Integra Security Command Center Enterprise con sistemas de tickets

En este documento, se explica cómo integrar el nivel empresarial de Security Command Center con los sistemas de tickets después de configurar la funcionalidad de organización, automatización y respuesta de seguridad (SOAR) con la tecnología de Google Security Operations.

La integración en los sistemas de tickets es opcional y requiere configuración manual. Si planeas usar la configuración predeterminada de Security Command Center Enterprise, no es necesario que realices este procedimiento. Puedes realizar la integración con un sistema de tickets más adelante en cualquier momento.

Descripción general

La configuración predeterminada de Security Command Center Enterprise te permite hacer un seguimiento de los resultados con la consola y las APIs. Si tu organización usa sistemas de tickets para realizar un seguimiento de los problemas, intégralos en Jira o ServiceNow después de configurar tu instancia de Google Security Operations.

Después de recibir los hallazgos de los recursos, el conector de SCC Enterprise: Hallazgos de postura urgente analiza y filtra los hallazgos durante la transferencia, y los agrupa en casos nuevos o existentes, según el tipo de hallazgo.

Si integras un sistema de tickets, Security Command Center crea un ticket nuevo cada vez que se crea un caso nuevo para los resultados. Cada vez que se actualiza un caso, Security Command Center también actualiza automáticamente el ticket relacionado.

Un solo caso puede contener uno o más resultados. Security Command Center crea un ticket para cada caso y sincroniza la información y el contenido del caso con el ticket correspondiente para que los destinatarios del ticket sepan qué corregir.

La sincronización entre un caso y su ticket funciona en ambos sentidos: si hay alguna actualización en un caso, como un cambio de estado o un comentario nuevo, se refleja en un ticket, y los detalles del ticket se sincronizan con el enriquecimiento del sistema de tickets en el caso.

Antes de comenzar

Antes de configurar Jira o ServiceNow, proporciona una dirección de correo electrónico válida para el parámetro Propietario de resguardo en SCC Enterprise - Conector de hallazgos urgentes de la postura y asegúrate de que este correo electrónico se pueda asignar en tu sistema de tickets.

Integrar con Jira

Asegúrate de completar todos los pasos de integración para sincronizar las actualizaciones de los casos de Google SecOps con los problemas de Jira y garantiza el flujo de la guía correcto.

La prioridad del caso se refleja en la gravedad del problema de Jira.

Crea un proyecto nuevo en Jira

Si quieres crear un proyecto nuevo en Jira para los problemas de Security Command Center Enterprise llamados SCC Enterprise Project (SCCE), ejecuta una acción manual en el caso. Puedes usar cualquier caso existente o simular uno. Si quieres obtener más información para simular casos, consulta la página Simula casos de la documentación de Google SecOps.

Para crear un nuevo proyecto de Jira, se requieren credenciales de nivel de administrador de Jira.

Para crear un nuevo proyecto de Jira, completa los siguientes pasos:

1. En la consola de Operaciones de seguridad, ve a Casos.
2. Selecciona un caso existente o el que simulaste.
3. En la pestaña Case Overview, haz clic en Manual Action.
4. En el campo Buscar de la acción manual, ingresa Create SCC Enterprise.
5. En los resultados de la búsqueda en la integración de SCCEnterprise, selecciona la acción Crear Jira de tipo de ticket de postura de nube empresarial de SCC. Se abrirá la ventana de diálogo.

6. Para configurar el parámetro API Root, ingresa la raíz de API de tu instancia de Jira, como https://YOUR_DOMAIN_NAME.atlassian.net.

7. Para configurar el parámetro Nombre de usuario, ingresa el nombre de usuario que usas para acceder a Jira como administrador.

8. Para configurar el parámetro Contraseña, ingresa la contraseña que usas para acceder a Jira como administrador.

9. Para configurar el parámetro API Token, ingresa el token de API de tu cuenta de administrador de Atlassian que se generó en la consola de Jira.

10. Haz clic en Ejecutar. Espera hasta que se complete la acción.

Opcional: Configura un diseño personalizado de problemas de Jira

1. Accede a Jira como administrador.
2. Ve a Proyectos > SCC Enterprise Project (SCCE).
3. Ajusta y reordena los campos de problemas. Para obtener más detalles sobre cómo administrar los campos de problemas, consulta Configura el diseño del campo de problema en la documentación de Jira.

Configura la integración de Jira

1. En la consola de operaciones de seguridad, ve a Respuesta > Configuración de integraciones.
2. Selecciona el Entorno predeterminado.
3. En el campo Buscar de la integración, ingresa Jira. La integración de Jira se muestra como un resultado de la búsqueda.
4. Haz clic en settings Configurar instancia. Se abrirá la ventana de diálogo.

5. Para configurar el parámetro API Root, ingresa la raíz de API de tu instancia de Jira, como https://YOUR_DOMAIN_NAME.atlassian.net.

6. Para configurar el parámetro Nombre de usuario, ingresa el nombre de usuario que usas para acceder a Jira. No uses tus credenciales de administrador.

7. Para configurar el parámetro Token de API, ingresa el token de API de tu cuenta de Atlassian que no sea de administrador que se generó en la consola de Jira.

8. Haz clic en Guardar.

9. Para probar la configuración, haz clic en Probar.

Habilita los hallazgos de postura con la guía de Jira

1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.
2. En la barra de búsqueda de la guía, ingresa Generic.
3. Selecciona la guía Posture Findings - Generic. Esta guía está habilitada de forma predeterminada.
4. Mueve el botón de activación para inhabilitar la guía.
5. Haz clic en Guardar.
6. En la barra de búsqueda de la guía, ingresa Jira.
7. Selecciona la guía Postura Hallazgos con Jira. Esta guía está inhabilitada de forma predeterminada.
8. Mueve el botón de activación para habilitar la guía.
9. Haz clic en Guardar.

Cómo realizar la integración con ServiceNow

Asegúrate de completar todos los pasos de integración para sincronizar las actualizaciones de los casos de Google SecOps con los tickets de ServiceNow y asegúrate de usar el flujo de la guía correcto.

Crea y configura el tipo de ticket personalizado de ServiceNow

Asegúrate de crear y configurar el tipo de ticket personalizado de ServiceNow, habilita la pestaña Actividades en la IU de ServiceNow y evita usar el diseño de ticket erróneo.

Crea un tipo de ticket personalizado de ServiceNow

Para crear un tipo de ticket personalizado de ServiceNow, se requieren credenciales de nivel de administrador de ServiceNow.

Para crear un tipo de ticket personalizado, completa los siguientes pasos:

1. En la consola de Operaciones de seguridad, ve a Casos.
2. Selecciona un caso existente o el que simulaste.
3. En la pestaña Case Overview, haz clic en Manual Action.
4. En el campo Buscar de la acción manual, ingresa Create SCC Enterprise.
5. En los resultados de la búsqueda en la integración de SCCEnterprise, selecciona la acción Crear tipo de ticket de postura de nube de SCC Enterprise. Se abrirá la ventana de diálogo.

6. Para configurar el parámetro API Root, ingresa la raíz de la API de tu instancia de ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Para configurar el parámetro Username, ingresa el nombre de usuario que usas para acceder a ServiceNow como administrador.

8. Para configurar el parámetro Password, ingresa la contraseña que usas para acceder a ServiceNow como administrador.

9. Para configurar el parámetro Función de tabla, deja el campo vacío o proporciona un valor si tienes uno. Este parámetro solo acepta un valor de rol.

   De forma predeterminada, el campo Función de tabla está vacío para crear una nueva función personalizada en ServiceNow que permite administrar de manera específica los tickets de Security Command Center Enterprise. Solo los usuarios de ServiceNow con este nuevo rol personalizado tienen acceso a los tickets de Security Command Center Enterprise.

   Si ya tienes una función dedicada a los usuarios que administran incidentes en ServiceNow y deseas usarla para administrar los hallazgos de Security Command Center Enterprise, ingresa el nombre de la función existente de ServiceNow en el campo Función de tabla. Por ejemplo, si proporcionas el valor incident_handler_role existente, todos los usuarios a los que se les otorgó la función incident_handler_role en ServiceNow pueden acceder a los tickets de Security Command Center Enterprise.

10. Haz clic en Ejecutar. Espera hasta que se complete la acción.

Configura el diseño de ticket personalizado de ServiceNow

Para asegurarte de que la IU de ServiceNow muestre con precisión las actualizaciones relacionadas con los casos y sus comentarios, completa los siguientes pasos:

1. En tu cuenta de administrador de ServiceNow, ve a la pestaña Todos.
2. En el campo Buscar, ingresa SCC Enterprise.
3. En la lista desplegable, selecciona el SCC Enterprise Cloud Posture Ticket y ejecuta una búsqueda.
4. Selecciona el ticket de prueba de postura. Se abrirá la página de diseño de tickets de ServiceNow.
5. En la página de diseño de tickets de ServiceNow, ve a Acciones adicionales > Configurar > Diseño de formulario.
6. Ve a la sección Vista y sección del formulario.
7. En el campo Sección, selecciona u_scc_enterprise_cloud_posture_ticket.
8. Haz clic en Guardar. Después de que se actualiza la página, la plantilla del ticket tiene campos distribuidos en dos columnas.
9. Ve a Acciones adicionales > Configurar > Diseño del formulario.
10. Ve a la sección Vista y sección del formulario.
11. En el campo Sección, selecciona Resumen.
12. Haz clic en Guardar. Después de que se actualiza la página, la plantilla del ticket tiene la nueva estructura Summary.

Configura la integración de ServiceNow

1. En la consola de operaciones de seguridad, ve a Respuesta > Configuración de integraciones.
2. Selecciona el Entorno predeterminado.
3. En el campo Buscar de la integración, ingresa ServiceNow. La integración ServiceNow se muestra como un resultado de la búsqueda.
4. Haz clic en settings Configurar instancia. Se abrirá la ventana de diálogo.

5. Para configurar el parámetro API Root, ingresa la raíz de la API de tu instancia de ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/.

6. Para configurar el parámetro Username, ingresa el nombre de usuario que usas para acceder a ServiceNow. No uses tus credenciales de administrador.

7. Para configurar el parámetro Password, ingresa la contraseña que usas para acceder a ServiceNow. No uses tus credenciales de administrador.

8. Haz clic en Guardar.

9. Para probar la configuración, haz clic en Probar.

Habilita los hallazgos de la postura con la guía SNOW

1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.
2. En la barra de búsqueda de la guía, ingresa Generic.
3. Selecciona la guía Posture Findings - Generic. Esta guía está habilitada de forma predeterminada.
4. Mueve el botón de activación para inhabilitar la guía.
5. Haz clic en Guardar.
6. En la barra de búsqueda de la guía, ingresa SNOW.
7. Selecciona la guía Postura Hallazgos con NIEVE. Esta guía está inhabilitada de forma predeterminada.
8. Mueve el botón de activación para habilitar la guía.
9. Haz clic en Guardar.

Habilitar la sincronización de datos del caso

Security Command Center sincroniza automáticamente la información entre un caso y su ticket correspondiente para que la información de un caso y su ticket, como la prioridad, el estado y los comentarios, sean siempre la misma.

Para sincronizar los datos de casos, Security Command Center usa procesos automáticos internos llamados trabajos de sincronización. Los trabajos Sync SCC-Jira Tickets y Sync SCC-ServiceNow Tickets sincronizan los datos de casos entre Security Command Center y los sistemas de tickets integrados. Estos dos trabajos están inhabilitados de forma predeterminada y se ejecutan de forma automática después de que los habilitas.

Cuando se cierra el caso, el ticket se cierra con el estado Resolved. Cuando el ticket se resuelve en Jira o ServiceNow, los trabajos de sincronización activan Security Command Center para cerrar el caso.

Antes de comenzar

Para habilitar la sincronización de casos, debes tener alguna de las siguientes funciones de SOC en la consola de operaciones de seguridad:

• Administrador
• Administrador de vulnerabilidades
• Administrador de amenazas

Para obtener más detalles sobre las funciones del SOC en la consola de operaciones de seguridad y los permisos necesarios para los usuarios, consulta Controla el acceso a las funciones en la consola de operaciones de seguridad.

Habilitar la sincronización para los sistemas de tickets

Para garantizar que la información en los casos y tickets se sincronice de forma automática, habilita el trabajo de sincronización relevante para el sistema de tickets con el que te integraste.

Para habilitar el trabajo de sincronización, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Respuesta > Programador de trabajos.

2. Elige el trabajo de sincronización correcto:

   • Si realizaste la integración con Jira, selecciona el trabajo Sync SCC-Jira Tickets.

   • Si integraste ServiceNow, selecciona el trabajo de sincronización de tickets de SCC-ServiceNow.

3. Usa el botón de activación para habilitar el trabajo seleccionado.

4. Haz clic en Guardar.

¿Qué sigue?

• Obtén información para determinar la propiedad de los resultados de postura.

• Obtén información para agrupar los resultados en casos.

• Obtén información para asignar tickets según los casos de postura.