Attiva la sincronizzazione dei dati delle richieste

Questo documento spiega cosa è la sincronizzazione dei dati dei casi e come abilitarla nel livello Enterprise di Security Command Center.

Le funzionalità di richieste, connettori, playbook e job si basano su Google Security Operations.

Panoramica

Dopo aver attivato la sincronizzazione dei dati delle richieste, questa mantiene aggiornati le richieste e i ticket corrispondenti. Il processo di sincronizzazione consente di tenere traccia degli aggiornamenti apportati a richieste e richieste di assistenza, ad esempio commenti e modifiche dello stato, della priorità e dell'assegnatario.

I job di sincronizzazione sono processi automatici interni che sincronizzano i dati delle richieste all'interno di Security Command Center e tra Security Command Center e i sistemi di ticketing integrati. Questi job sono disabilitati per impostazione predefinita e vengono eseguiti automaticamente dopo l'abilitazione. Per ulteriori dettagli sull'abilitazione dei job, consulta Abilitare la sincronizzazione per le richieste.

I seguenti job sono responsabili del processo di sincronizzazione:

• SCC Enterprise - Sincronizza dati SCC
• Sincronizza i ticket SCC-Jira
• Sincronizza i ticket SCC-ServiceNow

Questi job dipendono dalle informazioni nei playbook per mantenere sincronizzati richieste e richieste di assistenza. I playbook predefiniti disponibili in Security Command Center forniscono i valori richiesti in un tag specifico e li associano alla richiesta. Se scegli di creare un playbook personalizzato, assicurati che contenga un passaggio per la creazione e il collegamento di un tag alla richiesta.

Come funzionano i job di sincronizzazione

Il job SCC Enterprise - Sincronizzazione dati SCC verifica lo stato dei risultati nei casi. Per impostazione predefinita, se tutti i risultati in una richiesta sono inattivi, il job di sincronizzazione chiude la richiesta automaticamente. Se almeno un risultato in una richiesta è attivo, il sistema allega un commento alla richiesta e mostra lo stato del risultato nel widget delle richieste SCC - Stato dei risultati.

I job Sync SCC-Jira Tickets e Sync SCC-ServiceNow Tickets sono bidirezionali per monitorare e sincronizzare i seguenti parametri:

• Per il flusso da Security Command Center ai sistemi di gestione dei ticket: commenti, priorità delle richieste (mappata alla gravità del ticket in Jira o ServiceNow) e stato della richiesta.

• Per il flusso dei sistemi di gestione dei ticket nel flusso di Security Command Center: commenti, modifiche allo stato del ticket, assegnatario e priorità del ticket.

Internamente, i job sincronizzano anche le informazioni sugli stati e sulle gravità dei risultati più recenti.

Quando la richiesta viene chiusa, viene chiusa con lo stato Resolved. Una volta risolto il ticket in Jira o ServiceNow, i job di sincronizzazione attivano Security Command Center per chiudere anche la richiesta.

In che modo i playbook attivano la sincronizzazione dei dati

Per impostazione predefinita, Security Command Center non utilizza sistemi di gestione delle richieste come Jira o ServiceNow per creare ticket per le richieste e richiede solo che il tag INTERNAL-SCC-TICKET-INFO associato alle richieste sincronizzi i dati delle richieste utilizzando il job SCC Enterprise - Sync SCC Data.

Se esegui l'integrazione con un sistema di gestione delle richieste, il playbook allega il tag EXTERNAL-SCC-TICKET-INFO richiesto a una richiesta solo dopo che il playbook ha creato correttamente un ticket nel tuo sistema di gestione delle richieste. Per sincronizzare correttamente i dati della richiesta con i sistemi di gestione dei ticket, oltre al connettore SCC Enterprise - Urgent Posture Findings Connector e al job SCC Enterprise - Sync SCC Data, attiva il job Sync SCC-Jira Tickets o il job Sync SCC-ServiceNow Tickets. Per maggiori dettagli su come abilitare un connettore e i job di sincronizzazione, consulta la sezione seguente.

Abilita la sincronizzazione per le richieste

Per impostazione predefinita, la sincronizzazione dei dati della richiesta è disattivata.

Prima di iniziare

Puoi sincronizzare i dati della richiesta dopo aver attivato il livello Enterprise di Security Command Center.

Per abilitare la sincronizzazione delle richieste, devi disporre di uno dei seguenti ruoli SOC nella console operativa di sicurezza:

• Amministratore
• Gestore delle vulnerabilità
• Responsabile delle minacce

Per ulteriori dettagli sui ruoli SOC nella console operativa di sicurezza e sulle autorizzazioni necessarie per gli utenti, consulta Controllare l'accesso alle funzionalità nella console operativa di sicurezza.

Attiva la sincronizzazione per la configurazione predefinita

Per attivare la sincronizzazione, procedi nel seguente modo:

1. Nella console operativa di sicurezza, vai a Impostazioni > Impostazioni SOAR > Importazione > Connettori.

2. Seleziona SCC Enterprise - Connettore Urgent Posture Findings.

3. Utilizza il pulsante di attivazione/disattivazione per abilitare il connettore.

4. Fai clic su Salva.

5. Nella console operativa di sicurezza, vai a Risposta > Pianificazione dei job.

6. Seleziona il job SCC Enterprise - Sincronizza dati SCC.

7. Utilizza il pulsante di attivazione/disattivazione per abilitare il job.

8. Fai clic su Salva per completare la configurazione per un flusso predefinito (senza sistema di ticket).

Se utilizzi un sistema di vendita di biglietti come Jira o ServiceNow, vai alla sezione seguente.

Attivare la sincronizzazione per i sistemi di gestione dei ticket

Dopo aver eseguito l'integrazione con i sistemi di gestione delle richieste, abilita la sincronizzazione tra Security Command Center Enterprise e il tuo sistema di gestione delle richieste seguendo questi passaggi:

1. Nella console operativa di sicurezza, vai a Risposta > Pianificazione dei job.

2. Scegli il job di sincronizzazione corretto:

   • Se hai eseguito l'integrazione con Jira, seleziona il job Sync SCC-Jira Tickets.

   • Se hai eseguito l'integrazione con ServiceNow, seleziona il job Sync SCC-ServiceNow Tickets.

3. Usa il pulsante di attivazione/disattivazione per abilitare il job selezionato.

4. Fai clic su Salva.

Risoluzione dei problemi

Questa sezione elenca i passaggi per la risoluzione dei problemi che potrebbero essere utili se si verificano i seguenti problemi di sincronizzazione in Security Command Center.

Il numero di casi è diverso nella console operativa di sicurezza e nella console Google Cloud

Puoi riscontrare una mancata corrispondenza tra il numero di casi di postura visualizzato nella console operativa di sicurezza e nella console Google Cloud. Questo problema può verificarsi quando il processo di sincronizzazione non è ancora stato completato a causa dell'importazione di un numero elevato di casi creati per la prima esecuzione della sincronizzazione. Attendi il completamento dell'esecuzione iniziale della sincronizzazione, quindi controlla di nuovo i numeri.

I commenti alla richiesta non vengono sincronizzati con le richieste di assistenza

Se utilizzi un sistema di gestione delle richieste di assistenza, potresti riscontrare casi in cui i commenti della richiesta non sono sincronizzati o le modifiche relative alle richieste di assistenza non vengono monitorate e non vengono riportate nei commenti. Questo problema può verificarsi quando non tutti i job di sincronizzazione sono attivi. Oltre al job SCC Enterprise - Sync SCC Data, assicurati di abilitare il job Sync SCC-Jira Tickets o Sync SCC-ServiceNow Tickets. Per maggiori dettagli su come abilitare i job, consulta Abilitare la sincronizzazione per le richieste.

I timestamp delle richieste mostrano la data arbitraria dell'epoca Unix

Nella console Google Cloud, il riepilogo di un risultato può mostrare i valori dei parametri Ora di aggiornamento del sistema esterno, SLA della richiesta e Tempo di aggiornamento come January 1, 1970 at 00:00:00 GMT+0000. Questo problema può verificarsi per i seguenti motivi:

• Uno dei job di sincronizzazione ha restituito un errore.

  Un job può restituire un errore quando le informazioni utilizzate dal job non sono valide o si è verificato un errore di configurazione. Questo errore può verificarsi, ad esempio, quando il job non è riuscito ad aggiornare il valore EXTERNAL-SCC-TICKET-INFO configurato o hai aggiunto il tag EXTERNAL-SCC-TICKET-INFO a un caso che non ha ancora un ticket. Per visualizzare i dettagli di un errore, completa i seguenti passaggi:

  1. Nella console operativa di sicurezza, vai a Risposta > Pianificazione dei job.

  2. Seleziona un job di sincronizzazione.

  3. Nella sezione Cronologia, controlla i log con lo stato del job Non riuscito.

• Utilizzi un playbook personalizzato che non sincronizza le richieste.

  Assicurati che il tuo playbook personalizzato contenga il blocco POSTURE - JIRA - CREATE TICKET o POSTURE - SNOW - CREATE TICKET con i parametri richiesti configurati affinché la sincronizzazione funzioni.

I dati dei casi di minaccia non sono sincronizzati con i sistemi di gestione delle richieste di assistenza

Vengono sincronizzati automaticamente solo le richieste e i ticket per vulnerabilità, configurazioni errate e violazioni della postura. I casi di minacce non vengono sincronizzati automaticamente.

Per impostazione predefinita, Security Command Center non crea ticket per le minacce. Ecco perché, anche quando personalizzi i playbook di risposta alle minacce in modo da creare ticket, la sincronizzazione potrebbe non funzionare come previsto.

Passaggi successivi

• Scopri di più sulle richieste.
• Scopri come assegnare i ticket in base ai casi di posture.