Integrar o Security Command Center Enterprise a sistemas de tíquetes

Neste documento, explicamos como integrar o nível Enterprise do Security Command Center aos sistemas de tíquete depois de configurar a funcionalidade de orquestração, automação e resposta de segurança (SOAR, na sigla em inglês) desenvolvida pelas operações de segurança do Google.

A integração com sistemas de venda de ingressos é opcional e requer configuração manual. Se você planeja usar a configuração padrão do Security Command Center Enterprise, não é necessário realizar este procedimento. Você pode fazer a integração com um sistema de tíquetes mais tarde, a qualquer momento.

Visão geral

A configuração padrão do Security Command Center Enterprise permite que você rastreie as descobertas usando o console e as APIs. Se a organização usa sistemas de tíquetes para rastrear problemas, faça a integração com o Jira ou o ServiceNow depois de configurar a instância das Operações de segurança do Google.

Ao receber descobertas de recursos, o SCC Enterprise — Conector de descobertas de postura urgente analisa e filtra as descobertas durante a ingestão e as agrupa em casos novos ou atuais, dependendo do tipo de descoberta.

Se você se integrar a um sistema de tíquetes, o Security Command Center criará um novo tíquete sempre que um novo caso for gerado para descobertas. Sempre que um caso é atualizado, o Security Command Center atualiza o tíquete relacionado automaticamente.

Um único caso pode conter uma ou mais descobertas. O Security Command Center cria um tíquete para cada caso e sincroniza o conteúdo e as informações dele com o tíquete correspondente para informar aos responsáveis o que precisa ser corrigido.

A sincronização entre um caso e o tíquete funciona das duas maneiras: se houver alguma atualização em um caso, como uma mudança de status ou um novo comentário, ela será refletida em um tíquete, e os detalhes do tíquete serão sincronizados com o enriquecimento do sistema de tíquetes.

Antes de começar

Antes de configurar o Jira ou o ServiceNow, forneça um endereço de e-mail válido para o parâmetro Proprietário do substituto no SCC Enterprise – Conector de descobertas de postura urgente e verifique se esse e-mail pode ser atribuído no seu sistema de tíquetes.

Integrar com o Jira

Conclua todas as etapas de integração para sincronizar as atualizações dos casos do Google SecOps com os problemas do Jira e garanta o fluxo correto do manual.

A prioridade do caso é refletida na gravidade do problema do Jira.

Criar um novo projeto no Jira

Para criar um novo projeto no Jira para os problemas do Security Command Center Enterprise chamado SCC Enterprise Project (SCCE), execute uma ação manual no caso. É possível usar qualquer caso atual ou simular um. Para mais informações sobre como simular casos, consulte a página Simular casos na documentação do Google SecOps.

Para criar um novo projeto do Jira, é preciso ter credenciais de administrador do Jira.

Para criar um novo projeto do Jira, siga estas etapas:

1. No console de Operações de Segurança, acesse Casos.
2. Selecione um caso existente ou o simulado.
3. Na guia Visão geral do caso, clique em Ação manual.
4. No campo Pesquisar da ação manual, digite Create SCC Enterprise.
5. Nos resultados da pesquisa na integração SCCEnterprise, selecione a ação Create SCC Enterprise Cloud posture Type Jira. A janela de caixa de diálogo é aberta.

6. Para configurar o parâmetro Raiz da API, insira a raiz da API da sua instância do Jira, como https://YOUR_DOMAIN_NAME.atlassian.net

7. Para configurar o parâmetro Username, digite o nome de usuário que você usa para fazer login no Jira como administrador.

8. Para configurar o parâmetro Senha, digite a senha que você usa para fazer login no Jira como administrador.

9. Para configurar o parâmetro Token de API, insira o token de API da sua conta de administrador da Atlassian que foi gerada no console do Jira.

10. Clique em Executar. Aguarde até que a ação seja concluída.

Opcional: configurar o layout personalizado de problemas do Jira

1. Faça login no Jira como administrador.
2. Acesse Projetos > SCC Enterprise Project (SCCE).
3. Ajustar e reordenar os campos de problemas. Para mais detalhes sobre como gerenciar campos de problemas, consulte Como configurar o layout do campo de problemas na documentação do Jira.

Configurar a integração com o Jira

1. No console do Security Operations, acesse Resposta > Configuração de integrações.
2. Selecione o Ambiente padrão.
3. No campo Pesquisa de integração, insira Jira. A integração Jira (link em inglês) retorna como um resultado da pesquisa.
4. Clique em settings Configurar instância. A janela de diálogo vai ser aberta.

5. Para configurar o parâmetro Raiz da API, insira a raiz da API da sua instância do Jira, como https://YOUR_DOMAIN_NAME.atlassian.net

6. Para configurar o parâmetro Nome de usuário, digite o nome de usuário que você usou para fazer login no Jira. Não use suas credenciais de administrador.

7. Para configurar o parâmetro Token de API, insira o token da sua conta Atlassian não administrador que foi gerada no console do Jira.

8. Clique em Salvar.

9. Para testar a configuração, clique em Testar.

Ative as descobertas de postura com o manual do Jira

1. No console do Security Operations, acesse Resposta > Playbooks.
2. Na barra Pesquisa do playbook, digite Generic.
3. Selecione o playbook Descobertas de postura: genérico. Ele está ativado por padrão.
4. Use o botão de alternância para desativar o playbook.
5. Clique em Salvar.
6. Na barra Pesquisa do playbook, digite Jira.
7. Selecione o manual Descobertas de postura com Jira. Este playbook fica desativado por padrão.
8. Use o botão de alternância para ativar o playbook.
9. Clique em Salvar.

Integrar ao ServiceNow

Conclua todas as etapas de integração para sincronizar as atualizações dos casos do Google SecOps com os tíquetes do ServiceNow e garantir o fluxo correto do playbook.

Criar e configurar o tipo de tíquete personalizado do ServiceNow

Crie e configure o tipo de tíquete personalizado do ServiceNow para ativar a guia "Atividades" na IU correspondente e evite usar o layout de tíquete incorreto.

Criar tipo de tíquete personalizado do ServiceNow

A criação de um tipo de tíquete personalizado do ServiceNow requer credenciais de nível de administrador do ServiceNow.

Para criar um tipo de ingresso personalizado, siga estas etapas:

1. No console de Operações de Segurança, acesse Casos.
2. Selecione um caso existente ou o simulado.
3. Na guia Visão geral do caso, clique em Ação manual.
4. No campo Pesquisar da ação manual, digite Create SCC Enterprise.
5. Nos resultados da pesquisa na integração SCCEnterprise, selecione a ação Create SCC Enterprise Cloud posture Type SNOW. A janela de caixa de diálogo é aberta.

6. Para configurar o parâmetro Raiz da API, insira a raiz da API da sua instância do ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Para configurar o parâmetro Username, digite o nome de usuário usado para fazer login no ServiceNow como administrador.

8. Para configurar o parâmetro Password, digite a senha que você usa para fazer login no ServiceNow como administrador.

9. Para configurar o parâmetro Table Role, deixe o campo em branco ou forneça um valor, se houver. Esse parâmetro aceita apenas um valor de papel.

   Por padrão, o campo Papel da tabela está vazio para criar um novo papel personalizado no ServiceNow a fim de gerenciar especificamente os tíquetes do Security Command Center Enterprise. Apenas os usuários do ServiceNow que receberam esse novo papel personalizado têm acesso aos tíquetes do Security Command Center Enterprise.

   Se você já tiver um papel dedicado para usuários que gerenciam incidentes no ServiceNow e quiser usá-lo para gerenciar as descobertas do Security Command Center Enterprise, insira o nome do papel atual do ServiceNow no campo Papel da tabela. Por exemplo, se você fornecer o valor incident_handler_role existente, todos os usuários que tiverem o papel incident_handler_role no ServiceNow poderão acessar os tíquetes do Security Command Center Enterprise.

10. Clique em Executar. Aguarde até que a ação seja concluída.

Configurar o layout de tíquete personalizado do ServiceNow

Para garantir que a interface do ServiceNow mostre com precisão as atualizações relacionadas aos casos e aos comentários deles, siga estas etapas:

1. Na sua conta de administrador do ServiceNow, acesse a guia Todos.
2. No campo Pesquisar, digite SCC Enterprise.
3. Na lista suspensa, selecione o Tíquete de postura do SCC Enterprise Cloud e execute uma pesquisa.
4. Selecione o Posture Test Ticket. A página de layout do tíquete do ServiceNow será aberta.
5. Na página de layout do tíquete do ServiceNow, acesse Outras ações > Configurar > Layout do formulário.
6. Vá para a seção Visualização e seção de formulário.
7. No campo Seção, selecione u_scc_enterprise_cloud_posture_ticket.
8. Clique em Salvar. Após a atualização da página, os campos do modelo de tíquete serão distribuídos em duas colunas.
9. Acesse Outras ações > Configurar > Layout do formulário.
10. Vá para a seção Visualização e seção de formulário.
11. No campo Seção, selecione Resumo.
12. Clique em Salvar. Depois que a página for atualizada, o modelo de ingresso terá a nova estrutura de resumo.

Configurar a integração do ServiceNow

1. No console de Operações de Segurança, acesse Resposta > Configuração de integrações.
2. Selecione o Ambiente padrão.
3. No campo Pesquisa de integração, insira ServiceNow. A integração do ServiceNow é retornada como um resultado da pesquisa.
4. Clique em settings Configurar instância. A janela de diálogo vai ser aberta.

5. Para configurar o parâmetro Raiz da API, insira a raiz da API da sua instância do ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/.

6. Para configurar o parâmetro Username, digite o nome de usuário usado para fazer login no ServiceNow. Não use suas credenciais de administrador.

7. Para configurar o parâmetro Password, insira a senha que você usa para fazer login no ServiceNow. Não use suas credenciais de administrador.

8. Clique em Salvar.

9. Para testar a configuração, clique em Testar.

Ativar o manual de descobertas de postura com SNOW

1. No console do Security Operations, acesse Resposta > Playbooks.
2. Na barra Pesquisa do playbook, digite Generic.
3. Selecione o playbook Descobertas de postura: genérico. Ele está ativado por padrão.
4. Use o botão de alternância para desativar o playbook.
5. Clique em Salvar.
6. Na barra Pesquisa do playbook, digite SNOW.
7. Selecione o manual Descobertas de postura com SNOW. Este playbook fica desativado por padrão.
8. Use o botão de alternância para ativar o playbook.
9. Clique em Salvar.

A seguir

• Saiba como determinar a propriedade das descobertas de postura.

• Saiba como agrupar descobertas em casos.

• Saiba como atribuir tíquetes com base em casos de postura.