Integrar o Security Command Center Enterprise aos sistemas de emissão de tíquetes

Neste documento, explicamos como integrar o nível Enterprise do Security Command Center aos sistemas de tíquetes após configurar a funcionalidade de orquestração, automação e resposta de segurança (SOAR, na sigla em inglês) com a tecnologia do Google Security Operations.

A integração com sistemas de tíquetes é opcional e requer configuração manual. Se você planeja usar a configuração padrão do Security Command Center Enterprise, não é necessário realizar este procedimento. É possível fazer a integração com um sistema de tíquetes a qualquer momento.

Visão geral

A configuração padrão do Security Command Center Enterprise permite rastrear descobertas usando o console e as APIs. Caso sua organização use sistemas de tíquetes para rastrear problemas, faça a integração com o Jira ou o ServiceNow depois de configurar a instância do Google Security Operations.

Ao receber as descobertas dos recursos, o Conector de descobertas de postura urgente do SCC Enterprise analisa e filtra as descobertas durante a ingestão e as agrupa em casos novos ou atuais, dependendo do tipo de descoberta.

Caso você faça a integração com um sistema de tíquetes, o Security Command Center vai criar um novo tíquete sempre que criar um novo caso para descobertas. Toda vez que um caso é atualizado, o Security Command Center atualiza automaticamente o tíquete relacionado.

Um único caso pode conter uma ou mais descobertas. O Security Command Center cria um tíquete para cada caso e sincroniza o conteúdo e as informações do caso com o tíquete correspondente. Assim, os usuários atribuídos sabem o que corrigir.

A sincronização entre um caso e o respectivo tíquete funciona das duas maneiras: se houver alguma atualização em um caso, como uma mudança de status ou um novo comentário, ela será refletida em um tíquete, e os detalhes dele serão sincronizados com o enriquecimento do sistema de tíquetes.

Antes de começar

Antes de configurar o Jira ou o ServiceNow, forneça um endereço de e-mail válido para o parâmetro proprietário substituto em SCC Enterprise - Conector de descobertas de posturas urgentes (em inglês) e verifique se esse e-mail pode ser atribuído no sistema de tíquetes.

Integrar com o Jira

Conclua todas as etapas de integração para sincronizar as atualizações dos casos do Google SecOps com os problemas do Jira e garantir o fluxo correto do playbook.

A prioridade do caso é refletida na gravidade do problema do Jira.

Criar um novo projeto no Jira

Para criar um novo projeto no Jira para os problemas do Security Command Center Enterprise chamado SCC Enterprise Project (SCCE), execute uma ação manual no caso. É possível usar qualquer caso existente ou simular um. Para mais informações sobre como simular casos, consulte a página Simular casos na documentação do Google SecOps.

Para criar um novo projeto Jira, é necessário ter credenciais de administrador do Jira.

Para criar um novo projeto Jira, siga estas etapas:

1. No console de Operações de Segurança, acesse Casos.
2. Selecione um caso existente ou o que você simulou.
3. Na guia Visão geral do caso, clique em Ação manual.
4. No campo Pesquisar de ação manual, insira Create SCC Enterprise.
5. Nos resultados da pesquisa, na integração SCCEnterprise, selecione a ação Create SCC Enterprise Cloud Posture Ticket Type Jira. A janela da caixa de diálogo será aberta.

6. Para configurar o parâmetro API Root, insira a raiz da API da sua instância Jira, como https://YOUR_DOMAIN_NAME.atlassian.net

7. Para configurar o parâmetro Nome de usuário, insira o nome de usuário que você usa para fazer login no Jira como administrador.

8. Para configurar o parâmetro Password, insira a senha que você usa para fazer login no Jira como administrador.

9. Para configurar o parâmetro Token de API, insira o token de API da sua conta de administrador da Atlassian que foi gerada no console do Jira.

10. Clique em Executar. Aguarde até que a ação seja concluída.

Opcional: configurar o layout de problemas personalizado do Jira

1. Faça login no Jira como administrador.
2. Acesse Projetos > SCC Enterprise Project (SCCE).
3. Ajuste e reorganize os campos de problemas. Para saber mais sobre como gerenciar campos de problemas, consulte Como configurar o layout do campo de problemas na documentação do Jira.

Configurar a integração com o Jira

1. No console de Operações de segurança, acesse Resposta > Configuração de integrações.
2. Selecione o Ambiente padrão.
3. No campo Pesquisar da integração, digite Jira. A integração Jira retorna como um resultado de pesquisa.
4. Clique em settings Configurar instância. A janela de diálogo é aberta.

5. Para configurar o parâmetro API Root, insira a raiz da API da sua instância Jira, como https://YOUR_DOMAIN_NAME.atlassian.net

6. Para configurar o parâmetro Nome de usuário, insira o nome de usuário que você usa para fazer login no Jira. Não use suas credenciais de administrador.

7. Para configurar o parâmetro Token de API, insira o token de API da sua conta Atlassian não administrador gerada no console do Jira.

8. Clique em Salvar.

9. Para testar a configuração, clique em Testar.

Ativar as descobertas de postura com o playbook do Jira

1. No console de Operações de Segurança, acesse Resposta > Playbooks.
2. Na barra Pesquisa do Playbook, digite Generic.
3. Selecione o playbook Descobertas de postura – Genérica. Esse playbook está ativado por padrão.
4. Alterne o botão para desativar o playbook.
5. Clique em Salvar.
6. Na barra Pesquisa do Playbook, digite Jira.
7. Selecione o playbook Descobertas de postura com o Jira. Este playbook está desativado por padrão.
8. Alterne o botão para ativar o playbook.
9. Clique em Salvar.

Integrar com o ServiceNow

Conclua todas as etapas de integração para sincronizar as atualizações dos casos do Google SecOps com os tíquetes do ServiceNow e garantir o fluxo correto do playbook.

Criar e configurar o tipo de tíquete personalizado do ServiceNow

Certifique-se de criar e configurar o tipo de tíquete personalizado do ServiceNow para ativar a guia "Atividades" na interface do ServiceNow e evitar o uso do layout de tíquete incorreto.

Criar tipo de tíquete personalizado do ServiceNow

A criação de um tipo de tíquete personalizado do ServiceNow exige credenciais de nível de administrador do ServiceNow.

Para criar um tipo de ingresso personalizado, siga estas etapas:

1. No console de Operações de Segurança, acesse Casos.
2. Selecione um caso existente ou o que você simulou.
3. Na guia Visão geral do caso, clique em Ação manual.
4. No campo Pesquisar de ação manual, insira Create SCC Enterprise.
5. Nos resultados da pesquisa, na integração SCCEnterprise, selecione a ação Create SCC Enterprise Cloud Posture Ticket Type SNOW. A janela da caixa de diálogo será aberta.

6. Para configurar o parâmetro API Root, insira a raiz da API da sua instância do ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/

7. Para configurar o parâmetro Nome de usuário, insira o nome de usuário que você usa para fazer login no ServiceNow como administrador.

8. Para configurar o parâmetro Senha, insira a senha que você usa para fazer login no ServiceNow como administrador.

9. Para configurar o parâmetro Papel da tabela, deixe o campo em branco ou forneça um valor, se houver. Esse parâmetro aceita apenas um valor de papel.

   Por padrão, o campo Papel da tabela fica vazio para criar um papel personalizado no ServiceNow para gerenciar especificamente os tíquetes do Security Command Center Enterprise. Somente os usuários do ServiceNow que receberam esse novo papel personalizado têm acesso aos tíquetes do Security Command Center Enterprise.

   Se você já tiver um papel dedicado para usuários que gerenciam incidentes no ServiceNow e quiser usá-lo para gerenciar as descobertas do Security Command Center Enterprise, insira o nome do papel atual do ServiceNow no campo Papel da tabela. Por exemplo, se você fornecer o valor incident_handler_role atual, todos os usuários que receberem o papel incident_handler_role no ServiceNow poderão acessar os tíquetes do Security Command Center Enterprise.

10. Clique em Executar. Aguarde até que a ação seja concluída.

Configurar o layout personalizado do tíquete do ServiceNow

Para garantir que a interface do ServiceNow exiba com precisão as atualizações relacionadas aos casos e comentários de casos, conclua as etapas a seguir:

1. Na conta de administrador do ServiceNow, acesse a guia Todos.
2. No campo Pesquisa, digite SCC Enterprise.
3. Na lista suspensa, selecione SCC Enterprise Cloud Posture Ticket (em inglês) e faça uma pesquisa.
4. Selecione o Tíquete de teste de postura. A página de layout do tíquete do ServiceNow será aberta.
5. Na página de layout do tíquete do ServiceNow, acesse Ações adicionais > Configurar > Layout do formulário.
6. Acesse a seção Visualização e seção do formulário.
7. No campo Seção, selecione u_scc_enterprise_cloud_posture_ticket.
8. Clique em Salvar. Após a atualização da página, o modelo de ingresso tem campos distribuídos em duas colunas.
9. Acesse Ações adicionais > Configurar > Layout do formulário.
10. Acesse a seção Visualização e seção do formulário.
11. No campo Seção, selecione Resumo.
12. Clique em Salvar. Depois que a página for atualizada, o modelo de tíquete terá a nova estrutura de resumo.

Configurar a integração do ServiceNow

1. No console de Operações de segurança, acesse Resposta > Configuração de integrações.
2. Selecione o Ambiente padrão.
3. No campo Pesquisar da integração, digite ServiceNow. A integração do ServiceNow retorna como um resultado de pesquisa.
4. Clique em settings Configurar instância. A janela de diálogo é aberta.

5. Para configurar o parâmetro API Root, insira a raiz da API da sua instância do ServiceNow, como https://INSTANCE_NAME.service-now.com/api/now/v1/

6. Para configurar o parâmetro Nome de usuário, digite o nome de usuário que você usa para fazer login no ServiceNow. Não use suas credenciais de administrador.

7. Para configurar o parâmetro Senha, insira a senha que você usa para fazer login no ServiceNow. Não use suas credenciais de administrador.

8. Clique em Salvar.

9. Para testar a configuração, clique em Testar.

Ativar o playbook de descobertas de postura com SNOW

1. No console de Operações de Segurança, acesse Resposta > Playbooks.
2. Na barra Pesquisa do Playbook, digite Generic.
3. Selecione o playbook Descobertas de postura – Genérica. Esse playbook está ativado por padrão.
4. Alterne o botão para desativar o playbook.
5. Clique em Salvar.
6. Na barra Pesquisa do Playbook, digite SNOW.
7. Selecione o playbook Descobertas de postura com SNOW. Este playbook está desativado por padrão.
8. Alterne o botão para ativar o playbook.
9. Clique em Salvar.

Ativar a sincronização de dados de casos

O Security Command Center sincroniza automaticamente as informações entre um caso e o tíquete correspondente, para que as informações em um caso e no tíquete, como prioridade, status e comentários, sejam sempre as mesmas.

Para sincronizar os dados dos casos, o Security Command Center usa processos automáticos internos chamados jobs de sincronização. Os jobs Sync SCC-Jira Tickets e Sync SCC-ServiceNow Tickets sincronizam dados de casos entre o Security Command Center e os sistemas de tíquetes integrados. Esses dois jobs estão desativados por padrão e executados automaticamente após a ativação.

Quando o caso é encerrado, o tíquete é encerrado com o status Resolved. Quando o tíquete é resolvido no Jira ou no ServiceNow, os jobs de sincronização acionam o Security Command Center para fechar o caso.

Antes de começar

Para ativar a sincronização de casos, é necessário receber qualquer um dos seguintes papéis do SOC no console de Operações de Segurança:

• Administrador
• Gerenciador de vulnerabilidades
• Gerenciador de ameaças

Para saber mais detalhes sobre os papéis do SOC no console de Operações de Segurança e as permissões necessárias para os usuários, consulte Controlar o acesso a recursos no Console de Operações de Segurança.

Ativar a sincronização para sistemas de tíquetes

Para garantir que as informações em casos e tíquetes sejam sincronizadas automaticamente, ative o job de sincronização relevante para o sistema de tíquetes integrado.

Para ativar o job de sincronização, siga estas etapas:

1. No console de Operações de segurança, vá para Resposta > Programador de jobs.

2. Escolha o job de sincronização correto:

   • Se você fez a integração com o Jira, selecione o job Sincronizar tíquetes SCC-Jira.

   • Se você fez a integração com o ServiceNow, selecione o job Sincronizar tíquetes SCC-ServiceNow.

3. Alterne o botão para ativar o job selecionado.

4. Clique em Salvar.

A seguir

• Saiba como determinar a propriedade de descobertas de postura.

• Saiba como agrupar descobertas nos casos.

• Saiba como atribuir tíquetes com base em casos de postura.