Intégrer Security Command Center Enterprise aux systèmes de tickets

Ce document explique comment intégrer le niveau Enterprise de Security Command Center aux systèmes de tickets après avoir configuré la fonctionnalité d'orchestration de la sécurité, d'automatisation et de réponse (SOAR) basée sur les opérations de sécurité Google.

L'intégration aux systèmes de tickets est facultative et nécessite une configuration manuelle. Si vous prévoyez d'utiliser la configuration par défaut de Security Command Center Enterprise, vous n'avez pas besoin d'effectuer cette procédure. Vous pouvez procéder à l'intégration à un système de tickets ultérieurement à tout moment.

Présentation

La configuration par défaut de Security Command Center Enterprise vous permet de suivre les résultats à l'aide de la console et des API. Si votre organisation utilise des systèmes de tickets pour suivre les problèmes, intégrez Jira ou ServiceNow après avoir configuré votre instance Opérations de sécurité Google.

À la réception des résultats concernant les ressources, le connecteur de résultats de stratégie urgente SCC Enterprise les analyse et filtre lors de l'ingestion, et les regroupe dans des demandes nouvelles ou existantes, en fonction du type de résultat.

Si vous intégrez un système de tickets, Security Command Center crée une demande chaque fois qu'il en crée un pour les résultats. Chaque fois qu'une demande est mise à jour, Security Command Center met automatiquement à jour la demande associée.

Un même cas peut contenir un ou plusieurs résultats. Security Command Center crée un ticket pour chaque demande et synchronise le contenu et les informations de la demande avec la demande correspondante pour que les personnes désignées sachent quoi corriger.

La synchronisation entre une demande et sa demande fonctionne dans les deux sens: en cas de mise à jour d'une demande, telle qu'une modification d'état ou un nouveau commentaire, elle est reflétée dans un ticket, et les détails de la demande sont synchronisés avec l'enrichissement du système de demande d'assistance dans une demande.

Avant de commencer

Avant de configurer Jira ou ServiceNow, fournissez une adresse e-mail valide pour le paramètre Repli Owner (Propriétaire de remplacement) dans le connecteur SCC Enterprise - Urgent Posture Findings Connector, et assurez-vous que cette adresse e-mail peut être attribuée dans votre système de tickets.

Intégrer à Jira

Veillez à effectuer toutes les étapes d'intégration pour synchroniser les mises à jour des demandes Google SecOps avec les problèmes de Jira et à vous assurer que le flux du playbook est correct.

Une priorité se reflète dans le niveau de gravité du problème Jira.

Créer un projet dans Jira

Pour créer un projet dans Jira pour les problèmes liés à Security Command Center Enterprise appelé SCC Enterprise Project (SCCE), exécutez une action manuelle dans le dossier. Vous pouvez utiliser n'importe quel cas existant ou en simuler un. Pour en savoir plus sur la simulation de demandes, consultez la page Simuler des demandes dans la documentation SecOps de Google.

Pour créer un projet Jira, vous devez disposer des identifiants de l'administrateur Jira.

Pour créer un projet Jira, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Demandes.
2. Sélectionnez un cas existant ou celui que vous avez simulé.
3. Dans l'onglet Case Overview (Présentation de la demande), cliquez sur Manual Action (Action manuelle).
4. Dans le champ Rechercher de l'action manuelle, saisissez Create SCC Enterprise.
5. Dans les résultats de recherche, sous l'intégration SCCEnterprise, sélectionnez l'action Create SCC Enterprise Cloud Posture Ticket Type Jira (Créer le type de ticket de stratégie cloud SCC Enterprise). La fenêtre de dialogue s'ouvre.

6. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API de votre instance Jira, par exemple https://YOUR_DOMAIN_NAME.atlassian.net

7. Pour configurer le paramètre Username, saisissez le nom d'utilisateur avec lequel vous vous connectez à Jira en tant qu'administrateur.

8. Pour configurer le paramètre Password (Mot de passe), saisissez le mot de passe que vous utilisez pour vous connecter à Jira en tant qu'administrateur.

9. Pour configurer le paramètre API Token (Jeton d'API), saisissez le jeton d'API de votre compte administrateur Atlassian qui a été généré dans la console Jira.

10. Cliquez sur Exécuter. Attendez que l'action soit terminée.

Facultatif: Configurer la mise en page personnalisée des problèmes Jira

1. Connectez-vous à Jira en tant qu'administrateur.
2. Accédez à Projets > Projet SCC Enterprise (SCCE).
3. Ajustez et réorganisez les champs associés au problème. Pour en savoir plus sur la gestion des champs de problème, consultez la section Configurer la mise en page des champs de problème dans la documentation de Jira.

Configurer l'intégration dans Jira

1. Dans la console Opérations de sécurité, accédez à Réponse > Configuration des intégrations.
2. Sélectionnez l'environnement par défaut.
3. Dans le champ Search (Rechercher) d'intégration, saisissez Jira. L'intégration Jira est renvoyée sous la forme d'un résultat de recherche.
4. Cliquez sur settings Configurer l'instance. La boîte de dialogue s'ouvre.

5. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API de votre instance Jira, par exemple https://YOUR_DOMAIN_NAME.atlassian.net

6. Pour configurer le paramètre Username (Nom d'utilisateur), saisissez le nom d'utilisateur avec lequel vous vous connectez à Jira. N'utilisez pas vos identifiants d'administrateur.

7. Pour configurer le paramètre API Token (Jeton d'API), saisissez le jeton d'API de votre compte Atlassian non administrateur généré dans la console Jira.

8. Cliquez sur Enregistrer.

9. Pour tester votre configuration, cliquez sur Tester.

Activer le playbook sur les résultats de la stratégie avec Jira

1. Dans la console Opérations de sécurité, accédez à Réponse > Playbooks.
2. Dans la barre de recherche du playbook, saisissez Generic.
3. Sélectionnez le playbook Résultats de la stratégie – Générique. Ce playbook est activé par défaut.
4. Activez le bouton pour désactiver le playbook.
5. Cliquez sur Enregistrer.
6. Dans la barre de recherche du playbook, saisissez Jira.
7. Sélectionnez le playbook Posture Findings With Jira (Résultats de la stratégie avec Jira). Ce playbook est désactivé par défaut.
8. Cliquez sur le bouton pour activer le playbook.
9. Cliquez sur Enregistrer.

Intégrer à ServiceNow

Veillez à effectuer toutes les étapes d'intégration pour synchroniser les mises à jour des demandes Google SecOps avec les demandes ServiceNow et à vous assurer que le flux du playbook est correct.

Créer et configurer un type de ticket personnalisé ServiceNow

Veillez à créer et à configurer le type de ticket personnalisé ServiceNow, et à activer l'onglet "Activités" dans l'interface utilisateur de ServiceNow. Évitez également d'utiliser une mise en page de demande erronée.

Créer un type de ticket personnalisé ServiceNow

La création d'un type de ticket ServiceNow personnalisé nécessite des identifiants de niveau administrateur ServiceNow.

Pour créer un type de billet personnalisé, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Demandes.
2. Sélectionnez un cas existant ou celui que vous avez simulé.
3. Dans l'onglet Case Overview (Présentation de la demande), cliquez sur Manual Action (Action manuelle).
4. Dans le champ Rechercher de l'action manuelle, saisissez Create SCC Enterprise.
5. Dans les résultats de recherche, sous l'intégration SCCEnterprise, sélectionnez l'action Create SCC Enterprise Cloud Posture Ticket Type SNOW (Créer un type de ticket de stratégie cloud SCC Enterprise). La fenêtre de dialogue s'ouvre.

6. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API de votre instance ServiceNow, par exemple https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Pour configurer le paramètre Username, saisissez le nom d'utilisateur avec lequel vous vous connectez à ServiceNow en tant qu'administrateur.

8. Pour configurer le paramètre Password (Mot de passe), saisissez le mot de passe que vous utilisez pour vous connecter à ServiceNow en tant qu'administrateur.

9. Pour configurer le paramètre Table Role (Rôle de la table), laissez le champ vide ou indiquez une valeur, le cas échéant. Ce paramètre n'accepte qu'une seule valeur de rôle.

   Par défaut, le champ Rôle de la table est vide. Il permet de créer un rôle personnalisé dans ServiceNow pour gérer spécifiquement les demandes d'assistance Security Command Center Enterprise. Seuls les utilisateurs de ServiceNow disposant de ce nouveau rôle personnalisé ont accès aux demandes d'assistance Security Command Center Enterprise.

   Si vous disposez déjà d'un rôle dédié aux utilisateurs qui gèrent les incidents dans ServiceNow et que vous souhaitez l'utiliser pour gérer les résultats de Security Command Center Enterprise, saisissez le nom du rôle ServiceNow existant dans le champ Rôle de la table. Par exemple, si vous fournissez la valeur incident_handler_role existante, tous les utilisateurs disposant du rôle incident_handler_role dans ServiceNow peuvent accéder aux demandes d'assistance Security Command Center Enterprise.

10. Cliquez sur Exécuter. Attendez que l'action soit terminée.

Configurer la mise en page personnalisée de la demande d'assistance

Pour vous assurer que l'interface utilisateur de ServiceNow affiche avec précision les mises à jour liées aux demandes et aux commentaires associés, procédez comme suit:

1. Dans votre compte administrateur ServiceNow, accédez à l'onglet Tous.
2. Dans le champ Rechercher, saisissez SCC Enterprise.
3. Dans la liste déroulante, sélectionnez SCC Enterprise Cloud Posture Ticket (Ticket de stratégie SCC Enterprise Cloud) et exécutez une recherche.
4. Sélectionnez le ticket de test de posture. La page de présentation de la demande d'assistance ServiceNow s'ouvre.
5. Sur la page de mise en page de la demande d'assistance ServiceNow, accédez à Actions supplémentaires > Configurer > Mise en page du formulaire.
6. Accédez à la section Vue Formulaire et section.
7. Dans le champ Section (Section), sélectionnez u_scc_enterprise_cloud_posture_ticket.
8. Cliquez sur Enregistrer. Une fois la page mise à jour, le modèle de demande d'assistance comporte des champs répartis dans deux colonnes.
9. Accédez à Actions supplémentaires > Configurer > Mise en page du formulaire.
10. Accédez à la section Vue Formulaire et section.
11. Dans le champ Section, sélectionnez Résumé.
12. Cliquez sur Enregistrer. Une fois la page mise à jour, le modèle de demande utilise la nouvelle structure récapitulative.

Configurer l'intégration de ServiceNow

1. Dans la console Opérations de sécurité, accédez à Réponse > Configuration des intégrations.
2. Sélectionnez l'environnement par défaut.
3. Dans le champ Search (Rechercher) d'intégration, saisissez ServiceNow. L'intégration ServiceNow est renvoyée sous forme de résultat de recherche.
4. Cliquez sur settings Configurer l'instance. La boîte de dialogue s'ouvre.

5. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API de votre instance ServiceNow, par exemple https://INSTANCE_NAME.service-now.com/api/now/v1/.

6. Pour configurer le paramètre Username, saisissez le nom d'utilisateur avec lequel vous vous connectez à ServiceNow. N'utilisez pas vos identifiants d'administrateur.

7. Pour configurer le paramètre Password (Mot de passe), saisissez le mot de passe que vous utilisez pour vous connecter à ServiceNow. N'utilisez pas vos identifiants d'administrateur.

8. Cliquez sur Enregistrer.

9. Pour tester votre configuration, cliquez sur Tester.

Activer le playbook sur les résultats de la stratégie avec SNOW

1. Dans la console Opérations de sécurité, accédez à Réponse > Playbooks.
2. Dans la barre de recherche du playbook, saisissez Generic.
3. Sélectionnez le playbook Résultats de la stratégie – Générique. Ce playbook est activé par défaut.
4. Activez le bouton pour désactiver le playbook.
5. Cliquez sur Enregistrer.
6. Dans la barre de recherche du playbook, saisissez SNOW.
7. Sélectionnez le playbook Résultats de la stratégie avec SNOW. Ce playbook est désactivé par défaut.
8. Cliquez sur le bouton pour activer le playbook.
9. Cliquez sur Enregistrer.

Étape suivante

• Découvrez comment déterminer l'appropriation pour les résultats des stratégies.

• Découvrez comment regrouper les résultats dans des cas.

• Découvrez comment attribuer des demandes d'assistance en fonction de scénarios de stratégie.