Ativar a sincronização de dados de casos

Neste documento, explicamos o que é a sincronização de dados de casos e como ativá-la no nível Enterprise do Security Command Center.

Os recursos de casos, conectores, manuais e jobs são fornecidos pelas Operações de segurança do Google.

Visão geral

Depois de ativar a sincronização de dados de casos, ela mantém os casos e os tíquetes correspondentes atualizados. O processo de sincronização permite rastrear as atualizações feitas em casos e tíquetes, como comentários e mudanças de status, prioridade e responsável.

Os jobs de sincronização são processos internos automáticos que sincronizam dados de casos no Security Command Center e entre o Security Command Center e os sistemas de tíquetes integrados. Esses jobs ficam desativados por padrão e são executados automaticamente após a ativação. Para mais detalhes sobre como ativar jobs, consulte Ativar sincronização para casos.

Os jobs a seguir são responsáveis pelo processo de sincronização:

• SCC Enterprise - Sincronizar dados do SCC
• Sincronizar tíquetes SCC-Jira
• Sincronizar tíquetes SCC-ServiceNow

Esses jobs dependem das informações nos playbooks para manter casos e tíquetes sincronizados entre si. Os playbooks padrão disponíveis no Security Command Center fornecem os valores necessários em uma tag específica e os anexam ao caso. Se você optar por criar um playbook personalizado, verifique se ele contém uma etapa para criar e anexar uma tag ao caso.

Como os jobs de sincronização funcionam

O job SCC Enterprise - Sincronizar dados do SCC verifica o estado das descobertas nos casos. Por padrão, se todas as descobertas em um caso estiverem inativas, o job de sincronização encerra o caso automaticamente. Se pelo menos uma descoberta em um caso estiver ativa, o sistema vai anexar um comentário ao caso e exibir o estado da descoberta no widget SCC - Findings State.

Os jobs Sync SCC-Jira Tickets e Sync SCC-ServiceNow Tickets são bidirecionais para rastrear e sincronizar os seguintes parâmetros:

• Para o fluxo de sistemas de tíquetes do Security Command Center: comentários, prioridade do caso (associada à gravidade do tíquete no Jira ou no ServiceNow) e status do caso.

• Para o fluxo de sistemas de tíquetes para o Security Command Center: comentários, alterações no status do tíquete, no cessionário e na prioridade do tíquete.

Internamente, os jobs também sincronizam as informações sobre os status e as gravidades das descobertas mais recentes.

Quando o caso é encerrado, o tíquete é encerrado com o status Resolved. Quando o tíquete é resolvido no Jira ou no ServiceNow, os jobs de sincronização acionam o Security Command Center para fechar o caso.

Como os playbooks acionam a sincronização de dados

Por padrão, o Security Command Center não usa sistemas de tíquetes como Jira ou ServiceNow para criar tíquetes para casos e exige apenas que a tag INTERNAL-SCC-TICKET-INFO anexada aos casos sincronize os dados deles usando o job SCC Enterprise - Sync SCC Data.

Se você fizer a integração com um sistema de tíquetes, o playbook anexará a tag EXTERNAL-SCC-TICKET-INFO necessária a um caso somente depois que o playbook criar um tíquete no sistema. Para sincronizar os dados de casos com os sistemas de tíquetes corretamente, além do conector do SCC Enterprise - Urgent Posture Findings Connector e do job SCC Enterprise - Sync SCC Data, ative o job Sync SCC-Jira Tickets ou Sync SCC-ServiceNow Tickets. Para mais detalhes sobre como ativar um conector e jobs de sincronização, consulte a seção a seguir.

Ativar sincronização para casos

Por padrão, a sincronização de dados de casos está desativada.

Antes de começar

É possível sincronizar os dados dos casos depois de ativar o nível Enterprise do Security Command Center.

Para ativar a sincronização de casos, é necessário receber qualquer um dos seguintes papéis do SOC no console de Operações de Segurança:

• Administrador
• Gerenciador de vulnerabilidades
• Gerenciador de ameaças

Para saber mais detalhes sobre os papéis do SOC no console de Operações de Segurança e as permissões necessárias para os usuários, consulte Controlar o acesso a recursos no Console de Operações de Segurança.

Ativar a sincronização para a configuração padrão

Para ativar a sincronização, siga estas etapas:

1. No console de Operações de Segurança, acesse Configurações > Configurações do SOAR > Ingestão > Conectores.

2. Selecione SCC Enterprise - Urgent Posture Findings Connector.

3. Alterne o botão para ativar o conector.

4. Clique em Salvar.

5. No console de Operações de segurança, vá para Resposta > Programador de jobs.

6. Selecione o job SCC Enterprise - Sincronizar dados do SCC.

7. Alterne o botão para ativar o job.

8. Clique em Salvar para concluir a configuração de um fluxo padrão (sem sistema de tíquetes).

Se você usa um sistema de tíquetes como o Jira ou o ServiceNow, prossiga para a seção a seguir.

Ativar a sincronização para sistemas de tíquetes

Depois de fazer a integração com sistemas de tíquetes, ative a sincronização entre o Security Command Center Enterprise e seu sistema de tíquetes concluindo as seguintes etapas:

1. No console de Operações de segurança, vá para Resposta > Programador de jobs.

2. Escolha o job de sincronização correto:

   • Se você fez a integração com o Jira, selecione o job Sincronizar tíquetes SCC-Jira.

   • Se você fez a integração com o ServiceNow, selecione o job Sincronizar tíquetes SCC-ServiceNow.

3. Alterne o botão para ativar o job selecionado.

4. Clique em Salvar.

Solução de problemas

Esta seção lista as etapas de solução de problemas que podem ser úteis se você tiver os seguintes problemas de sincronização no Security Command Center.

O número de casos é diferente no console do Security Operations e no console do Google Cloud

É possível que ocorra uma incompatibilidade entre o número de casos de postura que você vê no console de operações de segurança e no console do Google Cloud. Esse problema pode aparecer quando o processo de sincronização ainda não foi concluído devido à ingestão de um grande número de casos criados para a primeira execução da sincronização. Aguarde a execução da sincronização inicial ser concluída e verifique os números novamente.

Os comentários do caso não são sincronizados com os tíquetes

Se você usa um sistema de tíquetes, pode encontrar instâncias em que os comentários dos casos não são sincronizados ou as alterações relacionadas aos tíquetes não são rastreadas e refletidas nos comentários. Esse problema pode ocorrer quando nem todos os jobs de sincronização estão ativos. Além do job SCC Enterprise - Sync SCC Data, ative o job Sync SCC-Jira Tickets ou Sync SCC-ServiceNow Tickets. Para mais detalhes sobre como ativar jobs, consulte Ativar sincronização para casos.

Os carimbos de data/hora de caso exibem a data arbitrária da época Unix

No console do Google Cloud, o resumo de uma descoberta pode exibir os valores de parâmetros Horário de atualização do sistema externo, SLA do caso e Horário de atualização como January 1, 1970 at 00:00:00 GMT+0000. Esse problema pode ocorrer pelos seguintes motivos:

• Um dos jobs de sincronização retornou um erro.

  Um job pode retornar um erro quando as informações usadas por ele são inválidas ou há uma configuração incorreta. Esse erro pode ocorrer, por exemplo, quando o job não conseguiu atualizar o valor EXTERNAL-SCC-TICKET-INFO configurado ou você adicionou a tag EXTERNAL-SCC-TICKET-INFO a um caso que ainda não tem um tíquete. Para acessar detalhes sobre um erro, siga estas etapas:

  1. No console de Operações de segurança, vá para Resposta > Programador de jobs.

  2. Selecione um job de sincronização.

  3. Na seção Histórico, verifique os registros com o status de job Com falha.

• Você usa um playbook personalizado que não sincroniza casos.

  Verifique se o playbook personalizado contém o bloco POSTURE - JIRA - CREATE TICKET ou o bloco POSTURE - SNOW - CREATE TICKET com os parâmetros necessários configurados para o funcionamento da sincronização.

Os dados dos casos de ameaças não são sincronizados com os sistemas de tíquetes

Somente casos e tíquetes de vulnerabilidades, configurações incorretas e violações de postura são sincronizados automaticamente. Os casos de ameaças não são sincronizados automaticamente.

Por padrão, o Security Command Center não cria tíquetes para ameaças. É por isso que, mesmo quando você personaliza playbooks de resposta a ameaças para criar tíquetes, a sincronização pode não funcionar como esperado.

A seguir

• Saiba mais sobre casos.
• Saiba como atribuir tíquetes com base nos casos de postura.