이 문서에서는 케이스 데이터 동기화의 정의와 Security Command Center의 엔터프라이즈 등급에서 이를 사용 설정하는 방법을 설명합니다.
케이스, 커넥터, 플레이북, 작업 기능은 Google Security Operations에서 제공합니다.
개요
케이스 데이터 동기화를 사용 설정하면 케이스와 해당 티켓이 최신 상태로 유지됩니다. 동기화 프로세스를 통해 댓글과 상태, 우선순위, 담당자 변경과 같은 케이스 및 티켓의 업데이트를 추적할 수 있습니다.
동기화 작업은 Security Command Center 내에서 그리고 Security Command Center와 통합 티켓팅 시스템 간에 케이스 데이터를 동기화하는 내부 자동 프로세스입니다. 이러한 작업은 기본적으로 사용 중지되어 있으며 사용 설정 후 자동으로 실행됩니다. 작업 사용 설정에 대한 자세한 내용은 케이스 동기화 사용 설정을 참조하세요.
동기화 프로세스를 담당하는 작업은 다음과 같습니다.
- SCC Enterprise - SCC 데이터 동기화
- SCC-Jira 티켓 동기화
- SCC-ServiceNow 티켓 동기화
이러한 작업은 케이스와 티켓을 서로 동기화된 상태로 유지하기 위해 플레이북의 정보를 사용합니다. Security Command Center에서 사용 가능한 기본 플레이북은 특정 태그의 필수 값을 제공하고 이를 케이스에 연결합니다. 커스텀 플레이북을 만들도록 선택한 경우 태그를 만들고 케이스에 연결하는 단계가 포함되어 있는지 확인합니다.
동기화 작업의 작동 방식
SCC Enterprise - SCC 데이터 동기화 작업은 케이스의 발견 항목 상태를 확인합니다. 기본적으로 케이스의 모든 발견 항목이 비활성 상태이면 동기화 작업이 케이스를 자동으로 닫습니다. 케이스에서 하나 이상의 발견 항목이 활성 상태이면 시스템이 케이스에 댓글을 연결하고 SCC - 발견 항목 상태 케이스 위젯에 발견 항목 상태를 표시합니다.
SCC-Jira 티켓 동기화 및 SCC-ServiceNow 티켓 동기화 작업은 양방향으로 다음 매개변수를 추적하고 동기화합니다.
Security Command Center에서 티켓팅 시스템까지의 흐름: 댓글, 케이스 우선순위(Jira 또는 ServiceNow의 티켓 심각도에 매핑됨), 케이스 상태
티켓팅 시스템에서 Security Command Center까지의 흐름: 댓글, 티켓 상태 변경사항, 담당자, 티켓 우선순위
동기화 작업은 내부적으로 최신 발견 항목 상태 및 심각도에 대한 정보도 동기화합니다.
케이스가 종료되면 티켓이 Resolved
상태로 종료됩니다. Jira 또는 ServiceNow에서 티켓이 해결된 경우에도 동기화 작업이 Security Command Center를 트리거하여 케이스를 종료합니다.
플레이북이 데이터 동기화를 트리거하는 방법
기본적으로 Security Command Center는 케이스 티켓을 생성하는 데 Jira 또는 ServiceNow와 같은 티켓팅 시스템을 사용하지 않으며, SCC Enterprise - SCC 데이터 동기화 작업을 사용하여 케이스 데이터를 동기화할 때 케이스에 연결된 INTERNAL-SCC-TICKET-INFO
태그만 있으면 됩니다.
티켓팅 시스템과 통합한 경우 플레이북이 티켓팅 시스템에서 티켓을 성공적으로 생성한 후에만 필요한 EXTERNAL-SCC-TICKET-INFO
태그를 케이스에 연결합니다. 케이스 데이터를 티켓팅 시스템과 올바르게 동기화하려면 SCC Enterprise - 긴급 상황 발견 항목 커넥터 및 SCC Enterprise - SCC 데이터 동기화 외에 SCC-Jira 티켓 동기화 또는 SCC-ServiceNow 티켓 동기화 작업도 사용 설정합니다. 커넥터 및 동기화 작업을 사용 설정하는 방법에 대한 자세한 내용은 다음 섹션을 참조하세요.
케이스 동기화 사용 설정
기본적으로 케이스 데이터 동기화는 사용 중지되어 있습니다.
시작하기 전에
Security Command Center 엔터프라이즈 등급을 활성화한 후 케이스 데이터를 동기화할 수 있습니다.
케이스 동기화를 사용 설정하려면 보안 운영 콘솔에서 다음 SOC 역할을 부여받아야 합니다.
- 관리자
- 취약점 관리자
- 위협 관리자
보안 운영 콘솔의 SOC 역할 및 사용자에게 필요한 권한에 대한 자세한 내용은 보안 운영 콘솔의 기능에 대한 액세스 제어를 참조하세요.
기본 구성 동기화 사용 설정
동기화를 사용 설정하려면 다음 단계를 완료하세요.
보안 운영 콘솔에서 설정 > SOAR 설정 > 수집 > 커넥터로 이동합니다.
SCC 엔터프라이즈 - 긴급 상황 발견 항목 커넥터를 선택합니다.
전환 버튼을 전환하여 커넥터를 사용 설정합니다.
저장을 클릭합니다.
보안 운영 콘솔에서 응답 > 작업 스케줄러로 이동합니다.
SCC Enterprise - SCC 데이터 동기화 작업을 선택합니다.
전환 버튼을 전환하여 작업을 사용 설정합니다.
저장을 클릭하여 기본 흐름 구성(티켓팅 시스템 없음)을 완료합니다.
Jira 또는 ServiceNow와 같은 티켓팅 시스템을 사용하는 경우 다음 섹션을 진행하세요.
티켓팅 시스템 동기화 사용 설정
티켓팅 시스템과 통합한 후 다음 단계를 완료하여 Security Command Center Enterprise와 티켓팅 시스템 간에 동기화를 사용 설정합니다.
보안 운영 콘솔에서 응답 > 작업 스케줄러로 이동합니다.
올바른 동기화 작업을 선택합니다.
Jira와 통합한 경우 SCC-Jira 티켓 동기화 작업을 선택합니다.
ServiceNow와 통합한 경우 SCC-ServiceNow 티켓 동기화 작업을 선택합니다.
전환 버튼을 전환하여 선택한 작업을 사용 설정합니다.
저장을 클릭합니다.
문제 해결
이 섹션에는 Security Command Center에서 다음과 같은 동기화 문제가 발생할 경우 도움이 될 수 있는 문제 해결 단계가 나와 있습니다.
보안 운영 콘솔과 Google Cloud 콘솔의 케이스 수가 다름
보안 운영 콘솔과 Google Cloud 콘솔에 표시되는 상태 케이스 수가 일치하지 않을 수 있습니다. 이 문제는 첫 번째 동기화 실행 시 생성된 많은 수의 케이스를 수집하느라 동기화 프로세스가 아직 완료되지 않았을 때 발생할 수 있습니다. 초기 동기화 실행이 완료될 때까지 기다린 후 개수를 다시 확인하세요.
케이스 댓글이 티켓과 동기화되지 않음
티켓팅 시스템을 사용하는 경우 케이스 댓글이 동기화되지 않거나 티켓 관련 변경사항이 추적되지 않고 케이스 댓글에 반영되지 않는 경우가 발생할 수 있습니다. 이 문제는 일부 동기화 작업이 활성 상태가 아닌 경우에 발생할 수 있습니다. SCC Enterprise - SCC 데이터 동기화 작업 외에도 SCC-Jira 티켓 동기화 또는 SCC-ServiceNow 티켓 동기화 작업을 사용 설정해야 합니다. 작업을 사용 설정하는 방법에 대한 자세한 내용은 케이스 동기화 사용 설정을 참조하세요.
케이스 타임스탬프에 유닉스 시간의 임의 날짜가 표시됨
Google Cloud 콘솔에서 발견 항목 요약에 외부 시스템 업데이트 시간, 케이스 SLA, 업데이트 시간 매개변수 값이 January 1, 1970 at 00:00:00 GMT+0000
으로 표시될 수 있습니다. 이 문제는 다음과 같은 경우에 발생할 수 있습니다.
동기화 작업 중 하나에서 오류를 반환한 경우.
작업에서 사용하는 정보가 잘못되었거나 구성이 잘못된 경우 작업에서 오류를 반환할 수 있습니다. 예를 들어 이 오류는 사용자가 구성한
EXTERNAL-SCC-TICKET-INFO
값을 작업이 업데이트할 수 없거나 아직 티켓이 없는 케이스에 사용자가EXTERNAL-SCC-TICKET-INFO
태그를 추가한 경우에 발생할 수 있습니다. 오류에 대한 세부정보를 확인하려면 다음 단계를 완료하세요.보안 운영 콘솔에서 응답 > 작업 스케줄러로 이동합니다.
동기화 작업을 선택합니다.
기록 섹션에서 작업 상태가 실패인 로그를 확인합니다.
케이스를 동기화하지 않는 커스텀 플레이북을 사용합니다.
커스텀 플레이북에 동기화가 작동하는 데 필요한 매개변수가 구성되어 있는 POSTURE - JIRA - CREATE TICKET 또는 POSTURE - SNOW - CREATE TICKET 블록이 포함되어 있는지 확인합니다.
위협 케이스 데이터가 티켓팅 시스템과 동기화되지 않음
취약점, 잘못된 구성, 상황 위반에 대한 케이스 및 티켓만 자동으로 동기화됩니다. 위협 케이스는 자동으로 동기화되지 않습니다.
기본적으로 Security Command Center는 위협에 대한 티켓을 만들지 않습니다. 따라서 위협 응답 플레이북을 맞춤설정하여 티켓을 생성하더라도 동기화가 예상대로 작동하지 않을 수 있습니다.
다음 단계
- 케이스 자세히 알아보기
- 상황 케이스를 기준으로 티켓을 할당하는 방법 알아보기