ケースデータの同期を有効にする

このドキュメントでは、ケースデータの同期とは何か、Security Command Center の Enterprise ティアでデータ同期を有効にする方法について説明します。

ケース、コネクタ、ハンドブック、ジョブの機能は、Google Security Operations を利用しています。

概要

ケースデータの同期を有効にすると、ケースとそれに対応するチケットが最新の状態に保たれます。同期プロセスを使用すると、コメントや、ステータス、優先度、割り当て先の変更など、ケースやチケットに加えられた更新を追跡できます。

同期ジョブは、Security Command Center 内と Security Command Center と統合チケット発行システムの間でケースデータを同期する内部の自動プロセスです。これらのジョブはデフォルトで無効になっており、有効にすると自動的に実行されます。ジョブの有効化の詳細については、ケースの同期を有効にするをご覧ください。

同期プロセスは次のジョブによって行われます。

• SCC Enterprise - SCC データの同期
• Sync SCC-Jira Tickets
• Sync SCC-ServiceNow Tickets

これらのジョブは、ケースとチケットの同期を維持するために、ハンドブックの情報に依存します。Security Command Center で利用可能なデフォルトのハンドブックでは、特定のタグ内に必要な値を指定し、ケースにアタッチします。カスタム ハンドブックを作成する場合は、タグを作成してケースに添付する手順が含まれていることを確認してください。

同期ジョブの仕組み

[SCC Enterprise - Sync SCC Data] ジョブでは、ケースの検出結果の状態をチェックします。デフォルトでは、ケース内のすべての検出結果が非アクティブの場合、同期ジョブは自動的にケースを閉じます。ケースの検出結果が 1 つ以上アクティブな場合、ケースにコメントが添付され、SCC - 検出結果の状態ケース ウィジェットに検出結果の状態が表示されます。

Sync SCC-Jira Tickets と Sync SCC-ServiceNow Tickets ジョブは、双方向で次のパラメータを追跡および同期します。

• Security Command Center からチケット発行システムへのフロー: コメント、ケースの優先度（Jira または ServiceNow のチケットの重大度にマッピング）、ケースのステータス。

• チケット発行システムから Security Command Center へのフロー: コメント、チケットのステータス、割り当て先、チケットの優先度に対する変更。

内部的には、ジョブは最新の検出結果のステータスと重大度に関する情報も同期します。

ケースがクローズされると、チケットは Resolved ステータスでクローズされます。Jira または ServiceNow でチケットが解決されると、同期ジョブによって Security Command Center もトリガーされ、ケースもクローズされます。

ハンドブックがデータ同期をトリガーする方法

デフォルトでは、Security Command Center は Jira や ServiceNow などのチケット発行システムを使用してケースのチケットを作成しません。SCC Enterprise - Sync SCC Data ジョブ以下を使用してケースデータを同期するために、ケースに付加された INTERNAL-SCC-TICKET-INFO タグを必要とします。

チケット発行システムと統合する場合、ハンドブックは、チケット発行システムでチケットが正常に作成された場合にのみ、必要な EXTERNAL-SCC-TICKET-INFO タグをケースに適用します。ケースデータをチケット発行システムと正しく同期するには、SCC Enterprise - 緊急体制検出コネクタコネクタとSCC Enterprise - SCC データの同期ジョブに加えて、 SCC-Jira チケットを同期するまたは SCC-ServiceNow チケットを同期する　を有効にします。コネクタと同期ジョブを有効にする方法について詳しくは、次のセクションをご覧ください。

ケースの同期を有効にする

デフォルトでは、ケースデータの同期は無効になっています。

始める前に

ケースデータは、Security Command Center Enterprise ティアを有効にした後に同期できます。

ケースの同期を有効にするには、セキュリティ運用コンソールで次のいずれかの SOC ロールが付与されている必要があります。

• 管理者
• 脆弱性マネージャー
• 脅威マネージャー

セキュリティ運用コンソールの SOC のロールとユーザーに必要な権限の詳細については、セキュリティ運用コンソールで機能へのアクセスを制御するをご覧ください。

デフォルト構成の同期を有効にする

同期を有効にするには、次の操作を行います。

1. セキュリティ運用コンソールで、[設定] > [SOAR 設定] > [取り込み] > [コネクタ] に移動します。

2. [SCC Enterprise - Urgent Posture Findings Connector] を選択します。

3. スイッチを切り替えて、ハンドブックを有効にします。

4. [保存] をクリックします。

5. セキュリティ運用コンソールで、[レスポンス] > [ジョブ スケジューラ] に移動します。

6. [SCC Enterprise - Sync SCC Data] ジョブを選択します。

7. スイッチを切り替えて、ハンドブックを有効にします。

8. [保存] をクリックして、デフォルト フロー（チケット発行システムなし）の構成を完了します。

Jira や ServiceNow などのチケット発行システムを使用する場合は、次のセクションに進みます。

チケット発行システムの同期を有効にする

チケット発行システムと統合したら、次の手順を実行して、Security Command Center Enterprise とチケット発行システムの間の同期を有効にします。

1. セキュリティ運用コンソールで、[レスポンス] > [ジョブ スケジューラ] に移動します。

2. 正しい同期ジョブを選択します。

   • Jira と統合した場合は、[Sync SCC-Jira Tickets] ジョブを選択します。

   • ServiceNow と統合した場合は、[Sync SCC-ServiceNow Tickets] ジョブを選択します。

3. スイッチを切り替えて、選択したジョブを有効にします。

4. [保存] をクリックします。

トラブルシューティング

このセクションでは、Security Command Center で次の同期の問題が発生した場合に役立つトラブルシューティング手順を示します。

セキュリティ運用コンソールと Google Cloud コンソールでケースの数が異なる

セキュリティ運用コンソールと Google Cloud コンソールで表示されるポスチャー ケースの数に不一致が生じることがあります。この問題は、最初の同期実行で作成されたケースを大量に取り込んでいるために、同期プロセスがまだ完了していない場合に発生することがあります。最初の同期が完了するまで待ってから、数を再度確認します。

ケースのコメントがチケットと同期されない

チケット発行システムを使用している場合、ケースのコメントが同期されない、またはチケットに関連する変更が追跡およびケースのコメントに反映されない状況が発生することがあります。この問題は、一部の同期ジョブがアクティブでない場合に発生することがあります。[SCC Enterprise - Sync SCC Data] ジョブの他に、[Sync SCC-Jira Tickets] または [Sync SCC-ServiceNow Tickets{] を必ず有効にしてください。ジョブを有効にする方法の詳細については、ケースの同期を有効にするをご覧ください。

ケースのタイムスタンプには、Unix エポックの任意の日付が表示されます。

Google Cloud コンソールでは、検出結果の概要に、外部システム更新時間、ケースの SLA、更新日時の各パラメータ値が January 1, 1970 at 00:00:00 GMT+0000 として表示されます。この問題が発生する理由として、以下のことが考えられます。

• 同期ジョブの 1 つでエラーが返された。

  ジョブで使用される情報が無効な場合や、構成ミスがある場合、ジョブがエラーを返すことがあります。このエラーは、構成した EXTERNAL-SCC-TICKET-INFO 値をジョブが更新できなかった場合や、チケットがまだないケースに EXTERNAL-SCC-TICKET-INFO タグを追加した場合などに発生する可能性があります。エラーの詳細を取得するには、次の手順を行います。

  1. セキュリティ運用コンソールで、[レスポンス] > [ジョブ スケジューラ] に移動します。

  2. 同期ジョブを選択します。

  3. [履歴] セクションで、ジョブ ステータスが [失敗] のログを確認します。

• ケースを同期しないカスタム ハンドブックを使用しています。

  カスタム ハンドブックに、POSTURE - JIRA - CREATE TICKET または POSTURE - SNOW - CREATE TICKET ブロックがあり、作業を同期するための必須パラメータが構成されていることを確認します。

脅威ケースのデータがチケット発行システムと同期されない

脆弱性、構成ミス、ポスチャー違反のケースとチケットのみが自動的に同期されます。脅威のケースは自動的に同期されません。

デフォルトでは、Security Command Center で脅威のチケットは作成されません。そのため、脅威への対応のハンドブックをカスタマイズしてチケットを作成しても、同期が想定どおりに機能しない場合があります。

次のステップ

• 詳しくは、ケースについての説明をご確認ください。
• ポスチャー ケースに基づいてチケットを割り当てる方法を学習する。