfläche auf Playbook deaktivieren.
5. Klicken Sie auf Speichern.
6. Geben Sie in der Playbook-Suchleiste Jira ein.
7. Wählen Sie das Playbook Status-Ergebnisse mit Jira aus. Dieses Playbook ist standardmäßig deaktiviert.
8. Stellen Sie die Ein/Aus-Schaltfläche auf Playbook aktivieren.
9. Klicken Sie auf Speichern.

In ServiceNow einbinden

Führen Sie alle Integrationsschritte aus, um die Aktualisierungen von Google SecOps-Fällen mit ServiceNow-Tickets zu synchronisieren, und sorgen Sie für den richtigen Playbook-Ablauf.

Benutzerdefinierten ServiceNow-Tickettyp erstellen und konfigurieren

Erstellen und konfigurieren Sie den benutzerdefinierten Tickettyp „ServiceNow“ und aktivieren Sie den Tab „Aktivitäten“ in der ServiceNow-Benutzeroberfläche. Verwenden Sie nicht das fehlerhafte Ticket-Layout.

Benutzerdefinierten ServiceNow-Tickettyp erstellen

Zum Erstellen eines benutzerdefinierten ServiceNow-Tickettyps sind Anmeldedaten auf ServiceNow-Administratorebene erforderlich.

Führe die folgenden Schritte aus, um eine benutzerdefinierte Ticketart zu erstellen:

1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
2. Wählen Sie einen vorhandenen Fall oder den simulierten Fall aus.
3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
4. Geben Sie in das Feld Suchen der manuellen Maßnahme Create SCC Enterprise ein.
5. Wählen Sie in den Suchergebnissen unter der Integration von SCCEnterprise die Aktion Create SCC Enterprise Cloud Posture Ticket Type SNOW aus. Das Dialogfeld wird geöffnet.

6. Geben Sie zum Konfigurieren des Parameters API Root das API-Stammverzeichnis Ihrer ServiceNow-Instanz ein, z. B. https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Geben Sie zum Konfigurieren des Parameters username den Nutzernamen ein, mit dem Sie sich als Administrator bei ServiceNow anmelden.

8. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, mit dem Sie sich bei ServiceNow als Administrator anmelden.

9. Lassen Sie das Feld leer oder geben Sie gegebenenfalls einen Wert an, um den Parameter Table Role zu konfigurieren. Für diesen Parameter ist nur ein Rollenwert zulässig.

   Das Feld Table Role (Tabellenrolle) ist standardmäßig leer, um eine neue benutzerdefinierte Rolle in ServiceNow zu erstellen, um die Security Command Center Enterprise-Tickets zu verwalten. Nur ServiceNow-Nutzer, denen diese neue benutzerdefinierte Rolle zugewiesen wurde, haben Zugriff auf die Security Command Center Enterprise-Tickets.

   Wenn Sie bereits eine spezielle Rolle für Nutzer haben, die Vorfälle in ServiceNow verwalten, und Sie diese Rolle zum Verwalten der Security Command Center Enterprise-Ergebnisse verwenden möchten, geben Sie den Namen der vorhandenen ServiceNow-Rolle in das Feld Tabellenrolle ein. Wenn Sie beispielsweise den vorhandenen Wert incident_handler_role angeben, können alle Nutzer, denen die Rolle incident_handler_role in ServiceNow gewährt wurde, auf die Security Command Center Enterprise-Tickets zugreifen.

10. Klicken Sie auf Execute. Warten Sie, bis die Aktion abgeschlossen ist.

Benutzerdefiniertes ServiceNow-Ticketlayout konfigurieren

Führen Sie die folgenden Schritte aus, damit die Aktualisierungen zu Fällen und Fallkommentaren in der ServiceNow-UI korrekt angezeigt werden:

1. Gehen Sie in Ihrem ServiceNow-Administratorkonto zum Tab Alle.
2. Geben Sie SCC Enterprise in das Feld Suchen ein.
3. Wählen Sie in der Drop-down-Liste das SCC Enterprise Cloud Posture Ticket aus und führen Sie eine Suche aus.
4. Wählen Sie das Status-Testticket aus. Die Seite mit dem Layout des ServiceNow-Tickets wird geöffnet.
5. Gehen Sie auf der Seite für das ServiceNow-Ticketlayout zu Zusätzliche Aktionen > Konfigurieren > Formularlayout.
6. Wechseln Sie zum Bereich Formularansicht und -abschnitt.
7. Wählen Sie im Feld Abschnitt die Option u_scc_enterprise_cloud_posture_ticket aus.
8. Klicken Sie auf Speichern. Nach der Aktualisierung der Seite sind die Felder der Ticketvorlage auf zwei Spalten verteilt.
9. Klicken Sie auf Zusätzliche Aktionen > Konfigurieren > Formularlayout.
10. Wechseln Sie zum Bereich Formularansicht und -abschnitt.
11. Wählen Sie im Feld Bereich die Option Zusammenfassung aus.
12. Klicken Sie auf Speichern. Nach der Aktualisierung der Seite hat die Ticketvorlage die neue Zusammenfassungsstruktur.

ServiceNow-Integration konfigurieren

1. Klicken Sie in der Security Operations-Konsole auf Response > Integrations Setup (Antwort > Integrationseinrichtung).
2. Wählen Sie die Standardumgebung aus.
3. Geben Sie im Feld Search der Integration ServiceNow ein. Die ServiceNow-Integration wird als Suchergebnis zurückgegeben.
4. Klicken Sie auf settings Instanz konfigurieren. Das Dialogfeld wird geöffnet.

5. Geben Sie zum Konfigurieren des Parameters API Root das API-Stammverzeichnis Ihrer ServiceNow-Instanz ein, z. B. https://INSTANCE_NAME.service-now.com/api/now/v1/.

6. Geben Sie zum Konfigurieren des Parameters username den Nutzernamen ein, mit dem Sie sich bei ServiceNow anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

7. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, mit dem Sie sich bei ServiceNow anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

8. Klicken Sie auf Speichern.

9. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook „Statusergebnisse mit SNOW“ aktivieren

1. Gehen Sie in der Security Operations-Konsole zu Antwort > Playbooks.
2. Geben Sie in der Playbook-Suchleiste Generic ein.
3. Wählen Sie das Playbook Statusergebnisse – allgemein aus. Dieses Playbook ist standardmäßig aktiviert.
4. Stellen Sie die Ein/Aus-Schaltfläche auf Playbook deaktivieren.
5. Klicken Sie auf Speichern.
6. Geben Sie in der Playbook-Suchleiste SNOW ein.
7. Wählen Sie das Playbook Status-Ergebnisse mit SNOW aus. Dieses Playbook ist standardmäßig deaktiviert.
8. Stellen Sie die Ein/Aus-Schaltfläche auf Playbook aktivieren.
9. Klicken Sie auf Speichern.

Nächste Schritte

• Weitere Informationen zum Ermitteln der Inhaberschaft für Statusergebnisse

• Weitere Informationen zum Gruppieren von Ergebnissen in Supportanfragen

• Hier erfahren Sie, wie Sie Tickets basierend auf Statusfällen zuweisen.