Synchronisierung von Falldaten aktivieren

In diesem Dokument wird erläutert, was die Synchronisierung von Falldaten ist und wie sie in der Enterprise-Stufe von Security Command Center aktiviert wird.

Die Cases, Connectors, Playbooks und Jobfunktionen basieren auf Google Security Operations.

Überblick

Nachdem Sie die Synchronisierung von Falldaten aktiviert haben, werden Supportanfragen und die zugehörigen Tickets auf dem neuesten Stand gehalten. Mit dem Synchronisierungsprozess können Sie Aktualisierungen von Fällen und Tickets verfolgen, z. B. Kommentare sowie Status-, Prioritäts- und Zuständigeänderungen.

Synchronisierungsjobs sind interne automatische Prozesse, die Falldaten in Security Command Center sowie zwischen Security Command Center und integrierten Ticketsystemen synchronisieren. Diese Jobs sind standardmäßig deaktiviert und werden nach ihrer Aktivierung automatisch ausgeführt. Weitere Informationen zum Aktivieren von Jobs finden Sie unter Synchronisierung für Supportanfragen aktivieren.

Die folgenden Jobs sind für den Synchronisierungsprozess verantwortlich:

• SCC Enterprise – SCC-Daten synchronisieren
• SCC-Jira-Tickets synchronisieren
• SCC-ServiceNow-Tickets synchronisieren

Diese Jobs hängen von Informationen in Playbooks ab, damit Fälle und Tickets miteinander synchronisiert werden. Die in Security Command Center verfügbaren Standard-Playbooks enthalten die erforderlichen Werte in einem bestimmten Tag und hängen dieses an die Anfrage an. Wenn Sie ein benutzerdefiniertes Playbook erstellen möchten, muss es einen Schritt zum Erstellen und Anhängen eines Tags zum Fall enthalten.

Funktionsweise von Synchronisierungsjobs

Der Job SCC Enterprise – SCC-Daten synchronisieren prüft den Ergebnisstatus in Fällen. Wenn alle Ergebnisse in einem Fall inaktiv sind, wird der Fall standardmäßig durch den Synchronisierungsjob geschlossen. Wenn mindestens ein Ergebnis in einem Fall aktiv ist, hängt das System einen Kommentar an den Fall an und zeigt den Ergebnisstatus im Fall-Widget SCC – Findings State (SCC – Ergebnisstatus) an.

Die Jobs SCC-Jira-Tickets synchronisieren und SCC-ServiceNow-Tickets synchronisieren sind bidirektional zum Verfolgen und Synchronisieren der folgenden Parameter:

• Für den Ablauf von Security Command Center zu den Ticketing-Systemen: Kommentare, Fallpriorität (die dem Ticketschweregrad in Jira oder ServiceNow zugeordnet ist) und Fallstatus.

• Für den Ablauf der Ticketsysteme zum Security Command Center: Kommentare, Änderungen am Ticketstatus, der zuständigen Person und der Ticketpriorität.

Intern synchronisieren die Jobs auch die Informationen über den neuesten Ergebnisstatus und Schweregrad.

Wenn der Fall abgeschlossen ist, ist das Ticket mit dem Status Resolved geschlossen. Wenn das Ticket in Jira oder ServiceNow aufgelöst wird, lösen die Synchronisierungsjobs auch Security Command Center aus, den Fall zu schließen.

So lösen Playbooks die Datensynchronisierung aus

Standardmäßig verwendet Security Command Center keine Ticketsysteme wie Jira oder ServiceNow zum Erstellen von Tickets für Supportanfragen und erfordert nur das an die Anfragen angehängte Tag INTERNAL-SCC-TICKET-INFO, um die Falldaten mit dem Job SCC Enterprise – SCC-Daten synchronisieren zu synchronisieren.

Bei einer Einbindung in ein Ticketsystem wird erst dann das erforderliche EXTERNAL-SCC-TICKET-INFO-Tag an einen Fall angehängt, wenn das Playbook ein Ticket in Ihrem Ticketsystem erstellt hat. Damit die Falldaten korrekt mit Ticketing-Systemen synchronisiert werden können, müssen Sie zusätzlich zum Connector SCC Enterprise – Urgent Posture Findings Connector und dem Job SCC Enterprise – SCC-Daten synchronisieren entweder den Job SCC-Jira-Tickets synchronisieren oder SCC-ServiceNow-Tickets synchronisieren aktivieren. Weitere Informationen zum Aktivieren eines Connectors und von Synchronisierungsjobs finden Sie im folgenden Abschnitt.

Synchronisierung für Supportanfragen aktivieren

Die Synchronisierung von Falldaten ist standardmäßig deaktiviert.

Hinweise

Sie können Falldaten synchronisieren, nachdem Sie die Enterprise-Stufe von Security Command Center aktiviert haben.

Zum Aktivieren der Fallsynchronisierung muss Ihnen in der Security Operations Console eine der folgenden SOC-Rollen gewährt werden:

• Administrator
• Sicherheitslückenmanager
• Bedrohungsmanager

Weitere Informationen zu SOC-Rollen in der Security Operations Console und zu den für Nutzer erforderlichen Berechtigungen finden Sie unter Zugriff auf Funktionen in der Security Operations Console steuern.

Synchronisierung für die Standardkonfiguration aktivieren

Führen Sie die folgenden Schritte aus, um die Synchronisierung zu aktivieren:

1. Gehen Sie in der Security Operations Console zu Einstellungen > SOAR-Einstellungen > Aufnahme > Connectors.

2. Wählen Sie SCC Enterprise – Urgent Posture Findings Connector (SCC Enterprise – Urgent Posture Findings Connector) aus.

3. Aktivieren Sie den Connector mithilfe der Ein/Aus-Schaltfläche.

4. Klicken Sie auf Speichern.

5. Wechseln Sie in der Security Operations Console zu Antwort > Job-Planer.

6. Wählen Sie den Job SCC Enterprise – SCC-Daten synchronisieren aus.

7. Aktivieren Sie den Job über die Ein/Aus-Schaltfläche.

8. Klicken Sie auf Speichern, um die Konfiguration für einen Standardablauf (ohne Ticketsystem) abzuschließen.

Wenn Sie ein Ticketsystem wie Jira oder ServiceNow verwenden, fahren Sie mit dem folgenden Abschnitt fort.

Synchronisierung für Ticketsysteme aktivieren

Nach der Integration mit Ticketsystemen aktivieren Sie die Synchronisierung zwischen Security Command Center Enterprise und Ihrem Ticketsystem. Dazu führen Sie die folgenden Schritte aus:

1. Wechseln Sie in der Security Operations Console zu Antwort > Job-Planer.

2. Wählen Sie den richtigen Synchronisierungsjob aus:

   • Wenn Sie Jira eingebunden haben, wählen Sie den Job Sync SCC-Jira Tickets (SCC-Jira-Tickets synchronisieren) aus.

   • Wenn Sie ServiceNow integriert haben, wählen Sie den Job Sync SCC-ServiceNow-Tickets aus.

3. Aktivieren Sie den ausgewählten Job mithilfe der Ein/Aus-Schaltfläche.

4. Klicken Sie auf Speichern.

Fehlerbehebung

In diesem Abschnitt werden Schritte zur Fehlerbehebung aufgeführt, die hilfreich sein können, wenn in Security Command Center die folgenden Synchronisierungsprobleme auftreten.

Die Anzahl der Fälle unterscheidet sich in der Security Operations Console und der Google Cloud Console

Die Anzahl der Statusmeldungen in der Security Operations Console und in der Google Cloud Console kann nicht übereinstimmen. Dieses Problem kann auftreten, wenn der Synchronisierungsprozess noch nicht abgeschlossen ist, weil beim ersten Synchronisierungslauf sehr viele Fälle erstellt wurden. Warten Sie, bis die erste Synchronisierung abgeschlossen ist, und prüfen Sie die Werte dann noch einmal.

Kommentare zur Anfrage werden nicht mit Tickets synchronisiert

Wenn Sie ein Ticketing-System verwenden, kann es vorkommen, dass Fallkommentare nicht synchronisiert oder Änderungen im Zusammenhang mit Tickets nicht verfolgt und in Fallkommentaren berücksichtigt werden. Dieses Problem kann auftreten, wenn nicht alle Synchronisierungsjobs aktiv sind. Zusätzlich zum Job SCC Enterprise – Sync SCC-Daten müssen Sie entweder den Job Sync SCC-Jira Tickets oder Sync SCC-ServiceNow Tickets aktivieren. Weitere Informationen zum Aktivieren von Jobs finden Sie unter Synchronisierung für Supportanfragen aktivieren.

Die Fallzeitstempel zeigen das beliebige Datum der Unix-Epoche an.

In der Google Cloud Console können in der Zusammenfassung eines Ergebnisses die Parameterwerte Externe Systemaktualisierung, Fall-SLA und Aktualisierungszeit als January 1, 1970 at 00:00:00 GMT+0000 angezeigt werden. Dieses Problem kann aus folgenden Gründen auftreten:

• Einer der Synchronisierungsjobs hat einen Fehler zurückgegeben.

  Ein Job kann einen Fehler zurückgeben, wenn die vom Job verwendeten Informationen ungültig sind oder eine Fehlkonfiguration vorliegt. Dieser Fehler kann beispielsweise auftreten, wenn der Job den von Ihnen konfigurierten Wert EXTERNAL-SCC-TICKET-INFO nicht aktualisieren konnte oder wenn Sie das Tag EXTERNAL-SCC-TICKET-INFO einem Fall hinzugefügt haben, für den noch kein Ticket vorhanden ist. Führen Sie die folgenden Schritte aus, um Details zu einem Fehler abzurufen:

  1. Wechseln Sie in der Security Operations Console zu Antwort > Job-Planer.

  2. Wählen Sie einen Synchronisierungsjob aus.

  3. Prüfen Sie im Bereich Verlauf die Logs mit dem Jobstatus Fehlgeschlagen.

• Sie verwenden ein benutzerdefiniertes Playbook, das keine Fälle synchronisiert.

  Ihr benutzerdefiniertes Playbook muss entweder den Block POSTURE – JIRA – CREATE TICKET oder POSTURE – SNOW – CREATE TICKET mit den konfigurierten erforderlichen Parametern für die Synchronisierung enthalten.

Bedrohungsfalldaten werden nicht mit Ticketing-Systemen synchronisiert.

Nur Fälle und Tickets für Sicherheitslücken, Fehlkonfigurationen und Richtlinienverstöße werden automatisch synchronisiert. Fälle von Bedrohungen werden nicht automatisch synchronisiert.

Standardmäßig erstellt Security Command Center keine Tickets für Bedrohungen. Daher funktioniert die Synchronisierung möglicherweise nicht wie erwartet, selbst wenn Sie Playbooks für die Bedrohungsreaktion anpassen, um Tickets zu erstellen.

Nächste Schritte

• Weitere Informationen zu Supportanfragen
• Informationen zum Zuweisen von Tickets basierend auf Sicherheitsfällen