将 Security Command Center Enterprise 与工单系统集成

本文档介绍了在配置由 Google Security Operations 提供支持的安全编排、自动化和响应 (SOAR) 功能后,如何将 Security Command Center 的企业层级与工单系统集成。

与票务系统集成是可选操作,需要手动配置。如果您计划使用默认 Security Command Center Enterprise 配置,则无需执行此过程。您可以稍后随时与工单系统集成。

概览

默认的 Security Command Center Enterprise 配置可让您使用控制台和 API 跟踪发现结果。如果贵组织使用工单系统来跟踪问题,请在配置 Google 安全操作实例后与 Jira 或 ServiceNow 集成。

收到资源发现结果后,SCC Enterprise - 紧急状况发现结果连接器会分析并过滤注入期间发现结果,并根据发现结果类型将其分组到新案例或现有案例中。

如果您与工单系统集成,则 Security Command Center 每次为发现结果创建新案例时都会创建新工单。每次更新支持请求时,Security Command Center 也会自动更新相关工单。

单个案例可能包含一项或多项发现结果。Security Command Center 会为每个案例创建一个工单,并将案例内容和信息与相应的工单同步,让工单分配对象知道需要采取的补救措施。

支持请求与其工单之间的同步以两种方式实现:如果状态更改或新注释等情况下有任何更新,则更新会反映在工单中,工单详细信息会同步到支持请求的工单系统扩充。

准备工作

在配置 Jira 或 ServiceNow 之前,请在 SCC 企业版 - 紧急状况发现结果连接器中为 Fallback Owner 参数提供有效的电子邮件地址,并确保此电子邮件地址可在您的工单系统中分配。

与 Jira 集成

请务必完成所有集成步骤,将 Google SecOps 支持请求的更新与 Jira 问题同步,并确保正确的 playbook 流程。

支持请求优先级会在 Jira 问题严重程度中反映出来。

在 Jira 中创建一个新项目

如需在 Jira 中针对名为 SCC Enterprise 项目 (SCCE) 的 Security Command Center Enterprise 问题创建新项目,请在案例中运行手动操作。您可以使用任何现有案例,也可以模拟一个案例。如需详细了解如何模拟案例,请参阅 Google SecOps 文档中的模拟案例页面。

创建新的 Jira 项目需要 Jira 管理员级别的凭据。

如需创建新的 Jira 项目,请完成以下步骤:

  1. 在安全运维控制台中,前往支持请求
  2. 选择一个现有病例或您模拟的病例。
  3. 支持请求概览标签页中,点击手动操作
  4. 在人工处置措施搜索字段中,输入 Create SCC Enterprise
  5. SCCEnterprise 集成下的搜索结果中,选择创建 SCC Enterprise Cloud Posture Ticket Type Jira 操作。对话框窗口随即打开。

  6. 如需配置 API Root 参数,请输入您的 Jira 实例的 API 根目录,例如 https://YOUR_DOMAIN_NAME.atlassian.net

  7. 如需配置用户名参数,请输入您以管理员身份登录 Jira 的用户名。

  8. 如需配置 Password 参数,请输入您以管理员身份登录 Jira 时使用的密码。

  9. 如需配置 API 令牌参数,请输入在 Jira 控制台中生成的 Atlassian 管理员帐号的 API 令牌。

  10. 点击执行。请等待操作完成。

可选:配置自定义 Jira 问题布局

  1. 以管理员身份登录 Jira。
  2. 依次点击项目 > SCC Enterprise 项目 (SCCE)
  3. 对问题字段进行调整和重新排序。如需详细了解如何管理问题字段,请参阅 Jira 文档中的配置问题字段布局

配置 Jira 集成

  1. 在安全运维控制台中,转到响应 > 集成设置
  2. 选择默认环境
  3. 在集成 Search 字段中,输入 JiraJira 集成会作为搜索结果返回。
  4. 点击 配置实例。 对话框窗口随即打开。

  5. 如需配置 API Root 参数,请输入您的 Jira 实例的 API 根目录,例如 https://YOUR_DOMAIN_NAME.atlassian.net

  6. 如需配置用户名参数,请输入用于登录 Jira 的用户名。请勿使用您的管理员凭据。

  7. 如需配置 API 令牌参数,请输入在 Jira 控制台中生成的非管理员 Atlassian 账号的 API 令牌。

  8. 点击保存

  9. 如需测试您的配置,请点击测试

通过 Jira 启用安全状况发现结果 playbook

  1. 在安全运维控制台中,转到响应 > 策略方案
  2. 在 playbook 搜索栏中,输入 Generic
  3. 选择 Posture Findings - Generic(安全状况发现结果 - 通用) playbook。此 playbook 默认处于启用状态。
  4. 将切换开关切换为停用 playbook
  5. 点击保存
  6. 在 playbook 搜索栏中,输入 Jira
  7. 选择 Posture Findings With Jira playbook。此 playbook 默认处于停用状态。
  8. 将切换开关切换为启用 playbook
  9. 点击保存

与 ServiceNow 集成

请务必完成所有集成步骤,以将 Google SecOps 支持请求的更新与 ServiceNow 票据同步,并确保手册流程正确无误。

创建和配置 ServiceNow 自定义工单类型

请务必创建和配置 ServiceNow 自定义工单类型,启用 ServiceNow 界面中的“活动”标签页,并避免使用错误的工单布局。

创建 ServiceNow 自定义工单类型

创建自定义 ServiceNow 工单类型需要 ServiceNow 管理员级凭据。

如需创建自定义门票类型,请完成以下步骤:

  1. 在安全运维控制台中,前往支持请求
  2. 选择一个现有病例或您模拟的病例。
  3. 支持请求概览标签页中,点击手动操作
  4. 在人工处置措施搜索字段中,输入 Create SCC Enterprise
  5. SCCEnterprise 集成下的搜索结果中,选择创建 SCC Enterprise Cloud Posture Ticket Type SNOW 操作。对话框窗口随即打开。

  6. 如需配置 API Root 参数,请输入 ServiceNow 实例的 API 根目录,例如 https://INSTANCE_NAME.service-now.com/api/now/v1/

  7. 如需配置用户名参数,请输入您以管理员身份登录 ServiceNow 的用户名。

  8. 如需配置 Password 参数,请输入您以管理员身份登录 ServiceNow 所使用的密码。

  9. 如需配置 Table Role 参数,请将此字段留空或提供一个值(如果有)。此参数仅接受一个角色值。

    默认情况下,Table Role 字段为空,用于在 ServiceNow 中创建新的自定义角色,专门管理 Security Command Center Enterprise 工单。只有获得此新自定义角色的 ServiceNow 用户才能访问 Security Command Center Enterprise 工单。

    如果您已为在 ServiceNow 中管理突发事件的用户拥有专用角色,并希望使用此角色来管理 Security Command Center Enterprise 发现结果,请在表角色字段中输入现有的 ServiceNow 角色名称。例如,如果您提供现有 incident_handler_role 值,则所有在 ServiceNow 中被授予 incident_handler_role 角色的用户都可以访问 Security Command Center Enterprise 票证。

  10. 点击执行。请等待操作完成。

配置 ServiceNow 自定义工单布局

为了确保 ServiceNow 界面准确显示与案例和案例注释相关的更新,请完成以下步骤:

  1. 在您的 ServiceNow 管理员帐号中,转到全部标签页。
  2. 搜索字段中,输入 SCC Enterprise
  3. 在下拉列表中,选择 SCC Enterprise Cloud Posture Ticket 并运行搜索。
  4. 选择 Posture Test Ticket(展示状态测试工单)。系统随即会打开 ServiceNow 工单布局页面。
  5. 在 ServiceNow 工单布局页面上,依次点击 Additional actions >Configure > Form Layout
  6. 转到表单视图和部分部分。
  7. 部分字段中,选择 u_scc_enterprise_cloud_posture_ticket
  8. 点击保存。页面更新后,工单模板中的字段分为两列。
  9. 转到其他操作 > 配置 > 表单布局
  10. 转到表单视图和部分部分。
  11. 版块字段中,选择摘要
  12. 点击保存。页面更新后,工单模板将采用新的摘要结构。

配置 ServiceNow 集成

  1. 在安全运维控制台中,转到响应 > 集成设置
  2. 选择默认环境
  3. 在集成 Search 字段中,输入 ServiceNowServiceNow 集成作为搜索结果返回。
  4. 点击 配置实例。 对话框窗口随即打开。

  5. 如需配置 API Root 参数,请输入 ServiceNow 实例的 API 根目录,例如 https://INSTANCE_NAME.service-now.com/api/now/v1/

  6. 如需配置用户名参数,请输入用于登录 ServiceNow 的用户名。请勿使用您的管理员凭据。

  7. 如需配置 Password 参数,请输入您用于登录 ServiceNow 的密码。请勿使用您的管理员凭据。

  8. 点击保存

  9. 如需测试您的配置,请点击测试

通过 SNOW 启用安全状况发现结果手册

  1. 在安全运维控制台中,转到响应 > 策略方案
  2. 在 playbook 搜索栏中,输入 Generic
  3. 选择 Posture Findings - Generic(安全状况发现结果 - 通用) playbook。此 playbook 默认处于启用状态。
  4. 将切换开关切换为停用 playbook
  5. 点击保存
  6. 在 playbook 搜索栏中,输入 SNOW
  7. 选择 Posture Findings With SNOW 指南。此 playbook 默认处于停用状态。
  8. 将切换开关切换为启用 playbook
  9. 点击保存

后续步骤