Activer la synchronisation des données de cas

Ce document explique en quoi consiste la synchronisation des données de cas et comment l'activer au niveau Enterprise de Security Command Center.

Les boîtiers, les connecteurs, les playbooks et les fonctionnalités des tâches sont optimisés par Google Security Operations.

Présentation

Une fois la synchronisation des données de cas activée, les demandes et les demandes correspondantes restent à jour. Le processus de synchronisation vous permet de suivre les modifications apportées aux demandes et aux demandes d'assistance, telles que les commentaires et le changement d'état, de priorité et de responsable.

Les tâches de synchronisation sont des processus internes automatiques qui synchronisent les données des demandes dans Security Command Center, ainsi qu'entre Security Command Center et les systèmes de demande d'assistance intégrés. Ces tâches sont désactivées par défaut et exécutées automatiquement une fois que vous les avez activées. Pour en savoir plus sur l'activation des tâches, consultez la section Activer la synchronisation pour les demandes.

Les tâches suivantes sont responsables du processus de synchronisation:

• SCC Enterprise – Synchroniser les données SCC
• Synchroniser les demandes SCC-Jira
• Synchroniser les demandes SCC-ServiceNow

Ces tâches dépendent des informations contenues dans les playbooks afin de synchroniser les demandes et les tickets. Les playbooks par défaut disponibles dans Security Command Center fournissent les valeurs requises dans un tag spécifique et les associent au dossier. Si vous choisissez de créer un playbook personnalisé, assurez-vous qu'il contient une étape de création et d'association d'un tag à la demande.

Fonctionnement des jobs de synchronisation

Le job SCC Enterprise – Synchroniser les données SCC vérifie l'état des résultats dans les demandes. Par défaut, si tous les résultats d'un cas sont inactifs, le job de synchronisation le ferme automatiquement. Si au moins un résultat est actif dans une demande, le système associe un commentaire à la demande et affiche l'état du résultat dans le widget SCC - Findings State.

Les tâches Sync SCC-Jira Tickets (Synchroniser les demandes SCC-Jira) et Sync SCC-ServiceNow Tickets (en anglais) sont bidirectionnelles pour le suivi et la synchronisation des paramètres suivants:

• Pour le flux entre Security Command Center et les systèmes de demande d'assistance: commentaires, priorité de la demande (mappé sur la gravité de la demande dans Jira ou ServiceNow) et état de la demande.

• Pour le flux des systèmes de tickets vers Security Command Center: commentaires, modifications de l'état de la demande, de la personne responsable et de la priorité de la demande

En interne, les tâches synchronisent également les informations sur les derniers états et niveaux de gravité des résultats.

Une fois la demande clôturée, elle passe à l'état Resolved. Une fois la demande résolue dans Jira ou ServiceNow, les tâches de synchronisation déclenchent également la clôture de la demande par Security Command Center.

Comment les playbooks déclenchent la synchronisation des données

Par défaut, Security Command Center n'utilise pas de systèmes de billetterie tels que Jira ou ServiceNow pour créer des demandes d'assistance pour les demandes. Il requiert uniquement que le tag INTERNAL-SCC-TICKET-INFO associé aux demandes synchronise les données de la demande à l'aide de la tâche SCC Enterprise - Sync SCC Data.

Si vous intégrez un système de billetterie, le playbook associe la balise EXTERNAL-SCC-TICKET-INFO requise à une demande uniquement après qu'il a créé une demande dans votre système. Pour synchroniser correctement les données des demandes avec les systèmes de gestion des demandes, en plus du connecteur SCC Enterprise - Urgent Posture Findings Connector et de la tâche SCC Enterprise - Sync SCC Data, activez la tâche Sync SCC-Jira Tickets ou Sync SCC-ServiceNow Tickets. Pour en savoir plus sur l'activation d'un connecteur et les tâches de synchronisation, consultez la section suivante.

Activer la synchronisation pour les cas

Par défaut, la synchronisation des données du cas est désactivée.

Avant de commencer

Vous pouvez synchroniser les données de la demande après avoir activé le niveau Security Command Center Enterprise.

Pour activer la synchronisation des cas, vous devez disposer de l'un des rôles SOC suivants dans la console Opérations de sécurité:

• Administrateur
• Gestionnaire de failles
• Gestionnaire de menaces

Pour en savoir plus sur les rôles SOC dans la console Opérations de sécurité et sur les autorisations requises pour les utilisateurs, consultez la section Contrôler l'accès aux fonctionnalités dans la console Opérations de sécurité.

Activer la synchronisation pour la configuration par défaut

Pour activer la synchronisation, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Paramètres > Paramètres SOAR > Ingestion > Connecteurs.

2. Sélectionnez SCC Enterprise - Connecteur de résultats de stratégie urgente.

3. Appuyez sur le bouton pour activer le connecteur.

4. Cliquez sur Enregistrer.

5. Dans la console Opérations de sécurité, accédez à Réponse > Job Scheduler.

6. Sélectionnez la tâche SCC Enterprise – Synchroniser les données SCC.

7. Activez le job à l'aide du bouton.

8. Cliquez sur Enregistrer pour terminer la configuration d'un flux par défaut (sans système de billetterie).

Si vous utilisez un système de billetterie tel que Jira ou ServiceNow, passez à la section suivante.

Activer la synchronisation pour les systèmes de gestion des demandes d'assistance

Après avoir intégré les systèmes de demande d'assistance, activez la synchronisation entre Security Command Center Enterprise et votre système de gestion des demandes en procédant comme suit:

1. Dans la console Opérations de sécurité, accédez à Réponse > Job Scheduler.

2. Sélectionnez le job de synchronisation approprié:

   • Si vous avez intégré Jira, sélectionnez la tâche Sync SCC-Jira Tickets (Synchroniser SCC-Jira Tickets).

   • Si vous avez intégré ServiceNow, sélectionnez la tâche Sync SCC-ServiceNow Tickets (Synchroniser SCC-ServiceNow Tickets).

3. Activez le job sélectionné à l'aide du bouton.

4. Cliquez sur Enregistrer.

Dépannage

Cette section répertorie les étapes de dépannage qui peuvent être utiles si vous rencontrez les problèmes de synchronisation suivants dans Security Command Center.

Le nombre de cas diffère entre la console Security Operations et la console Google Cloud

Vous pouvez constater une incohérence entre le nombre de cas de stratégie que vous voyez dans la console Opérations de sécurité et dans la console Google Cloud. Ce problème peut survenir lorsque le processus de synchronisation n'est pas encore terminé en raison de l'ingestion d'un grand nombre de cas créés pour la première exécution de la synchronisation. Attendez la fin de l'exécution de la synchronisation initiale, puis vérifiez à nouveau les chiffres.

Les commentaires sur la demande ne sont pas synchronisés avec les demandes d'assistance

Si vous utilisez un système de billetterie, il se peut que les commentaires de cas ne soient pas synchronisés ou que les modifications liées aux demandes ne soient pas suivies et reflétées dans les commentaires. Ce problème peut se produire lorsque toutes les tâches de synchronisation ne sont pas actives. En plus de la tâche SCC Enterprise - Sync SCC Data, veillez à activer la tâche Sync SCC-Jira Tickets ou Sync SCC-ServiceNow Tickets. Pour en savoir plus sur l'activation des tâches, consultez la section Activer la synchronisation pour les cas.

Les horodatages de cas affichent la date arbitraire de l'époque Unix

Dans la console Google Cloud, le résumé d'un résultat peut afficher les valeurs des paramètres Date et heure de mise à jour du système externe, Contrat de niveau de service de la demande et Heure de mise à jour sous la forme January 1, 1970 at 00:00:00 GMT+0000. Ce problème peut se produire pour les raisons suivantes:

• L'une des tâches de synchronisation a renvoyé une erreur.

  Une tâche peut renvoyer une erreur lorsque les informations utilisées ne sont pas valides ou en cas d'erreur de configuration. Cette erreur peut se produire, par exemple, lorsque la tâche n'a pas pu mettre à jour la valeur EXTERNAL-SCC-TICKET-INFO que vous avez configurée ou que vous avez ajouté la balise EXTERNAL-SCC-TICKET-INFO à une demande qui ne fait pas encore l'objet d'une demande d'assistance. Pour obtenir des informations sur une erreur, procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à Réponse > Job Scheduler.

  2. Sélectionnez un job de synchronisation.

  3. Dans la section Historique, vérifiez les journaux présentant l'état de la tâche Échec.

• Vous utilisez un playbook personnalisé qui ne synchronise pas les cas.

  Assurez-vous que votre playbook personnalisé contient le bloc POSTURE - JIRA - CREATE TICKET ou POSTURE - SNOW - CREATE TICKET avec les paramètres requis configurés pour que la synchronisation fonctionne.

Les données des cas de menace ne sont pas synchronisées avec les systèmes de suivi des menaces

Seuls les cas et les tickets liés aux failles, aux erreurs de configuration et aux violations de stratégie sont automatiquement synchronisés. Les cas de menaces ne sont pas automatiquement synchronisés.

Par défaut, Security Command Center ne crée pas de tickets pour les menaces. C'est pourquoi, même lorsque vous personnalisez les playbooks de réponse aux menaces pour créer des tickets, la synchronisation peut ne pas fonctionner comme prévu.

Étapes suivantes

• En savoir plus sur les demandes
• Découvrez comment attribuer des demandes d'assistance en fonction des cas de stratégie.