Mengintegrasikan Security Command Center Enterprise dengan sistem tiket

Dokumen ini menjelaskan cara mengintegrasikan tingkat Enterprise pada Security Command Center dengan sistem tiket setelah mengonfigurasi fungsi orkestrasi keamanan, otomatisasi, dan respons (SOAR) yang didukung oleh Chronicle Security Operations.

Integrasi dengan sistem penjualan tiket bersifat opsional dan memerlukan konfigurasi manual. Jika berencana menggunakan konfigurasi Security Command Center Enterprise default, Anda tidak perlu melakukan prosedur ini. Anda dapat berintegrasi dengan sistem tiket kapan saja.

Ringkasan

Konfigurasi Security Command Center Enterprise default memungkinkan Anda melacak temuan menggunakan konsol dan API. Jika organisasi Anda menggunakan sistem tiket untuk melacak masalah, integrasikan dengan Jira atau ServiceNow setelah Anda mengonfigurasi instance Chronicle Security Operations.

Setelah menerima temuan untuk resource, SCC Enterprise - Urgent Posture Findings Connector menganalisis dan memfilter temuan selama penyerapan, serta mengelompokkannya ke dalam kasus baru atau lama, bergantung pada jenis temuannya.

Jika Anda mengintegrasikan dengan sistem tiket, Security Command Center membuat tiket baru setiap kali membuat kasus baru untuk temuan. Setiap kali kasus diperbarui, Security Command Center juga otomatis mengupdate tiket terkait.

Satu kasus dapat berisi satu atau beberapa temuan. Security Command Center membuat satu tiket untuk setiap kasus dan menyinkronkan konten serta informasi kasus dengan tiket yang sesuai agar penerima tiket mengetahui apa yang harus diperbaiki.

Sinkronisasi antara kasus dan tiketnya dapat dilakukan dengan dua cara: jika ada pembaruan dalam kasus seperti perubahan status atau komentar baru, hal tersebut akan tercermin dalam tiket, dan detail tiket akan disinkronkan ke pengayaan sistem tiket dalam suatu kasus.

Sebelum memulai

Sebelum mengonfigurasi Jira atau ServiceNow, berikan alamat email yang valid untuk parameter Penggantian Owner di SCC Enterprise - Urgent Posture Findings Connector, dan pastikan email ini dapat ditetapkan di sistem tiket Anda.

Berintegrasi dengan Jira

Pastikan Anda menyelesaikan semua langkah integrasi untuk menyinkronkan update kasus Chronicle SecOps dengan masalah Jira dan memastikan alur playbook yang benar.

Prioritas kasus tercermin dalam keparahan masalah Jira.

Membuat project baru di Jira

Untuk membuat project baru di Jira untuk masalah Security Command Center Enterprise yang disebut Project SCC Enterprise (SCCE), jalankan tindakan manual dalam kasus tersebut. Anda dapat menggunakan kasus yang ada atau menyimulasikannya. Untuk mengetahui informasi selengkapnya tentang menyimulasikan kasus, lihat halaman Simulasikan kasus dalam dokumentasi Chronicle SecOps.

Untuk membuat project Jira baru, Anda memerlukan kredensial tingkat admin Jira.

Untuk membuat project Jira baru, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Cases.
  2. Pilih kasus yang ada atau kasus yang telah Anda simulasikan.
  3. Di tab Ringkasan Kasus, klik Tindakan Manual.
  4. Di kolom Search, masukkan Create SCC Enterprise.
  5. Di hasil penelusuran pada integrasi SCCEnterprise, pilih tindakan Create SCC Enterprise Cloud Posture Ticket Type Jira. Jendela dialog akan terbuka.
  6. Untuk mengonfigurasi parameter API Root, masukkan root API dari instance Jira Anda, seperti https://YOUR_DOMAIN_NAME.atlassian.net

  7. Untuk mengonfigurasi parameter Username, masukkan nama pengguna yang Anda gunakan untuk login ke Jira sebagai administrator.

  8. Untuk mengonfigurasi parameter Password, masukkan sandi yang digunakan untuk login ke Jira sebagai administrator.

  9. Untuk mengonfigurasi parameter Token API, masukkan token API akun admin Atlassian yang dibuat di konsol Jira.

  10. Klik Jalankan. Tunggu hingga tindakan selesai.

Opsional: Mengonfigurasi tata letak masalah Jira kustom

  1. Login ke Jira sebagai administrator.
  2. Buka Project > Project SCC Enterprise (SCCE).
  3. Menyesuaikan dan mengurutkan ulang kolom masalah. Untuk mengetahui detail selengkapnya tentang mengelola kolom masalah, lihat Mengonfigurasi tata letak kolom masalah dalam dokumentasi Jira.

Mengonfigurasi integrasi Jira

  1. Di konsol Security Operations, buka Respons > Penyiapan Integrasi.
  2. Pilih Lingkungan Default.
  3. Di kolom Penelusuran integrasi, masukkan Jira. Integrasi Jira ditampilkan sebagai hasil penelusuran.
  4. Klik Configure Instance. Jendela dialog akan terbuka.
  5. Untuk mengonfigurasi parameter API Root, masukkan root API dari instance Jira Anda, seperti https://YOUR_DOMAIN_NAME.atlassian.net

  6. Untuk mengonfigurasi parameter Username, masukkan nama pengguna yang Anda gunakan untuk login ke Jira. Jangan gunakan kredensial admin Anda.

  7. Untuk mengonfigurasi parameter Token API, masukkan token API akun Atlassian non-admin yang dibuat di konsol Jira.

  8. Klik Save.

  9. Untuk menguji konfigurasi Anda, klik Test.

Playbook Mengaktifkan Postur Postur dengan Jira

  1. Di konsol Security Operations, buka Respons > Playbook.
  2. Di kotak Search Playbook, masukkan Generic.
  3. Pilih playbook Temuan Postur - Umum. Playbook ini diaktifkan secara default.
  4. Tekan tombol untuk menonaktifkan playbook.
  5. Klik Save.
  6. Di kotak Search Playbook, masukkan Jira.
  7. Pilih playbook Posture Findings With Jira. Playbook ini dinonaktifkan secara default.
  8. Tekan tombol untuk mengaktifkan playbook.
  9. Klik Save.

Berintegrasi dengan ServiceNow

Pastikan Anda menyelesaikan semua langkah integrasi guna menyinkronkan update kasus Chronicle SecOps dengan tiket ServiceNow dan memastikan alur playbook yang benar.

Membuat dan mengonfigurasi jenis tiket kustom ServiceNow

Pastikan untuk membuat dan mengonfigurasi jenis tiket kustom ServiceNow dengan mengaktifkan tab Activity di UI ServiceNow, dan hindari penggunaan tata letak tiket yang salah.

Membuat jenis tiket kustom ServiceNow

Pembuatan jenis tiket ServiceNow kustom memerlukan kredensial tingkat admin ServiceNow.

Untuk membuat jenis tiket kustom, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Cases.
  2. Pilih kasus yang ada atau kasus yang telah Anda simulasikan.
  3. Di tab Ringkasan Kasus, klik Tindakan Manual.
  4. Di kolom Search, masukkan Create SCC Enterprise.
  5. Di hasil penelusuran pada integrasi SCCEnterprise, pilih tindakan Create SCC Enterprise Cloud Posture Ticket Type SNOW. Jendela dialog akan terbuka.
  6. Untuk mengonfigurasi parameter API Root, masukkan root API dari instance ServiceNow Anda, seperti https://INSTANCE_NAME.service-now.com/api/now/v1/

  7. Untuk mengonfigurasi parameter Username, masukkan nama pengguna yang Anda gunakan untuk login ke ServiceNow sebagai administrator.

  8. Untuk mengonfigurasi parameter Password, masukkan sandi yang Anda gunakan untuk login ke ServiceNow sebagai administrator.

  9. Untuk mengonfigurasi parameter Peran Tabel, kosongkan kolom atau berikan nilai jika ada. Parameter ini hanya menerima satu nilai peran.

    Secara default, kolom Table Role kosong guna membuat peran khusus baru di ServiceNow untuk mengelola tiket Security Command Center Enterprise secara khusus. Hanya pengguna ServiceNow yang diberi peran khusus baru ini yang memiliki akses ke tiket Security Command Center Enterprise.

    Jika Anda sudah memiliki peran khusus untuk pengguna yang mengelola insiden di ServiceNow dan ingin menggunakan peran ini untuk mengelola temuan Security Command Center Enterprise, masukkan nama peran ServiceNow yang ada di kolom Table Role. Misalnya, jika Anda memberikan nilai incident_handler_role yang ada, semua pengguna yang diberi peran incident_handler_role di ServiceNow dapat mengakses tiket Security Command Center Enterprise.

  10. Klik Jalankan. Tunggu hingga tindakan selesai.

Mengonfigurasi tata letak tiket kustom ServiceNow

Untuk memastikan UI ServiceNow menampilkan update terkait kasus dan komentar kasus secara akurat, selesaikan langkah-langkah berikut:

  1. Di akun administrator ServiceNow, buka tab Semua.
  2. Di kolom Penelusuran, masukkan SCC Enterprise.
  3. Di menu drop-down, pilih Tiket SCC Enterprise Cloud Posture dan jalankan penelusuran.
  4. Pilih Posture Test Ticket. Halaman tata letak tiket ServiceNow akan terbuka.
  5. Di halaman tata letak tiket ServiceNow, buka Tindakan tambahan > Konfigurasi > Tata Letak Formulir.
  6. Buka bagian Tampilan formulir dan bagian.
  7. Di kolom Section, pilih u_scc_enterprise_cloud_posture_ticket.
  8. Klik Save. Setelah halaman diperbarui, template tiket akan memiliki kolom yang didistribusikan ke dalam dua kolom.
  9. Buka Tindakan tambahan > Konfigurasi > Tata Letak Formulir.
  10. Buka bagian Tampilan formulir dan bagian.
  11. Di kolom Bagian, pilih Ringkasan.
  12. Klik Save. Setelah halaman diperbarui, template tiket akan memiliki struktur Ringkasan baru.

Mengonfigurasi integrasi ServiceNow

  1. Di konsol Security Operations, buka Respons > Penyiapan Integrasi.
  2. Pilih Lingkungan Default.
  3. Di kolom Penelusuran integrasi, masukkan ServiceNow. Integrasi ServiceNow ditampilkan sebagai hasil penelusuran.
  4. Klik Configure Instance. Jendela dialog akan terbuka.
  5. Untuk mengonfigurasi parameter API Root, masukkan root API dari instance ServiceNow Anda, seperti https://INSTANCE_NAME.service-now.com/api/now/v1/

  6. Untuk mengonfigurasi parameter Username, masukkan nama pengguna yang Anda gunakan untuk login ke ServiceNow. Jangan gunakan kredensial admin Anda.

  7. Untuk mengonfigurasi parameter Password, masukkan sandi yang Anda gunakan untuk login ke ServiceNow. Jangan gunakan kredensial admin Anda.

  8. Klik Save.

  9. Untuk menguji konfigurasi Anda, klik Test.

Aktifkan playbook Posture Findings With SNOW

  1. Di konsol Security Operations, buka Respons > Playbook.
  2. Di kotak Search Playbook, masukkan Generic.
  3. Pilih playbook Temuan Postur - Umum. Playbook ini diaktifkan secara default.
  4. Tekan tombol untuk menonaktifkan playbook.
  5. Klik Save.
  6. Di kotak Search Playbook, masukkan SNOW.
  7. Pilih playbook Posture Findings With SNOW. Playbook ini dinonaktifkan secara default.
  8. Tekan tombol untuk mengaktifkan playbook.
  9. Klik Save.

Apa langkah selanjutnya?