Integra Security Command Center Enterprise con sistemas de tickets

En este documento, se explica cómo integrar el nivel empresarial de Security Command Center con los sistemas de tickets después de configurar la funcionalidad de organización de seguridad, automatización y respuesta (SOAR) con la tecnología de las operaciones de seguridad de Google.

La integración con los sistemas de tickets es opcional y requiere una configuración manual. Si planeas usar la configuración predeterminada de Security Command Center Enterprise, no es necesario que realices este procedimiento. Puedes integrarlo a un sistema de tickets más adelante en cualquier momento.

Descripción general

La configuración predeterminada de Security Command Center Enterprise te permite realizar un seguimiento de los resultados mediante la consola y las APIs. Si tu organización usa sistemas de tickets para realizar un seguimiento de los problemas, intégralo en Jira o ServiceNow después de configurar tu instancia de operaciones de seguridad de Google.

Cuando recibe hallazgos de recursos, el Conector de hallazgos urgentes de la empresa: SCC Enterprise analiza y filtra los resultados durante la transferencia y los agrupa en casos nuevos o existentes, según el tipo de resultado.

Si realizas la integración en un sistema de tickets, Security Command Center crea un ticket nuevo cada vez que crea un caso nuevo para los resultados. Cada vez que se actualiza un caso, Security Command Center actualiza automáticamente el ticket relacionado.

Un solo caso puede contener uno o más hallazgos. Security Command Center crea un ticket para cada caso y sincroniza la información y el contenido del caso con el ticket correspondiente para permitir que los destinatarios sepan qué solucionar.

La sincronización entre un caso y su ticket funciona de dos maneras: si hay alguna actualización en un caso, como un cambio de estado o un comentario nuevo, se refleja en un ticket, y, en un caso, los detalles del ticket se sincronizan con el enriquecimiento del sistema de tickets.

Antes de comenzar

Antes de configurar Jira o ServiceNow, proporciona una dirección de correo electrónico válida para el parámetro Fallback Owner en SCC Enterprise - Urgent Posture Findings Connectors y asegúrate de que este correo electrónico se pueda asignar en tu sistema de tickets.

Cómo realizar la integración con Jira

Asegúrate de completar todos los pasos de integración para sincronizar las actualizaciones de los casos de Google SecOps con los problemas de Jira y garantizar el flujo de guía correcto.

La prioridad del caso se refleja en la gravedad del problema de Jira.

Crea un proyecto nuevo en Jira

A fin de crear un proyecto nuevo en Jira para los problemas de Security Command Center Enterprise llamado SCC Enterprise Project (SCCE), ejecuta una acción manual en el caso. Puedes usar cualquier caso existente o simular uno. Si quieres obtener más información para simular casos, consulta la página Simula casos en la documentación de SecOps de Google.

Para crear un nuevo proyecto de Jira, se requieren credenciales de nivel de administrador de Jira.

Para crear un nuevo proyecto de Jira, completa los siguientes pasos:

1. En la consola de Security Operations, ve a Cases.
2. Selecciona un caso existente o el que simulaste.
3. En la pestaña Case Overview, haz clic en Manual Action.
4. En el campo Buscar de la acción manual, ingresa Create SCC Enterprise.
5. En los resultados de la búsqueda en la integración de SCCEnterprise, selecciona la acción Crear un tipo de ticket de postura en la nube de SCC Enterprise en Jira. Se abrirá la ventana de diálogo.

6. Para configurar el parámetro Raíz de la API, ingresa la raíz de la API de tu instancia de Jira, como https://YOUR_DOMAIN_NAME.atlassian.net.

7. Para configurar el parámetro Nombre de usuario, ingresa el nombre de usuario que usas para acceder a Jira como administrador.

8. Para configurar el parámetro Contraseña, ingresa la contraseña que utilizas para acceder a Jira como administrador.

9. Para configurar el parámetro Token de API, ingresa el token de API de tu cuenta de administrador de Atlassian que se generó en la consola de Jira.

10. Haz clic en Ejecutar. Espera hasta que se complete la acción.

Opcional: Configura el diseño personalizado de problemas de Jira

1. Accede a Jira como administrador.
2. Ve a Proyectos > Proyecto SCC Enterprise (SCCE).
3. Ajusta y reordena los campos de problemas. Para obtener más detalles sobre la administración de los campos de problemas, consulta Configura el diseño de campos de problemas en la documentación de Jira.

Configura la integración de Jira

1. En la consola de operaciones de seguridad, ve a Respuesta > Configuración de integraciones.
2. Selecciona el Entorno predeterminado.
3. En el campo Buscar de la integración, ingresa Jira. La integración con Jira se muestra como un resultado de la búsqueda.
4. Haz clic en settings Configurar instancia. Se abrirá la ventana de diálogo.

5. Para configurar el parámetro Raíz de la API, ingresa la raíz de la API de tu instancia de Jira, como https://YOUR_DOMAIN_NAME.atlassian.net.

6. Para configurar el parámetro Nombre de usuario, ingresa el nombre de usuario que usas para acceder a Jira. No uses tus credenciales de administrador.

7. Para configurar el parámetro Token de API, ingresa el token de API de tu cuenta de Atlassian no de administrador que se generó en la consola de Jira.

8. Haz clic en Guardar.

9. Para probar la configuración, haz clic en Probar.

Habilita los hallazgos de postura con la guía de Jira

1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.
2. En la barra de búsqueda de la Guía, ingresa Generic.
3. Selecciona la guía Posture Findings - Generic (Resultados de la postura: genéricos). Esta guía está habilitada de forma predeterminada.
4. Mueve el botón de activación para inhabilitar la guía.
5. Haz clic en Guardar.
6. En la barra de búsqueda de la Guía, ingresa Jira.
7. Selecciona la guía Resultados de la postura con Jira. Esta guía está inhabilitada de forma predeterminada.
8. Mueve el botón de activación para habilitar la guía.
9. Haz clic en Guardar.

Cómo realizar la integración con ServiceNow

Asegúrate de completar todos los pasos de integración para sincronizar las actualizaciones de los casos de SecOps de Google con los tickets de ServiceNow y garantizar el flujo de la guía correcto.

Crea y configura el tipo de ticket personalizado de ServiceNow

Asegúrate de crear y configurar el tipo de ticket personalizado de ServiceNow para habilitar la pestaña Actividades en la IU de ServiceNow y evitar usar el diseño de ticket erróneo.

Crear tipo de ticket personalizado de ServiceNow

La creación de un tipo de ticket personalizado de ServiceNow requiere credenciales de nivel de administrador de ServiceNow.

Para crear un tipo de ticket personalizado, completa los siguientes pasos:

1. En la consola de Security Operations, ve a Cases.
2. Selecciona un caso existente o el que simulaste.
3. En la pestaña Case Overview, haz clic en Manual Action.
4. En el campo Buscar de la acción manual, ingresa Create SCC Enterprise.
5. En los resultados de la búsqueda en la integración SCCEnterprise, selecciona la acción Create SCC Enterprise Cloud Posture Ticket Type SNOW. Se abrirá la ventana de diálogo.

6. Para configurar el parámetro Raíz de la API, ingresa la raíz de la API de tu instancia de ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Para configurar el parámetro Username, ingresa el nombre de usuario que utilizas para acceder a ServiceNow como administrador.

8. Para configurar el parámetro Password, ingresa la contraseña que utilizas para acceder a ServiceNow como administrador.

9. Para configurar el parámetro Función de la tabla, deja el campo vacío o proporciona un valor si tienes uno. Este parámetro solo acepta un valor de rol.

   De forma predeterminada, el campo Función de la tabla está vacío para crear una nueva función personalizada en ServiceNow a fin de administrar específicamente los tickets de Security Command Center Enterprise. Solo los usuarios de ServiceNow a los que se les otorga este nuevo rol personalizado tienen acceso a los tickets de Security Command Center Enterprise.

   Si ya tienes una función dedicada para los usuarios que administran incidentes en ServiceNow y deseas usar esta función a fin de administrar los resultados de Security Command Center Enterprise, ingresa el nombre de la función existente de ServiceNow en el campo Función de la tabla. Por ejemplo, si proporcionas el valor incident_handler_role existente, todos los usuarios a los que se les otorgó la función incident_handler_role en ServiceNow pueden acceder a los tickets de Security Command Center Enterprise.

10. Haz clic en Ejecutar. Espera hasta que se complete la acción.

Configura el diseño de ticket personalizado de ServiceNow

Para asegurarte de que la IU de ServiceNow muestre con precisión las actualizaciones relacionadas con los casos y sus comentarios, completa los siguientes pasos:

1. En tu cuenta de administrador de ServiceNow, ve a la pestaña Todos.
2. En el campo Buscar, ingresa SCC Enterprise.
3. En la lista desplegable, selecciona SCC Enterprise Cloud Posture Ticket y ejecuta una búsqueda.
4. Selecciona el ticket de prueba de postura. Se abrirá la página de diseño del ticket de ServiceNow.
5. En la página de diseño del ticket de ServiceNow, ve a Acciones adicionales > Configurar > Diseño de formulario.
6. Ve a la sección Vista y sección del formulario.
7. En el campo Sección, selecciona u_scc_enterprise_cloud_posture_ticket.
8. Haz clic en Guardar. Después de que se actualiza la página, la plantilla de ticket tiene campos distribuidos en dos columnas.
9. Ve a Acciones adicionales > Configurar > Diseño de formulario.
10. Ve a la sección Vista y sección del formulario.
11. En el campo Sección, selecciona Resumen.
12. Haz clic en Guardar. Después de que se actualiza la página, la plantilla de ticket tiene la nueva estructura de resumen.

Configura la integración de ServiceNow

1. En la consola de operaciones de seguridad, ve a Respuesta > Configuración de integraciones.
2. Selecciona el Entorno predeterminado.
3. En el campo Buscar de la integración, ingresa ServiceNow. La integración de ServiceNow se muestra como un resultado de la búsqueda.
4. Haz clic en settings Configurar instancia. Se abrirá la ventana de diálogo.

5. Para configurar el parámetro Raíz de la API, ingresa la raíz de la API de tu instancia de ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/.

6. Para configurar el parámetro Username, ingresa el nombre de usuario que utilizas para acceder a ServiceNow. No uses tus credenciales de administrador.

7. Para configurar el parámetro Password, ingresa la contraseña que utilizas para acceder a ServiceNow. No uses tus credenciales de administrador.

8. Haz clic en Guardar.

9. Para probar la configuración, haz clic en Probar.

Habilita la guía Hallazgos de la postura con SNOW

1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.
2. En la barra de búsqueda de la Guía, ingresa Generic.
3. Selecciona la guía Posture Findings - Generic (Resultados de la postura: genéricos). Esta guía está habilitada de forma predeterminada.
4. Mueve el botón de activación para inhabilitar la guía.
5. Haz clic en Guardar.
6. En la barra de búsqueda de la Guía, ingresa SNOW.
7. Selecciona la guía Posture Findings With SNOW. Esta guía está inhabilitada de forma predeterminada.
8. Mueve el botón de activación para habilitar la guía.
9. Haz clic en Guardar.

Próximos pasos

• Aprende a determinar la propiedad de los hallazgos de posturas.

• Obtén más información sobre cómo agrupar los hallazgos en casos.

• Obtén más información para asignar tickets según los casos de postura.