Security Command Center Enterprise in Ticketing-Systeme einbinden

In diesem Dokument wird erläutert, wie Sie die Enterprise-Stufe von Security Command Center in die Ticketing-Systeme einbinden, nachdem Sie die SOAR-Funktion (Security Orchestration, Automation and Response) von Google Security Operations konfiguriert haben.

Die Einbindung in Ticketsysteme ist optional und erfordert eine manuelle Konfiguration. Wenn Sie die Standardkonfiguration von Security Command Center Enterprise verwenden, müssen Sie diesen Vorgang nicht ausführen. Du kannst später jederzeit ein Ticketing-System einbinden.

Überblick

Sie können Ergebnisse mithilfe der Console und der APIs mit der Standardkonfiguration von Security Command Center Enterprise verfolgen. Wenn Ihre Organisation Ticketsysteme zur Nachverfolgung von Problemen verwendet, binden Sie Jira oder ServiceNow nach der Konfiguration Ihrer Google Security Operations-Instanz in Jira oder ServiceNow ein.

Wenn Ergebnisse für Ressourcen empfangen werden, analysiert und filtert der SCC Enterprise – Urgent Posture Findings Connector Ergebnisse während der Aufnahme und gruppiert sie je nach Ergebnistyp in neue oder vorhandene Fälle.

Wenn Sie ein Ticketing-System einbinden, erstellt Security Command Center jedes Mal ein neues Ticket, wenn ein neuer Fall für Ergebnisse erstellt wird. Security Command Center aktualisiert das zugehörige Ticket automatisch, wenn ein Fall aktualisiert wird.

Ein einzelner Fall kann mehrere Ergebnisse enthalten. Security Command Center erstellt ein Ticket für jeden Fall und synchronisiert den Inhalt und die Informationen der Anfrage mit dem entsprechenden Ticket, damit die Ticketbeauftragten wissen, was zu beheben ist.

Die Synchronisierung zwischen einem Fall und dem zugehörigen Ticket funktioniert auf beide Arten:

• Änderungen innerhalb eines Falls, z. B. eine Statusaktualisierung oder ein neuer Kommentar, werden automatisch im zugehörigen Ticket übernommen.

• In ähnlicher Weise werden die Ticketdetails mit dem Fall synchronisiert und mit Informationen aus dem Ticketsystem angereichert.

Hinweise

Bevor Sie Jira oder ServiceNow konfigurieren, geben Sie eine gültige E-Mail-Adresse für den Parameter Fallback Owner im SCC Enterprise – Urgent Posture Findings Connector an und prüfen Sie, ob diese E-Mail-Adresse in Ihrem Ticketing-System zuweisbar ist.

In Jira einbinden

Führen Sie alle Integrationsschritte aus, um die Fallaktualisierungen mit Jira-Problemen zu synchronisieren und für den richtigen Playbook-Ablauf zu sorgen.

Die Fallpriorität spiegelt den Schweregrad des Jira-Problems wider.

Neues Projekt in Jira erstellen

Führen Sie in dem Fall eine manuelle Maßnahme aus, um ein neues Projekt in Jira für Security Command Center Enterprise-Probleme mit dem Namen SCC Enterprise Project (SCCE) zu erstellen. Sie können einen vorhandenen Fall verwenden oder einen simulieren. Weitere Informationen zum Simulieren von Fällen finden Sie auf der Seite Fälle simulieren in der Google SecOps-Dokumentation.

Zum Erstellen eines neuen Jira-Projekts benötigen Sie Jira-Anmeldedaten auf Administratorebene.

Führen Sie die folgenden Schritte aus, um ein neues Jira-Projekt zu erstellen:

1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
2. Wählen Sie einen vorhandenen Fall oder den simulierten Fall aus.
3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
4. Geben Sie in das Feld Suchen der manuellen Maßnahme Create SCC Enterprise ein.
5. Wählen Sie in den Suchergebnissen unter der SCCEnterprise-Integration die Aktion Create SCC Enterprise Cloud Posture Ticket Type Jira (SCC Enterprise Cloud Posture Ticket Type Jira) aus. Das Dialogfeld wird geöffnet.

6. Geben Sie zum Konfigurieren des Parameters API Root das API-Stammverzeichnis Ihrer Jira-Instanz ein, z. B. https://YOUR_DOMAIN_NAME.atlassian.net.

7. Geben Sie zum Konfigurieren des Parameters Nutzername den Nutzernamen ein, mit dem Sie sich als Administrator in Jira anmelden.

8. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, mit dem Sie sich als Administrator in Jira anmelden.

9. Geben Sie zum Konfigurieren des Parameters API Token das in der Jira-Konsole generierte API-Token Ihres Atlassian-Administratorkontos ein.

10. Klicken Sie auf Execute. Warten Sie, bis die Aktion abgeschlossen ist.

Optional: Benutzerdefiniertes Jira-Problemlayout konfigurieren

1. Melden Sie sich als Administrator in Jira an.
2. Rufen Sie Projekte > SCC Enterprise-Projekt (SCCE) auf.
3. Passen Sie Problemfelder an und ordnen Sie sie neu an. Weitere Informationen zum Verwalten von Problemfeldern finden Sie in der Jira-Dokumentation unter Layout von Problemfeldern konfigurieren.

Jira-Integration konfigurieren

1. Klicken Sie in der Security Operations-Konsole auf Response > Integrations Setup (Antwort > Integrationseinrichtung).
2. Wählen Sie die Standardumgebung aus.
3. Geben Sie im Feld Search der Integration Jira ein. Die Jira wird als Suchergebnis zurückgegeben.
4. Klicken Sie auf settings Instanz konfigurieren. Das Dialogfeld wird geöffnet.

5. Geben Sie zum Konfigurieren des Parameters API Root das API-Stammverzeichnis Ihrer Jira-Instanz ein, z. B. https://YOUR_DOMAIN_NAME.atlassian.net.

6. Geben Sie zum Konfigurieren des Parameters username den Nutzernamen ein, mit dem Sie sich in Jira anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

7. Geben Sie zum Konfigurieren des Parameters API Token das API-Token Ihres Atlassian-Kontos ohne Administrator ein, das in der Jira-Konsole generiert wurde.

8. Klicken Sie auf Speichern.

9. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook für Statusergebnisse mit Jira aktivieren

1. Gehen Sie in der Security Operations-Konsole zu Antwort > Playbooks.
2. Geben Sie in der Playbook-Suchleiste Generic ein.
3. Wählen Sie das Playbook Statusergebnisse – allgemein aus. Dieses Playbook ist standardmäßig aktiviert.
4. Stellen Sie die Ein/Aus-Schaltfläche auf Playbook deaktivieren.
5. Klicken Sie auf Speichern.
6. Geben Sie in der Playbook-Suchleiste Jira ein.
7. Wählen Sie das Playbook Status-Ergebnisse mit Jira aus. Dieses Playbook ist standardmäßig deaktiviert.
8. Stellen Sie die Ein/Aus-Schaltfläche auf Playbook aktivieren.
9. Klicken Sie auf Speichern.

In ServiceNow einbinden

Führen Sie alle Integrationsschritte aus, um die Aktualisierungen von Google SecOps-Fällen mit ServiceNow-Tickets zu synchronisieren, und sorgen Sie für den richtigen Playbook-Ablauf.

Benutzerdefinierten ServiceNow-Tickettyp erstellen und konfigurieren

Erstellen und konfigurieren Sie den benutzerdefinierten Tickettyp „ServiceNow“ und aktivieren Sie den Tab „Aktivitäten“ in der ServiceNow-Benutzeroberfläche. Verwenden Sie nicht das fehlerhafte Ticket-Layout.

Benutzerdefinierten ServiceNow-Tickettyp erstellen

Zum Erstellen eines benutzerdefinierten ServiceNow-Tickettyps sind Anmeldedaten auf ServiceNow-Administratorebene erforderlich.

Führe die folgenden Schritte aus, um eine benutzerdefinierte Ticketart zu erstellen:

1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
2. Wählen Sie einen vorhandenen Fall oder den simulierten Fall aus.
3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
4. Geben Sie in das Feld Suchen der manuellen Maßnahme Create SCC Enterprise ein.
5. Wählen Sie in den Suchergebnissen unter der Integration von SCCEnterprise die Aktion Create SCC Enterprise Cloud Posture Ticket Type SNOW aus. Das Dialogfeld wird geöffnet.

6. Geben Sie zum Konfigurieren des Parameters API Root das API-Stammverzeichnis Ihrer ServiceNow-Instanz ein, z. B. https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Geben Sie zum Konfigurieren des Parameters username den Nutzernamen ein, mit dem Sie sich als Administrator bei ServiceNow anmelden.

8. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, mit dem Sie sich bei ServiceNow als Administrator anmelden.

9. Lassen Sie das Feld leer oder geben Sie gegebenenfalls einen Wert an, um den Parameter Table Role zu konfigurieren. Für diesen Parameter ist nur ein Rollenwert zulässig.

   Das Feld Table Role (Tabellenrolle) ist standardmäßig leer, um eine neue benutzerdefinierte Rolle in ServiceNow zu erstellen, um die Security Command Center Enterprise-Tickets zu verwalten. Nur ServiceNow-Nutzer, denen diese neue benutzerdefinierte Rolle zugewiesen wurde, haben Zugriff auf die Security Command Center Enterprise-Tickets.

   Wenn Sie bereits eine spezielle Rolle für Nutzer haben, die Vorfälle in ServiceNow verwalten, und Sie diese Rolle zum Verwalten der Security Command Center Enterprise-Ergebnisse verwenden möchten, geben Sie den Namen der vorhandenen ServiceNow-Rolle in das Feld Tabellenrolle ein. Wenn Sie beispielsweise den vorhandenen Wert incident_handler_role angeben, können alle Nutzer, denen die Rolle incident_handler_role in ServiceNow gewährt wurde, auf die Security Command Center Enterprise-Tickets zugreifen.

10. Klicken Sie auf Execute. Warten Sie, bis die Aktion abgeschlossen ist.

Benutzerdefiniertes ServiceNow-Ticketlayout konfigurieren

Führen Sie die folgenden Schritte aus, damit die Aktualisierungen zu Fällen und Fallkommentaren in der ServiceNow-UI korrekt angezeigt werden:

1. Gehen Sie in Ihrem ServiceNow-Administratorkonto zum Tab Alle.
2. Geben Sie SCC Enterprise in das Feld Suchen ein.
3. Wählen Sie in der Drop-down-Liste das SCC Enterprise Cloud Posture Ticket aus und führen Sie eine Suche aus.
4. Wählen Sie das Status-Testticket aus. Die Seite mit dem Layout des ServiceNow-Tickets wird geöffnet.
5. Gehen Sie auf der Seite für das ServiceNow-Ticketlayout zu Zusätzliche Aktionen > Konfigurieren > Formularlayout.
6. Wechseln Sie zum Bereich Formularansicht und -abschnitt.
7. Wählen Sie im Feld Abschnitt die Option u_scc_enterprise_cloud_posture_ticket aus.
8. Klicken Sie auf Speichern. Nach der Aktualisierung der Seite sind die Felder der Ticketvorlage auf zwei Spalten verteilt.
9. Klicken Sie auf Zusätzliche Aktionen > Konfigurieren > Formularlayout.
10. Wechseln Sie zum Bereich Formularansicht und -abschnitt.
11. Wählen Sie im Feld Bereich die Option Zusammenfassung aus.
12. Klicken Sie auf Speichern. Nach der Aktualisierung der Seite hat die Ticketvorlage die neue Zusammenfassungsstruktur.

ServiceNow-Integration konfigurieren

1. Klicken Sie in der Security Operations-Konsole auf Response > Integrations Setup (Antwort > Integrationseinrichtung).
2. Wählen Sie die Standardumgebung aus.
3. Geben Sie im Feld Search der Integration ServiceNow ein. Die ServiceNow-Integration wird als Suchergebnis zurückgegeben.
4. Klicken Sie auf settings Instanz konfigurieren. Das Dialogfeld wird geöffnet.

5. Geben Sie zum Konfigurieren des Parameters API Root das API-Stammverzeichnis Ihrer ServiceNow-Instanz ein, z. B. https://INSTANCE_NAME.service-now.com/api/now/v1/.

6. Geben Sie zum Konfigurieren des Parameters username den Nutzernamen ein, mit dem Sie sich bei ServiceNow anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

7. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, mit dem Sie sich bei ServiceNow anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

8. Klicken Sie auf Speichern.

9. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook „Statusergebnisse mit SNOW“ aktivieren

1. Gehen Sie in der Security Operations-Konsole zu Antwort > Playbooks.
2. Geben Sie in der Playbook-Suchleiste Generic ein.
3. Wählen Sie das Playbook Statusergebnisse – allgemein aus. Dieses Playbook ist standardmäßig aktiviert.
4. Stellen Sie die Ein/Aus-Schaltfläche auf Playbook deaktivieren.
5. Klicken Sie auf Speichern.
6. Geben Sie in der Playbook-Suchleiste SNOW ein.
7. Wählen Sie das Playbook Status-Ergebnisse mit SNOW aus. Dieses Playbook ist standardmäßig deaktiviert.
8. Stellen Sie die Ein/Aus-Schaltfläche auf Playbook aktivieren.
9. Klicken Sie auf Speichern.

Synchronisierung von Falldaten aktivieren

Security Command Center synchronisiert die Informationen zwischen einem Fall und dem zugehörigen Ticket automatisch und sorgt dafür, dass Priorität, Status, Kommentare und andere relevante Daten zwischen einem Fall und dem zugehörigen Ticket abgeglichen werden.

Zum Synchronisieren von Falldaten verwendet Security Command Center interne automatische Prozesse, die als Synchronisierungsjobs bezeichnet werden. Mit den Jobs Sync SCC-Jira Tickets und Sync SCC-ServiceNow Tickets werden Falldaten zwischen Security Command Center und integrierten Ticketsystemen synchronisiert. Beide Jobs sind anfangs deaktiviert und müssen von Ihnen aktiviert werden, um die automatische Synchronisierung von Falldaten zu starten.

Wenn Sie einen Fall schließen, wird automatisch das entsprechende Ticket aufgelöst. Wenn Sie ein Ticket in Jira oder ServiceNow lösen, werden auch die Synchronisierungsjobs ausgelöst, um den Fall zu schließen.

Hinweise

Um die Synchronisierung von Fällen zu aktivieren, benötigen Sie eine der folgenden SOC-Rollen in der Security Operations-Konsole:

• Administrator
• Sicherheitslückenmanager
• Threat Manager

Weitere Informationen zu SOC-Rollen in der Security Operations-Konsole und zu den für Nutzer erforderlichen Berechtigungen finden Sie unter Zugriff auf Funktionen in der Security Operations-Konsole steuern.

Synchronisierung für Ticketsysteme aktivieren

Damit die Informationen in Fällen und Tickets automatisch synchronisiert werden, musst du den Synchronisierungsjob aktivieren, der für das Ticketsystem relevant ist, in das du eingebunden bist.

Führen Sie die folgenden Schritte aus, um den Synchronisierungsjob zu aktivieren:

1. Klicken Sie in der Security Operations-Konsole auf Antwort > Job-Planer.

2. Wählen Sie den richtigen Synchronisierungsjob aus:

   • Wenn Sie die Integration mit Jira abgeschlossen haben, wählen Sie den Job Sync SCC-Jira Tickets (SCC-Jira-Tickets synchronisieren) aus.

   • Wenn Sie bei ServiceNow eingebunden sind, wählen Sie den Job Sync SCC-ServiceNow Tickets aus.

3. Aktivieren Sie den ausgewählten Job mit der Ein/Aus-Schaltfläche.

4. Klicken Sie auf Speichern, damit Security Command Center Falldaten automatisch mit einem Ticketing-System synchronisiert.

Tickets für vorhandene Fälle erstellen

Security Command Center erstellt automatisch Tickets nur für Fälle, die nach der Einbindung in ein Ticketing-System geöffnet wurden. An vorhandene Benachrichtigungen werden keine neuen Playbooks rückwirkend angehängt. Nutze einen der folgenden Ansätze, um Tickets für Fälle zu erstellen, die vor der Integration in ein Ticketing-System geöffnet wurden:

• Schließen Sie einen Fall, der kein Ticket hat, und warten Sie, bis SCC die Ergebnisse noch einmal aufnimmt und den Fallbenachrichtigungen ein neues Playbook zuweist.

• Fügen Sie jeder Benachrichtigung in einem Fall, der vor der Einbindung in ein Ticketing-System geöffnet wurde, manuell ein Playbook hinzu.

Anfrage ohne Ticket schließen

So schließen Sie einen Fall, für den kein Ticket verfügbar ist:

1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).

2. Klicken Sie auf Filter öffnen. Der Bereich Fallwarteschlangenfilter wird geöffnet.

3. Geben Sie im Filter für die Fallwarteschlange Folgendes an:

   1. Geben Sie im Feld Zeitraum den Zeitraum für offene Anfragen an.
   2. Setzen Sie Logischer Operator auf AND.
   3. Wählen Sie für den ersten Wert unter Logischer Operator die Option Tags aus.
   4. Legen Sie als Bedingung IS fest.
   5. Wählen Sie für den zweiten Wert Internal-SCC-Ticket-Info aus.
   6. Klicken Sie auf Anwenden, um Fälle in der Fallwarteschlange zu aktualisieren und nur die Fälle anzeigen zu lassen, die dem angegebenen Filter entsprechen.

4. Wählen Sie den Fall aus der Fallwarteschlange aus.

5. Wählen Sie in der Fallansicht die Option Fall schließen aus. Das Fenster Fall schließen wird geöffnet.

6. Geben Sie im Fenster Fall schließen Folgendes an:

   1. Wählen Sie einen Wert für das Feld Grund aus, um den Grund für das Schließen des Falls anzugeben.

   2. Wählen Sie im Feld Ursache einen Wert aus, der den Grund für das Schließen des Falls angibt.

   3. Optional: Fügen Sie einen Kommentar hinzu.

   4. Klicken Sie auf Schließen, um den Fall zu schließen. Security Command Center nimmt dann die Ergebnisse noch einmal in einen neuen Fall auf und hängt automatisch ein korrektes Playbook an.

Playbook manuell zu einer Benachrichtigung hinzufügen

Führen Sie die folgenden Schritte aus, um ein Playbook manuell an eine Benachrichtigung in einem vorhandenen Fall anzuhängen:

1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).

2. Klicken Sie auf Filter öffnen. Der Bereich Fallwarteschlangenfilter wird geöffnet.

3. Geben Sie im Filter für die Fallwarteschlange Folgendes an:

   1. Geben Sie im Feld Zeitraum den Zeitraum für offene Anfragen an.
   2. Setzen Sie Logischer Operator auf AND.
   3. Wählen Sie für den ersten Wert unter Logischer Operator die Option Tags aus.
   4. Legen Sie als Bedingung IS fest.
   5. Wählen Sie für den zweiten Wert Internal-SCC-Ticket-Info aus.
   6. Klicken Sie auf Anwenden, um Fälle in der Fallwarteschlange zu aktualisieren und nur die Fälle anzeigen zu lassen, die dem angegebenen Filter entsprechen.

4. Wählen Sie den Fall aus der Fallwarteschlange aus.

5. Wählen Sie eine in einem Fall enthaltene Benachrichtigung aus.

6. Rufen Sie in einer Benachrichtigungsansicht den Tab Playbooks auf.

7. Klicken Sie auf add Playbook hinzufügen. Das Fenster Playbook hinzufügen mit einer Liste der verfügbaren Playbooks wird angezeigt.

8. Geben Sie im Suchfeld des Fensters Add a Playbook (Playbook hinzufügen) Posture Findings ein.

   • Wenn Sie Jira eingebunden haben, wählen Sie das Playbook Posture Findings With Jira aus.
   • Wenn Sie ServiceNow eingebunden haben, wählen Sie das Playbook Posture Findings With SNOW aus.

9. Klicken Sie auf Hinzufügen, um einer Benachrichtigung ein Playbook hinzuzufügen.

Nach Abschluss erstellt das Playbook ein Ticket für einen Fall und füllt das Ticket automatisch mit Informationen aus dem Fall.

Es reicht aus, ein Playbook zu einer einzelnen Benachrichtigung in einem Fall hinzuzufügen, um ein Ticket zu erstellen und die Datensynchronisierung auszulösen.

Nächste Schritte

• Weitere Informationen zum Ermitteln der Inhaberschaft für Statusergebnisse

• Weitere Informationen zum Gruppieren von Ergebnissen in Supportanfragen

• Hier erfahren Sie, wie Sie Tickets basierend auf Statusfällen zuweisen.