티켓팅 시스템과 Security Command Center Enterprise 통합

이 문서에서는 Google Security Operations에서 제공하는 보안 조정, 자동화, 응답(SOAR) 기능을 구성한 후에 Security Command Center의 Enterprise 등급을 티켓팅 시스템과 통합하는 방법을 설명합니다.

티켓팅 시스템과 통합은 선택사항이며 수동으로 구성해야 합니다. 기본 Security Command Center Enterprise 구성을 사용하려면 이 절차를 수행할 필요가 없습니다. 나중에 언제든지 티켓팅 시스템과 통합할 수 있습니다.

개요

기본 Security Command Center Enterprise 구성을 사용하면 콘솔과 API를 사용하여 발견 항목을 추적할 수 있습니다. 조직에서 티켓팅 시스템을 사용하여 문제를 추적하는 경우 Google Security Operations 인스턴스를 구성한 후에 Jira 또는 ServiceNow와 통합합니다.

리소스에 대한 발견 항목을 받으면 SCC Enterprise - 긴급 상황 발견 항목 커넥터에서 이를 분석하고 수집 중 발견 항목을 필터링하여 발견 항목 유형에 따라 신규 또는 기존 케이스로 그룹화합니다.

티켓팅 시스템과 통합하면 Security Command Center에서 발견 항목에 대한 새 케이스를 만들 때마다 새 티켓을 만듭니다. 케이스가 업데이트될 때마다 Security Command Center에서 관련 티켓도 자동으로 업데이트합니다.

단일 케이스에 발견 항목이 하나 이상 포함될 수 있습니다. Security Command Center는 케이스마다 티켓 하나를 만들고 케이스 콘텐츠와 정보를 해당 티켓과 동기화하여 티켓 담당자에게 해결해야 할 문제를 알려줍니다.

케이스와 티켓 간의 동기화는 두 가지 방식으로 작동합니다. 즉, 상태 변경 또는 새 의견과 같은 케이스에 업데이트가 있으면 티켓에 반영되고 티켓 세부정보는 케이스의 티켓팅 시스템 보강에 동기화됩니다.

시작하기 전에

Jira 또는 ServiceNow를 구성하기 전에 SCC Enterprise - 긴급 상황 발견 항목 커넥터대체 소유자 매개변수에 유효한 이메일 주소를 제공하고 티켓팅 시스템에서 이 이메일을 할당할 수 있는지 확인합니다.

Jira와 통합

Google SecOps 케이스 업데이트를 Jira 문제와 동기화하고 올바른 플레이북 흐름을 보장하려면 모든 통합 단계를 완료해야 합니다.

케이스 우선순위는 Jira 문제 심각도에 반영됩니다.

Jira에서 새 프로젝트 만들기

Jira에서 SCC Enterprise 프로젝트(SCCE)라는 Security Command Center Enterprise 문제에 대한 새 프로젝트를 만들려면 해당 케이스에 직접 조치를 실행합니다. 기존 케이스를 사용하거나 시뮬레이션할 수 있습니다. 케이스 시뮬레이션에 대한 자세한 내용은 Google SecOps 문서의 케이스 시뮬레이션 페이지를 참조하세요.

새 Jira 프로젝트를 만들려면 Jira 관리자 수준 사용자 인증 정보가 필요합니다.

새 Jira 프로젝트를 만들려면 다음 단계를 완료합니다.

  1. 보안 운영 콘솔에서 케이스로 이동합니다.
  2. 기존 케이스나 시뮬레이션한 케이스를 선택합니다.
  3. 케이스 개요 탭에서 직접 조치를 클릭합니다.
  4. 직접 조치 검색 필드에 Create SCC Enterprise를 입력합니다.
  5. SCCEnterprise 통합 아래의 검색 결과에서 SCC Enterprise 클라우드 상황 티켓 유형 Jira 만들기 작업을 선택합니다. 대화상자 창이 열립니다.

  6. API 루트 매개변수를 구성하려면 Jira 인스턴스의 API 루트를 입력합니다(예: https://YOUR_DOMAIN_NAME.atlassian.net).

  7. 사용자 이름 매개변수를 구성하려면 Jira에 관리자로 로그인하는 데 사용하는 사용자 이름을 입력합니다.

  8. 비밀번호 매개변수를 구성하려면 Jira에 관리자로 로그인하는 데 사용하는 비밀번호를 입력합니다.

  9. API 토큰 매개변수를 구성하려면 Jira 콘솔에서 생성된 Atlassian 관리자 계정의 API 토큰을 입력합니다.

  10. 실행을 클릭합니다. 작업이 완료될 때까지 기다립니다.

선택사항: 커스텀 Jira 문제 레이아웃 구성

  1. 관리자로 Jira에 로그인합니다.
  2. 프로젝트 > SCC Enterprise 프로젝트(SCCE)로 이동합니다.
  3. 문제 필드를 조정하고 재정렬합니다. 문제 필드 관리에 대한 자세한 내용은 Jira 문서의 문제 필드 레이아웃 구성을 참조하세요.

Jira 통합 구성

  1. 보안 운영 콘솔에서 응답 > 통합 설정으로 이동합니다.
  2. 기본 환경을 선택합니다.
  3. 통합 검색 필드에 Jira를 입력합니다. Jira 통합이 검색 결과로 반환됩니다.
  4. 인스턴스 구성을 클릭합니다. 대화상자 창이 열립니다.

  5. API 루트 매개변수를 구성하려면 Jira 인스턴스의 API 루트를 입력합니다(예: https://YOUR_DOMAIN_NAME.atlassian.net).

  6. 사용자 이름 매개변수를 구성하려면 Jira에 로그인하는 데 사용하는 사용자 이름을 입력합니다. 관리자 인증 정보를 사용하지 마세요.

  7. API 토큰 매개변수를 구성하려면 Jira 콘솔에서 생성된 관리자가 아닌 Atlassian 계정의 API 토큰을 입력합니다.

  8. 저장을 클릭합니다.

  9. 구성을 테스트하려면 테스트를 클릭합니다.

Jira 플레이북으로 상황 발견 항목 사용 설정

  1. 보안 운영 콘솔에서 응답 > 플레이북으로 이동합니다.
  2. 플레이북 검색 창에 Generic을 입력합니다.
  3. 상황 발견 항목 - 일반 플레이북을 선택합니다. 이 플레이북은 기본적으로 사용 설정됩니다.
  4. 전환 버튼을 전환하여 플레이북을 중지합니다.
  5. 저장을 클릭합니다.
  6. 플레이북 검색 창에 Jira를 입력합니다.
  7. Jira를 사용한 상황 발견 항목 플레이북을 선택합니다. 이 플레이북은 기본적으로 중지되어 있습니다.
  8. 전환 버튼을 전환하여 플레이북을 사용 설정합니다.
  9. 저장을 클릭합니다.

ServiceNow와 통합

Google SecOps 케이스 업데이트를 ServiceNow 티켓과 동기화하고 올바른 플레이북 흐름을 보장하려면 모든 통합 단계를 완료해야 합니다.

ServiceNow 커스텀 티켓 유형 만들기 및 구성

ServiceNow 커스텀 티켓 유형을 만들고 구성하고 ServiceNow UI에서 활동 탭을 사용 설정하고 잘못된 티켓 레이아웃을 사용하지 않도록 해야 합니다.

ServiceNow 커스텀 티켓 유형 만들기

커스텀 ServiceNow 티켓 유형을 만들려면 ServiceNow 관리자 수준 사용자 인증 정보가 필요합니다.

커스텀 티켓 유형을 만들려면 다음 단계를 완료합니다.

  1. 보안 운영 콘솔에서 케이스로 이동합니다.
  2. 기존 케이스나 시뮬레이션한 케이스를 선택합니다.
  3. 케이스 개요 탭에서 직접 조치를 클릭합니다.
  4. 직접 조치 검색 필드에 Create SCC Enterprise를 입력합니다.
  5. SCCEnterprise 통합 아래의 검색 결과에서 SCC Enterprise 클라우드 상황 티켓 유형 SNOW 만들기 작업을 선택합니다. 대화상자 창이 열립니다.

  6. API 루트 매개변수를 구성하려면 ServiceNow 인스턴스의 API 루트를 입력합니다(예: https://INSTANCE_NAME.service-now.com/api/now/v1/).

  7. 사용자 이름 매개변수를 구성하려면 ServiceNow에 관리자로 로그인하는 데 사용하는 사용자 이름을 입력합니다.

  8. 비밀번호 매개변수를 구성하려면 ServiceNow에 관리자로 로그인하는 데 사용하는 비밀번호를 입력합니다.

  9. 테이블 역할 매개변수를 구성하려면 필드를 비워 두거나 값이 있으면 값을 입력합니다. 이 매개변수는 역할 값 하나만 허용합니다.

    기본적으로 테이블 역할 필드는 특별히 Security Command Center Enterprise 티켓을 관리하기 위해 ServiceNow에 새 커스텀 역할을 만들 수 있도록 비어 있습니다. 이 새로운 커스텀 역할이 부여된 ServiceNow 사용자만 Security Command Center Enterprise 티켓에 액세스할 수 있습니다.

    ServiceNow에서 이슈를 관리하는 사용자를 위한 전용 역할이 이미 있으며 이 역할을 Security Command Center Enterprise 발견 항목 관리에 사용하려면 테이블 역할 필드에 기존 ServiceNow 역할 이름을 입력합니다. 예를 들어 기존 incident_handler_role 값을 입력하면 ServiceNow에서 incident_handler_role 역할이 부여된 모든 사용자는 Security Command Center Enterprise 티켓에 액세스할 수 있습니다.

  10. 실행을 클릭합니다. 작업이 완료될 때까지 기다립니다.

ServiceNow 커스텀 티켓 레이아웃 구성

ServiceNow UI에 케이스 및 케이스 의견과 관련된 업데이트가 정확하게 표시되게 하려면 다음 단계를 완료합니다.

  1. ServiceNow 관리자 계정에서 모두 탭으로 이동합니다.
  2. 검색 필드에 SCC Enterprise를 입력합니다.
  3. 드롭다운 목록에서 SCC Enterprise 클라우드 상황 티켓을 선택하고 검색을 실행합니다.
  4. 상황 테스트 티켓을 선택합니다. ServiceNow 티켓 레이아웃 페이지가 열립니다.
  5. ServiceNow 티켓 레이아웃 페이지에서 추가 작업 > 구성 > 양식 레이아웃으로 이동합니다.
  6. 양식 보기 및 섹션 섹션으로 이동합니다.
  7. 섹션 필드에서 u_scc_enterprise_cloud_posture_ticket을 선택합니다.
  8. 저장을 클릭합니다. 페이지가 업데이트되면 티켓 템플릿에 열 2개로 분산된 필드가 있습니다.
  9. 추가 작업 > 구성 > 양식 레이아웃으로 이동합니다.
  10. 양식 보기 및 섹션 섹션으로 이동합니다.
  11. 섹션 필드에서 요약을 선택합니다.
  12. 저장을 클릭합니다. 페이지가 업데이트되면 티켓 템플릿에 새로운 요약 구조가 포함됩니다.

ServiceNow 통합 구성

  1. 보안 운영 콘솔에서 응답 > 통합 설정으로 이동합니다.
  2. 기본 환경을 선택합니다.
  3. 통합 검색 필드에 ServiceNow를 입력합니다. ServiceNow 통합이 검색 결과로 반환됩니다.
  4. 인스턴스 구성을 클릭합니다. 대화상자 창이 열립니다.

  5. API 루트 매개변수를 구성하려면 ServiceNow 인스턴스의 API 루트를 입력합니다(예: https://INSTANCE_NAME.service-now.com/api/now/v1/).

  6. 사용자 이름 매개변수를 구성하려면 ServiceNow에 로그인하는 데 사용하는 사용자 이름을 입력합니다. 관리자 인증 정보를 사용하지 마세요.

  7. 비밀번호 매개변수를 구성하려면 ServiceNow에 로그인하는 데 사용하는 비밀번호를 입력합니다. 관리자 인증 정보를 사용하지 마세요.

  8. 저장을 클릭합니다.

  9. 구성을 테스트하려면 테스트를 클릭합니다.

SNOW 플레이북으로 상황 발견 항목 사용 설정

  1. 보안 운영 콘솔에서 응답 > 플레이북으로 이동합니다.
  2. 플레이북 검색 창에 Generic을 입력합니다.
  3. 상황 발견 항목 - 일반 플레이북을 선택합니다. 이 플레이북은 기본적으로 사용 설정됩니다.
  4. 전환 버튼을 전환하여 플레이북을 중지합니다.
  5. 저장을 클릭합니다.
  6. 플레이북 검색 창에 SNOW를 입력합니다.
  7. SNOW를 사용한 상황 발견 항목 플레이북을 선택합니다. 이 플레이북은 기본적으로 중지되어 있습니다.
  8. 전환 버튼을 전환하여 플레이북을 사용 설정합니다.
  9. 저장을 클릭합니다.

다음 단계