将 Security Command Center Enterprise 与工单系统集成

本文档介绍如何在配置安全编排、自动化和响应 (SOAR) 后将 Security Command Center 企业方案与工单系统集成。

与工单系统集成是可选的,需要手动配置。如果您使用默认的 Security Command Center 企业方案配置,则无需执行此过程。您可以随时在日后与工单系统集成。

概览

您可以使用控制台和 API 跟踪发现结果,并采用默认的 Security Command Center 企业方案配置。如果您的组织使用工单系统来跟踪问题,请在配置 Google Security Operations 实例后与 Jira 或 ServiceNow 集成。

在收到资源的相关发现结果后,SCC Enterprise - Urgent Posture Findings 连接器会分析这些结果,并根据发现结果类型将其归入新支持请求或现有支持请求。

如果您与工单系统集成,Security Command Center 每次为发现结果创建新支持请求时,都会创建一个新工单。每次更新支持请求时,Security Command Center 都会自动更新相关工单。

一个支持请求可以包含多个发现结果。Security Command Center 会为每个支持请求创建一个工单,并将支持请求内容和信息与相应工单同步,以便工单分配对象了解需要采取哪些补救措施。

支持请求与工单之间会进行双向同步:

  • 支持请求中的更改(例如状态更新或新评论)会自动反映在关联的工单中。

  • 同样,工单详细信息会同步回支持请求,从而通过工单系统中的信息丰富支持请求。

准备工作

在配置 Jira 或 ServiceNow 之前,请在 SCC Enterprise – Urgent Posture Findings Connector 中为后备所有者参数提供有效的邮箱,并确保此邮箱可在您的工单系统中分配。

与 Jira 集成

请务必完成所有集成步骤,以便将支持请求更新与 Jira 问题同步,并确保playbook流程正确无误。

支持请求优先级会反映在 Jira 问题严重程度中。

在 Jira 中创建新项目

如需在 Jira 中为 Security Command Center 企业方案问题创建一个名为 SCC Enterprise Project (SCCE) 的新项目,请在支持请求中运行手动操作。您可以使用任何现有支持请求或模拟支持请求。如需详细了解如何模拟支持请求,请参阅 Google SecOps 文档中的模拟支持请求页面。

创建新的 Jira 项目需要 Jira 管理员级凭证。

如需创建新的 Jira 项目,请完成以下步骤:

  1. 在 Google Cloud 控制台中,依次前往风险 > 支持请求
  2. 选择现有支持请求或您模拟的支持请求。
  3. 支持请求概览标签页中,点击手动操作
  4. 在手动操作的搜索字段中,输入 Create SCC Enterprise
  5. SCCEnterprise 集成下的搜索结果中,选择创建 SCC Enterprise 云端安全配置工单类型 Jira 操作。系统会打开对话框窗口。

  6. 如需配置 API 根目录参数,请输入 Jira 实例的 API 根目录,例如 https://YOUR_DOMAIN_NAME.atlassian.net

  7. 如需配置用户名参数,请输入您以管理员身份登录 Jira 时所用的用户名。

  8. 如需配置密码参数,请输入您以管理员身份登录 Jira 时使用的密码。

  9. 如需配置 API 令牌参数,请输入在 Jira 控制台中生成的 Atlassian 管理员账号的 API 令牌。

  10. 点击 Execute。等待操作完成。

可选:配置自定义 Jira 问题布局

  1. 以管理员身份登录 Jira。
  2. 前往项目 > SCC Enterprise 项目 (SCCE)
  3. 调整问题字段并重新排序。如需详细了解如何管理问题字段,请参阅 Jira 文档中的配置问题字段布局

配置 Jira 集成

  1. 在 Google Cloud 控制台中,依次前往响应 > Playbook,打开 Security Operations 控制台导航。
  2. 在 Security Operations 控制台导航栏中,依次前往“响应”>“集成设置”
  3. 选择默认环境
  4. 在集成搜索字段中,输入 JiraJira 集成作为搜索结果返回。
  5. 点击 配置实例。 系统会打开对话框窗口。

  6. 如需配置 API 根目录参数,请输入 Jira 实例的 API 根目录,例如 https://YOUR_DOMAIN_NAME.atlassian.net

  7. 如需配置用户名参数,请输入您用于登录 Jira 的用户名。请勿使用管理员凭证。

  8. 如需配置 API 令牌参数,请输入在 Jira 控制台中生成的非管理员 Atlassian 账号的 API 令牌。

  9. 点击保存

  10. 如需测试配置,请点击测试

启用“Jira 安全状况发现结果”playbook

  1. 在 Google Cloud 控制台中,依次前往响应 > Playbook,打开 Security Operations 控制台的 Playbook 页面。
  2. 在 Playbook 搜索栏中,输入 Generic
  3. 选择安全状况发现结果 - 通用 playbook。此playbook默认处于启用状态。
  4. 切换开关以停用 playbook
  5. 点击保存
  6. 在 Playbook 搜索栏中,输入 Jira
  7. 选择 Jira 安全状况发现结果 playbook。此playbook默认处于停用状态。
  8. 切换开关以启用 playbook
  9. 点击保存

与 ServiceNow 集成

请务必完成所有集成步骤,以将 Google SecOps 支持请求的更新与 ServiceNow 工单同步,并确保正确的playbook流程。

创建和配置 ServiceNow 自定义工单类型

请务必创建并配置 ServiceNow 自定义工单类型,在 ServiceNow 界面中启用“活动”标签页,并避免使用错误的工单布局。

创建 ServiceNow 自定义工单类型

创建自定义 ServiceNow 工单类型需要 ServiceNow 管理员级凭证。

如需创建自定义支持请求类型,请完成以下步骤:

  1. 在 Google Cloud 控制台中,依次前往风险 > 支持请求
  2. 选择现有支持请求或您模拟的支持请求。
  3. 支持请求概览标签页中,点击手动操作
  4. 在手动操作的搜索字段中,输入 Create SCC Enterprise
  5. SCCEnterprise 集成下的搜索结果中,选择创建 SCC Enterprise 云安全状况工单类型 ServiceNow 操作。系统会打开对话框窗口。

  6. 如需配置 API 根参数,请输入 ServiceNow 实例的 API 根,例如 https://INSTANCE_NAME.service-now.com/api/now/v1/

  7. 如需配置用户名参数,请输入您以管理员身份登录 ServiceNow 时所用的用户名。

  8. 如需配置密码参数,请输入您以管理员身份登录 ServiceNow 时使用的密码。

  9. 如需配置表角色参数,请将相应字段留空;如果您有值,请提供相应的值。此参数仅接受一个角色值。

    默认情况下,表角色字段为空。您必须在 ServiceNow 中创建一个新的自定义角色,专门用于管理 Security Command Center 企业方案工单。只有获得此新自定义角色的 ServiceNow 用户才能访问 Security Command Center 企业方案工单。

    如果您已为在 ServiceNow 中管理突发事件的用户设置了专用角色,并且希望使用此角色来管理 Security Command Center 企业方案发现结果,请在表角色字段中输入现有的 ServiceNow 角色名称。例如,如果您提供现有的 incident_handler_role 值,则 ServiceNow 中被授予 incident_handler_role 角色的所有用户都可以访问 Security Command Center 企业方案工单。

  10. 点击 Execute。等待操作完成。

配置 ServiceNow 自定义工单布局

为确保 ServiceNow 网页界面准确显示与支持请求和支持请求评论相关的更新,请完成以下步骤:

  1. 在您的 ServiceNow 管理员账号中,前往全部标签页。
  2. 搜索字段中,输入 SCC Enterprise
  3. 在下拉列表中,选择 SCC Enterprise 云安全状况工单,然后运行搜索。
  4. 选择安全状况测试工单。系统会打开 ServiceNow 工单布局页面。
  5. 在 ServiceNow 工单布局页面上,依次前往其他操作 > 配置 > 表单布局
  6. 前往表单视图和部分部分。
  7. 部分字段中,选择 u_scc_enterprise_cloud_posture_ticket
  8. 点击保存。页面更新后,工单模板的字段会分布在两列中。
  9. 依次前往其他操作 > 配置 > 表单布局
  10. 前往表单视图和部分部分。
  11. 部分字段中,选择摘要
  12. 点击保存。页面更新后,工单模板会显示新的“摘要”结构。

配置 ServiceNow 集成

  1. 在 Google Cloud 控制台中,依次前往响应 > Playbook,打开 Security Operations 控制台导航。
  2. 在 Security Operations 控制台导航中,依次前往响应 > 集成设置
  3. 选择默认环境
  4. 在集成搜索字段中,输入 ServiceNowServiceNow 集成会显示为搜索结果。
  5. 点击 配置实例。 系统会打开对话框窗口。

  6. 如需配置 API 根参数,请输入 ServiceNow 实例的 API 根,例如 https://INSTANCE_NAME.service-now.com/api/now/v1/

  7. 如需配置用户名参数,请输入您用于登录 ServiceNow 的用户名。请勿使用管理员凭证。

  8. 如需配置密码参数,请输入您用于登录 ServiceNow 的密码。请勿使用管理员凭证。

  9. 点击保存

  10. 如需测试配置,请点击测试

启用“ServiceNow 安全状况发现结果”playbook

  1. 在 Google Cloud 控制台中,依次前往响应 > Playbook
  2. 在 Playbook 搜索栏中,输入 Generic
  3. 选择安全状况发现结果 - 通用 playbook。此playbook默认处于启用状态。
  4. 切换开关以停用 playbook
  5. 点击保存
  6. 在 Playbook 搜索栏中,输入 SNOW
  7. 选择 ServiceNow 安全状况发现结果 playbook。此playbook默认处于停用状态。
  8. 切换开关以启用 playbook
  9. 点击保存

启用支持请求数据同步

Security Command Center 会自动同步支持请求与相应工单之间的信息,确保支持请求与工单之间的优先级、状态、评论和其他相关数据保持一致。

为了同步支持请求数据,Security Command Center 使用称为同步作业的内部自动流程。同步 SCC-Jira 工单同步 SCC-ServiceNow 工单作业用于在 Security Command Center 和集成的工单系统之间同步支持请求数据。这两个作业最初处于停用状态,您需要启用它们才能启动自动支持请求数据同步。

关闭支持请求会自动解决相应工单。在 Jira 或 ServiceNow 中解决工单会触发同步作业,从而关闭支持请求。

准备工作

如需启用支持请求同步,您必须在 SOAR 设置页面上获得以下任一 SOC 角色:

  • 管理员
  • Vulnerability Manager
  • Threat Manager

如需详细了解用户所需的 SOC 角色和权限,请参阅控制对 Security Operations 控制台页面中功能的访问权限

为工单系统启用同步功能

为确保工单和支持请求中的信息自动同步,请启用与您集成的工单系统相关的同步作业。

如需启用同步作业,请完成以下步骤:

  1. 在 Google Cloud 控制台中,前往 Security Command Center。

    进入 Security Command Center

  2. 在导航菜单中,依次点击响应 > Playbook。 系统会在Security Operations控制台中打开 Playbook 页面。

  3. 依次点击响应 > JobScheduler

  4. 选择正确的同步作业:

    • 如果您已与 Jira 集成,请选择同步 SCC-Jira 工单作业。

    • 如果您已与 ServiceNow 集成,请选择同步 SCC-ServiceNow 工单作业。

  5. 切换开关以启用所选作业。

  6. 点击保存,以使 Security Command Center 能够自动将支持请求数据与工单系统同步。

为现有支持请求创建工单

Security Command Center 仅针对在您与工单系统集成后打开的支持请求自动创建工单,不会追溯性地将新 playbook 附加到现有提醒。如需为在与工单系统集成之前开立的支持请求创建工单,请使用以下方法之一:

  • 关闭没有工单的支持请求,并等待 SCC 重新提取发现结果,然后为支持请求提醒分配新的playbook。

  • 手动将 playbook 添加到在您与工单系统集成之前开启的任何支持请求中的任何提醒。

关闭没有工单的支持请求

如需关闭没有工单的支持请求,请完成以下步骤:

  1. 在 Google Cloud 控制台中,前往 Security Command Center。

    进入 Security Command Center

  2. 在导航栏中,依次点击风险 > 支持请求。系统会在Security Operations控制台中打开支持请求页面。

  3. 点击 打开过滤条件。此时会打开支持请求队列过滤条件面板。

  4. 支持请求队列过滤条件中,指定以下内容:

    1. 时间范围字段中,指定未解决支持请求的时间段。
    2. 逻辑运算符设置为 AND
    3. 对于逻辑运算符下的第一个值,选择标记
    4. 将条件设置为 IS
    5. 对于第二个值,请选择 Internal-SCC-Ticket-Info
    6. 点击应用以更新支持请求队列中的支持请求,并仅显示与您指定的过滤条件匹配的支持请求。

  5. 在支持请求队列中,选择相应支持请求。

  6. 支持请求视图中,选择 关闭支持请求。系统会打开关闭支持请求窗口。

  7. 关闭支持请求窗口中,指定以下内容:

    1. 原因字段选择一个值,以说明关闭支持请求的原因。

    2. 根本原因字段选择一个值,以说明关闭支持请求的原因。

    3. 可选:添加评论。

    4. 点击关闭以关闭支持请求。然后,Security Command Center 会将发现结果重新提取到新的支持请求中,并自动将正确的 playbook 附加到这些支持请求。

手动向提醒添加 playbook

如需手动将playbook附加到现有支持请求中的提醒,请完成以下步骤:

  1. 在 Google Cloud 控制台中,前往 Security Command Center。

    进入 Security Command Center

  2. 依次点击风险> 支持请求。系统会在Security Operations控制台中打开支持请求页面。

  3. 点击 打开过滤条件。此时会打开支持请求队列过滤条件面板。

  4. 支持请求队列过滤条件中,指定以下内容:

    1. 时间范围字段中,指定未解决支持请求的时间段。
    2. 逻辑运算符设置为 AND
    3. 对于逻辑运算符下的第一个值,选择标记
    4. 将条件设置为 IS
    5. 对于第二个值,请选择 Internal-SCC-Ticket-Info
    6. 点击应用以更新支持请求队列中的支持请求,并仅显示与您指定的过滤条件匹配的支持请求。

  5. 在支持请求队列中,选择相应支持请求。

  6. 选择支持请求中包含的任何提醒。

  7. 在提醒视图中,前往 Playbook 标签页。

  8. 点击添加“添加 Playbook”。 系统会显示“添加 playbook”窗口,其中列出了可用的 playbook。

  9. 添加 Playbook 窗口的搜索字段中,输入 Posture Findings

    • 如果您已与 Jira 集成,请选择 Jira 安全状况发现结果playbook。
    • 如果您已与 ServiceNow 集成,请选择 ServiceNow 安全状况发现结果 playbook。

  10. 点击添加,将playbook添加到提醒中。

完成后,playbook 会为支持请求创建一个工单,并自动使用支持请求中的信息填充该工单。

只需向支持请求中的单个提醒添加 playbook,即可创建工单并触发数据同步。

后续步骤