Habilitar la sincronización de datos de casos

En este documento, se explica qué es la sincronización de datos de casos y cómo habilitarla en el nivel empresarial de Security Command Center.

Las capacidades de casos, conectores, guías y trabajos se basan en las operaciones de seguridad de Google.

Descripción general

Después de habilitar la sincronización de datos de casos, estos y sus tickets correspondientes se mantienen actualizados. El proceso de sincronización te permite hacer un seguimiento de las actualizaciones realizadas en los casos y tickets, como los comentarios y el cambio de estado, prioridad y destinatario.

Los trabajos de sincronización son procesos automáticos internos que sincronizan los datos del caso dentro de Security Command Center y entre Security Command Center y los sistemas de tickets integrados. Estos trabajos están inhabilitados de forma predeterminada y se ejecutan automáticamente después de que los habilites. Si quieres obtener más detalles sobre cómo habilitar trabajos, consulta Habilita la sincronización para casos.

Los siguientes trabajos son responsables del proceso de sincronización:

• SCC Enterprise: Sincroniza los datos de SCC
• Sincroniza tickets de SCC-Jira
• Sincronizar tickets de SCC-ServiceNow

Estos trabajos dependen de la información en las guías para mantener los casos y los tickets sincronizados entre sí. Las guías predeterminadas disponibles en Security Command Center proporcionan los valores necesarios en una etiqueta específica y la adjuntan al caso. Si decides crear una guía personalizada, asegúrate de que contenga un paso para crear y adjuntar una etiqueta al caso.

Cómo funcionan los trabajos de sincronización

El trabajo SCC Enterprise - Sync SCC Data verifica el estado de los hallazgos en los casos. De forma predeterminada, si todos los resultados de un caso están inactivos, el trabajo de sincronización lo cierra automáticamente. Si al menos un hallazgo está activo, el sistema le adjunta un comentario y muestra el estado en el widget del caso SCC - Findings State.

Los trabajos Sync SCC-Jira Tickets y Sync SCC-ServiceNow Tickets son bidireccionales para realizar un seguimiento y sincronizar los siguientes parámetros:

• Para el flujo de Security Command Center a los sistemas de tickets: comentarios, prioridad del caso (asignada a la gravedad del ticket en Jira o ServiceNow) y el estado del caso.

• Para los sistemas de tickets al flujo de Security Command Center: comentarios, cambios en el estado del ticket, el destinatario y la prioridad del ticket

De forma interna, los trabajos también sincronizan la información sobre los estados y la gravedad de los resultados más recientes.

Cuando se cierra el caso, el ticket se cierra con el estado Resolved. Cuando el ticket se resuelve en Jira o ServiceNow, los trabajos de sincronización también activan Security Command Center para cerrar el caso.

Cómo activan la sincronización de datos las guías

De forma predeterminada, Security Command Center no usa sistemas de tickets como Jira o ServiceNow para crear tickets para casos y solo requiere que la etiqueta INTERNAL-SCC-TICKET-INFO se adjunte a los casos para sincronizar los datos del caso con el trabajo SCC Enterprise - Sync SCC Data.

Si realizas la integración con un sistema de tickets, la guía adjunta la etiqueta EXTERNAL-SCC-TICKET-INFO necesaria a un caso solo después de que la guía cree correctamente un ticket en tu sistema de tickets. Para sincronizar correctamente los datos del caso con los sistemas de tickets, además del conector SCC Enterprise - Urgent Posture Findings Connector y el trabajo SCC Enterprise - Sync SCC Data, habilita el trabajo Sync SCC-Jira Tickets o Sync SCC-ServiceNow Tickets. Consulta la siguiente sección si quieres obtener más detalles para habilitar un conector y trabajos de sincronización.

Cómo habilitar la sincronización para casos

De forma predeterminada, la sincronización de datos de casos está inhabilitada.

Antes de comenzar

Puedes sincronizar los datos de los casos después de activar el nivel de Security Command Center Enterprise.

Para habilitar la sincronización de casos, se te debe otorgar cualquiera de las siguientes funciones del SOC en la consola de operaciones de seguridad:

• Administrador
• Administrador de vulnerabilidades
• Administrador de amenazas

Para obtener más detalles sobre las funciones del SOC en la consola de operaciones de seguridad y los permisos necesarios para los usuarios, consulta Controla el acceso a las funciones en la consola de operaciones de seguridad.

Habilitar la sincronización para la configuración predeterminada

Para habilitar la sincronización, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.

2. Selecciona SCC Enterprise - Urgent Posture Findings Connector.

3. Mueve el botón de activación para habilitar el conector.

4. Haz clic en Guardar.

5. En la consola de operaciones de seguridad, ve a Respuesta > Programador de trabajos.

6. Selecciona el trabajo SCC Enterprise - Sync SCC Data.

7. Mueve el botón de activación para habilitar el trabajo.

8. Haz clic en Guardar para completar la configuración de un flujo predeterminado (sin sistema de tickets).

Si usas un sistema de tickets como Jira o ServiceNow, continúa con la siguiente sección.

Habilitar la sincronización para los sistemas de tickets

Después de integrar los sistemas de tickets, habilita la sincronización entre Security Command Center Enterprise y tu sistema de tickets. Para ello, completa los siguientes pasos:

1. En la consola de operaciones de seguridad, ve a Respuesta > Programador de trabajos.

2. Elige el trabajo de sincronización correcto:

   • Si te integraste a Jira, selecciona el trabajo Sync SCC-Jira Tickets.

   • Si integraste ServiceNow, selecciona el trabajo Sync SCC-ServiceNow Tickets.

3. Mueve el botón de activación para habilitar el trabajo seleccionado.

4. Haz clic en Guardar.

Soluciona problemas

En esta sección, se enumeran los pasos para solucionar problemas que pueden ser útiles si tienes los siguientes problemas de sincronización en Security Command Center.

La cantidad de casos difiere en la consola de operaciones de seguridad y en la consola de Google Cloud

Puedes experimentar una discrepancia entre la cantidad de casos de postura que ves en la consola de operaciones de seguridad y la consola de Google Cloud. Este problema puede aparecer cuando aún no se completó el proceso de sincronización debido a la transferencia de una gran cantidad de casos creados para la primera ejecución de sincronización. Espera a que se complete la ejecución de la sincronización inicial y, luego, vuelve a verificar los números.

Los comentarios del caso no se sincronizan con los tickets

Si usas un sistema de tickets, es posible que experimentes instancias en las que los comentarios de los casos no se sincronicen o los cambios relacionados con los tickets no se registren ni se reflejen en los comentarios de casos. Este problema puede ocurrir cuando no todos los trabajos de sincronización están activos. Además del trabajo SCC Enterprise - Sync SCC Data, asegúrate de habilitar el trabajo Sync SCC-Jira Tickets o Sync SCC-ServiceNow Tickets. Para obtener más detalles sobre cómo habilitar trabajos, consulta Habilita la sincronización para casos.

Las marcas de tiempo del caso muestran la fecha arbitraria de la época Unix

En la consola de Google Cloud, el resumen de un resultado puede mostrar los valores de los parámetros Hora de actualización del sistema externo, ANS del caso y Hora de actualización como January 1, 1970 at 00:00:00 GMT+0000. Este problema puede ocurrir por los siguientes motivos:

• Se mostró un error en uno de los trabajos de sincronización.

  Un trabajo puede mostrar un error cuando la información que usa no es válida o hay una configuración incorrecta. Este error puede ocurrir, por ejemplo, cuando el trabajo no pudo actualizar el valor EXTERNAL-SCC-TICKET-INFO que configuraste o cuando agregaste la etiqueta EXTERNAL-SCC-TICKET-INFO a un caso que aún no tiene un ticket. Para obtener detalles sobre un error, completa los siguientes pasos:

  1. En la consola de operaciones de seguridad, ve a Respuesta > Programador de trabajos.

  2. Selecciona un trabajo de sincronización.

  3. En la sección Historial, verifica los registros con el estado del trabajo Con errores.

• Si usas una guía personalizada que no sincroniza casos.

  Asegúrate de que tu guía personalizada contenga los bloques POSTURE - JIRA - CREATE TICKET o POSTURE - SNOW - CREATE TICKET con los parámetros obligatorios configurados para que funcione la sincronización.

Los datos de casos de amenazas no se sincronizan con los sistemas de tickets

Solo los casos y tickets de vulnerabilidades, parámetros de configuración incorrectos y violaciones de postura se sincronizan de forma automática. Los casos de amenazas no se sincronizan de forma automática.

De forma predeterminada, Security Command Center no crea tickets para amenazas. Es por eso que, incluso cuando personalizas las guías de respuesta a amenazas para crear tickets, la sincronización puede no funcionar como se espera.

¿Qué sigue?

• Obtén más información sobre los casos.
• Obtén más información sobre cómo asignar tickets según los casos de postura.