ケースデータの同期を有効にする

このドキュメントでは、データの同期の概要と、Security Command Center の Enterprise ティアでデータ同期を有効にする方法について説明します。

ケース、コネクタ、ハンドブック、ジョブの機能は、Google Security Operations を利用しています。

概要

ケースデータの同期を有効にすると、ケースとそれに対応するチケットが最新の状態に保たれます。同期プロセスを使用すると、コメントや、ステータス、優先度、割り当て先の変更など、ケースやチケットに加えられた更新を追跡できます。

同期ジョブは、Security Command Center 内と Security Command Center と統合チケット発行システムの間でケースデータを同期する内部の自動プロセスです。これらのジョブはデフォルトで無効になっており、有効にすると自動的に実行されます。ジョブの有効化の詳細については、ケースの同期を有効にするをご覧ください。

同期プロセスを行うジョブは次のとおりです。

  • SCC Enterprise - SCC データの同期
  • SCC-Jira チケットを同期する
  • SCC-ServiceNow チケットを同期する

これらのジョブは、ケースとチケットの同期を維持するために、ハンドブックの情報に依存します。Security Command Center で利用可能なデフォルトのハンドブックでは、特定のタグ内に必要な値を指定し、ケースにアタッチします。カスタム ハンドブックを作成する場合は、ハンドブックに、タグを作成してケースに付けるステップが含まれていることを確認してください。

同期ジョブの仕組み

[SCC Enterprise - Sync SCC Data] ジョブでは、検出結果の状態を確認します。デフォルトでは、ケース内のすべての検出結果が非アクティブの場合、同期ジョブは自動的にケースを閉じます。ケース内の少なくとも 1 つの検出結果がアクティブな場合、システムはケースにコメントを添付し、[SCC - 検出結果の状態] ケース ウィジェットに検出結果の状態を表示します。

Sync SCC-Jira TicketsSync SCC-ServiceNow Tickets ジョブは、次のパラメータを追跡して同期するために双方向です。

  • Security Command Center からチケット発行システムへのフロー: コメント、ケースの優先度(Jira または ServiceNow のチケットの重大度にマッピング)、ケースのステータス。

  • チケット発行システムから Security Command Center へのフロー: コメント、チケットのステータス、割り当て先、チケットの優先度の変更。

内部的には、これらのジョブは最新の検出結果のステータスと重大度に関する情報も同期します。

ケースがクローズされると、チケットは Resolved ステータスでクローズされます。Jira または ServiceNow でチケットが解決されると、同期ジョブによって Security Command Center がトリガーされてケースもクローズされます。

ハンドブックがデータ同期をトリガーする方法

デフォルトでは、Security Command Center は Jira や ServiceNow などのチケット発行システムを使用してケースのチケットを作成しません。SCC Enterprise - Sync SCC Data ジョブ以下を使用してケースデータを同期するために、ケースに付加された INTERNAL-SCC-TICKET-INFO タグを必要とします。

チケット発行システムと統合する場合、ハンドブックは、チケット発行システムでチケットを正常に作成した後にのみ、ハンドブックによって必要な EXTERNAL-SCC-TICKET-INFO タグをケースに添付します。ケースデータをチケット発行システムと正しく同期するには、SCC Enterprise - 緊急体制検出コネクタコネクタとSCC Enterprise - SCC データの同期ジョブに加えて、 SCC-Jira チケットを同期するまたは SCC-ServiceNow チケットを同期する を有効にします。コネクタと同期ジョブを有効にする方法について詳しくは、次のセクションをご覧ください。

ケースの同期を有効にする

デフォルトでは、ケースデータの同期は無効になっています。

始める前に

ケースデータは、Security Command Center Enterprise ティアを有効にした後に同期できます。

ケースの同期を有効にするには、セキュリティ オペレーション コンソールで次のいずれかの SOC ロールが付与されている必要があります。

  • 管理者
  • 脆弱性マネージャー
  • 脅威マネージャー

セキュリティ オペレーション コンソールの SOC のロールとユーザーに必要な権限の詳細については、セキュリティ オペレーション コンソールの機能へのアクセスを制御するをご覧ください。

デフォルト構成の同期を有効にする

同期を有効にするには、次の手順を行います。

  1. セキュリティ運用コンソールで、[設定] > [取り込み] > [コネクタ] に移動します。

  2. [SCC Enterprise - 緊急体制検出コネクタ] を選択します。

  3. スイッチを切り替えて、ハンドブックを有効にします。

  4. [保存] をクリックします。

  5. セキュリティ オペレーション コンソールで、[レスポンス] > [ジョブ スケジューラ] に移動します。

  6. [SCC Enterprise - Sync SCC Data] ジョブを選択します。

  7. スイッチを切り替えて、ハンドブックを有効にします。

  8. [Save] をクリックして、デフォルト フロー(チケット発行システムなし)の構成を完了します。

Jira や ServiceNow などのチケット発行システムを使用する場合は、次のセクションに進みます。

チケット発行システムの同期を有効にする

チケット発行システムと統合したら、次の手順を実行して、Security Command Center Enterprise とチケット発行システムの間の同期を有効にします。

  1. セキュリティ オペレーション コンソールで、[レスポンス] > [ジョブ スケジューラ] に移動します。

  2. 正しい同期ジョブを選択します。

    • Jira と統合した場合は、[Sync SCC-Jira Tickets] ジョブを選択します。

    • ServiceNow と統合した場合は、[Sync SCC-ServiceNow Tickets] ジョブを選択します。

  3. 切り替えを切り替えて、選択したジョブを有効にします。

  4. [保存] をクリックします。

トラブルシューティング

このセクションでは、Security Command Center で次の同期の問題が発生した場合に役立つトラブルシューティング手順を示します。

セキュリティ オペレーション コンソールと Google Cloud コンソールでケースの数が異なる

セキュリティ オペレーション コンソールと Google Cloud コンソールに表示される体制ケースの数が一致しない場合があります。この問題は、最初の同期実行のために作成された多数のケースが取り込まれるため、同期プロセスがまだ完了していない場合に発生することがあります。最初の同期が完了するまで待ってから、番号を再度確認します。

ケースのコメントがチケットと同期されない

チケット発行システムを使用している場合、ケースのコメントが同期されない、またはチケットに関連する変更が追跡およびケースのコメントに反映されない状況が発生することがあります。この問題は、一部の同期ジョブがアクティブでない場合に発生することがあります。[SCC Enterprise - Sync SCC Data] ジョブの他に、[Sync SCC-Jira Tickets] または [Sync SCC-ServiceNow Tickets{] を必ず有効にしてください。ジョブを有効にする方法の詳細については、ケースの同期を有効にするをご覧ください。

ケースのタイムスタンプには、Unix エポックの任意の日付が表示されます。

Google Cloud コンソールでは、検出結果の概要に、外部システム更新時間ケースの SLA更新日時の各パラメータ値が January 1, 1970 at 00:00:00 GMT+0000 として表示されます。この問題が発生する理由として、以下のことが考えられます。

  • 同期ジョブの 1 つがエラーを返しました。

    ジョブで使用される情報が無効な場合や、構成ミスがある場合、ジョブがエラーを返すことがあります。このエラーは、たとえば、ジョブがEXTERNAL-SCC-TICKET-INFO構成した値またはEXTERNAL-SCC-TICKET-INFOまだチケットがないケースにタグを付けます。エラーの詳細を取得するには、次の手順を行います。

    1. セキュリティ オペレーション コンソールで、[レスポンス] > [ジョブ スケジューラ] に移動します。

    2. 同期ジョブを選択します。

    3. [履歴] セクションで、ジョブ ステータスが [失敗] のログを確認します。

  • ケースを同期しないカスタム ハンドブックを使用しています。

    カスタム ハンドブックに、POSTURE - JIRA - CREATE TICKET または POSTURE - SNOW - CREATE TICKET ブロックがあり、作業を同期するための必須パラメータが構成されていることを確認します。

脅威ケースのデータがチケット発行システムと同期されていない

脆弱性、構成ミス、体制違反のケースとチケットのみが自動的に同期されます。脅威のケースは自動的に同期されません。

デフォルトでは、Security Command Center は脅威のチケットを作成しません。そのため、脅威対応ハンドブックをカスタマイズしてチケットを作成しても、同期が想定どおりに機能しない可能性があります。

次のステップ