本文档介绍了什么是支持请求数据同步,以及如何在 Security Command Center 的企业层级中启用该功能。
案例、连接器、playbook 和作业功能由 Google Security Operations 提供支持。
概览
启用案例数据同步功能后,案例及其对应的工单会保持最新状态。通过同步流程,您可以跟踪对案例和工单进行的更新,例如评论和状态、优先级和分配对象的更改。
同步作业是内部自动化流程,用于在 Security Command Center 内以及 Security Command Center 与集成式工单系统之间同步案例数据。这些作业默认处于停用状态,并会在您启用后自动运行。如需详细了解如何启用作业,请参阅为案例启用同步。
以下作业负责同步过程:
- SCC Enterprise - 同步 SCC 数据
- 同步 SCC-Jira 工单
- 同步 SCC-ServiceNow 工单
这些作业依赖 playbook 中的信息来使案例和工单保持同步。Security Command Center 中提供的默认策略方案在特定标记中提供所需的值并将其附加到案例。如果您选择创建自定义 playbook,请确保其中包含创建代码并将其附加到案例的步骤。
同步作业的工作原理
SCC Enterprise - 同步 SCC 数据作业会检查案例中的发现结果状态。 默认情况下,如果案例中的所有发现结果都处于非活跃状态,则同步作业将自动关闭案例。如果案例中至少有一个发现结果处于活动状态,则系统会为案例附加注释,并在 SCC - Findings State 案例微件中显示发现结果状态。
Sync SCC-Jira Tickets 和 Sync SCC-ServiceNow Tickets 作业是双向的,可跟踪和同步以下参数:
从 Security Command Center 到工单系统的流程中:评论、案例优先级(映射到 Jira 或 ServiceNow 中的工单严重级别)和案例状态。
对于工单系统到 Security Command Center 的流程:注释、工单状态的更改、分配对象和工单优先级。
在内部,这些作业还会同步有关最新发现结果状态和严重性的信息。
当支持请求关闭后,工单会以 Resolved
状态关闭。在 Jira 或 ServiceNow 中解析工单后,同步作业也会触发 Security Command Center 关闭案例。
playbook 如何触发数据同步
默认情况下,Security Command Center 不使用 Jira 或 ServiceNow 等工单系统为案例创建工单,而仅要求案例附加的 INTERNAL-SCC-TICKET-INFO
标记使用 SCC Enterprise - 同步 SCC 数据作业来同步案例数据。
如果您与票务系统集成,则只有在该 playbook 在您的票务系统中成功创建工单后,该 playbook 才会将所需的 EXTERNAL-SCC-TICKET-INFO
标记附加到案例。如需与工单系统正确同步案例数据,除了启用 SCC Enterprise - Urgent Posture Findings Connector 连接器和 SCC Enterprise - Sync SCC Data 作业外,还要启用 Sync SCC-Jira Tickets 或 Sync SCC-ServiceNow Tickets 作业。如需详细了解如何启用连接器和同步作业,请参阅以下部分。
为案例启用同步
默认情况下,支持请求数据同步功能处于停用状态。
准备工作
您可以在激活 Security Command Center Enterprise 层级后同步案例数据。
如需启用支持请求同步,您必须在 Security Operations 控制台中拥有以下任一 SOC 角色:
- 管理员
- 漏洞管理器
- 威胁管理器
如需详细了解 Security Operations 控制台中的 SOC 角色和用户所需的权限,请参阅控制对 Security Operations 控制台中功能的访问权限。
为默认配置启用同步功能
如需启用同步,请完成以下步骤:
在 Security Operations 控制台中,转到 Settings > SOAR Settings > Ingestion > Connectors。
选择 SCC Enterprise - Urgent Posture Findings Connector。
切换切换开关以启用连接器。
点击保存。
在 Security Operations 控制台中,转到响应 > 作业调度器。
选择 SCC Enterprise - Sync SCC Data 作业。
切换切换开关以启用作业。
点击 Save 以完成默认流程(没有工单系统)的配置。
如果您使用 Jira 或 ServiceNow 等工单系统,请继续学习下一部分。
为工单系统启用同步功能
与工单系统集成后,请完成以下步骤,在 Security Command Center Enterprise 与您的工单系统之间实现同步:
在 Security Operations 控制台中,转到响应 > 作业调度器。
选择正确的同步作业:
如果您已与 Jira 集成,请选择 Sync SCC-Jira Tickets 作业。
如果您已与 ServiceNow 集成,请选择同步 SCC-ServiceNow 工单作业。
将开关切换为启用所选作业。
点击保存。
问题排查
如果您在 Security Command Center 中遇到以下同步问题,本部分列出了问题排查步骤。
Security Operations 控制台和 Google Cloud 控制台中的案例数量不同
您可能会在 Security Operations 控制台和 Google Cloud 控制台中看到的安全状况案例数量不一致。如果因为首次同步运行提取大量已创建的案例而导致同步过程尚未完成,则可能会出现此问题。等待初始同步运行完成,然后再次检查数量。
案例评论未与工单同步
如果您使用了工单系统,则可能会遇到以下情况:案例注释未同步,或案例注释未跟踪和反映与工单相关的更改。如果并非所有同步作业都处于活动状态,则可能会出现此问题。除了 SCC Enterprise - Sync SCC Data 作业之外,请务必启用 Sync SCC-Jira Tickets 或 Sync SCC-ServiceNow Tickets 作业。如需详细了解如何启用作业,请参阅为支持请求启用同步功能。
支持请求时间戳显示的是 Unix 纪元的任意日期
在 Google Cloud 控制台中,发现结果的摘要可以将外部系统更新时间、支持请求服务等级协议 (SLA) 和更新时间参数值显示为 January 1, 1970 at 00:00:00 GMT+0000
。出现此问题的原因可能如下:
其中一个同步作业返回了错误。
当作业使用的信息无效或配置错误时,作业可能会返回错误。例如,当作业无法更新您配置的
EXTERNAL-SCC-TICKET-INFO
值或您将EXTERNAL-SCC-TICKET-INFO
标记添加到还没有工单的情况时,可能会发生此错误。如需获取错误的详细信息,请完成以下步骤:在 Security Operations 控制台中,转到响应 > 作业调度器。
选择同步作业。
在历史记录部分中,查看作业状态为失败的日志。
您使用的自定义 playbook 不会同步支持请求。
确保您的自定义 playbook 包含 POSTURE - JIRA - CREATE TICKET 或 POSTURE - SNOW - CREATE TICKET 代码块,且已配置使同步正常运行所需的参数。
威胁案例数据未与工单系统同步
系统只会自动同步漏洞、错误配置和状况违规的支持请求和工单。威胁案例不会自动同步。
默认情况下,Security Command Center 不会为威胁创建工单。因此,即使您自定义威胁响应策略方案以创建工单,同步也可能无法按预期运行。
后续步骤
- 详细了解支持请求。
- 了解如何根据状况案例分配工单。