Security Command Center Enterprise in Ticketing-Systeme einbinden

In diesem Dokument wird erläutert, wie Sie die Enterprise-Stufe von Security Command Center in die Ticketing-Systeme einbinden, nachdem Sie die SOAR-Funktionen (Security Orchestration, Automation and Response, SOAR) auf Basis von Google Security Operations konfiguriert haben.

Die Einbindung in Ticketsysteme ist optional und erfordert eine manuelle Konfiguration. Wenn Sie die Standardkonfiguration von Security Command Center Enterprise verwenden möchten, müssen Sie diesen Vorgang nicht ausführen. Eine Verknüpfung mit einem Ticketsystem lässt sich später jederzeit vornehmen.

Überblick

Mit der standardmäßigen Security Command Center Enterprise-Konfiguration können Sie Ergebnisse mithilfe der Console und der APIs verfolgen. Wenn Ihre Organisation Ticketsysteme zum Nachverfolgen von Problemen verwendet, sollten Sie Jira oder ServiceNow einbinden, nachdem Sie Ihre Google Security Operations-Instanz konfiguriert haben.

Nachdem Ergebnisse für Ressourcen empfangen wurden, analysiert und filtert der SCC Enterprise – Urgent Posture Findings Connector die Ergebnisse während der Aufnahme und gruppiert sie je nach Ergebnistyp in neue oder vorhandene Fälle.

Bei der Einbindung in ein Ticketing-System erstellt Security Command Center jedes Mal ein neues Ticket, wenn ein neuer Fall für Ergebnisse erstellt wird. Jedes Mal, wenn ein Fall aktualisiert wird, aktualisiert Security Command Center automatisch auch das zugehörige Ticket.

Ein einzelner Fall kann ein oder mehrere Ergebnisse enthalten. Security Command Center erstellt für jeden Fall ein Ticket und synchronisiert den Inhalt und die Informationen des Falls mit dem entsprechenden Ticket, damit die Ticketverantwortlichen wissen, was zu beheben ist.

Die Synchronisierung zwischen einem Fall und dem zugehörigen Ticket funktioniert auf beide Arten: Wenn in einem Fall eine Aktualisierung erfolgt, z. B. eine Statusänderung oder ein neuer Kommentar, wird dies in einem Ticket widergespiegelt und die Ticketdetails werden mit der Anreicherung des Ticketsystems in einem Fall synchronisiert.

Hinweise

Geben Sie vor dem Konfigurieren von Jira oder ServiceNow eine gültige E-Mail-Adresse für den Parameter Fallback Owner im SCC Enterprise – Urgent Posture Findings Connector an und achten Sie darauf, dass diese E-Mail in Ihrem Ticketing-System zuweisbar ist.

In Jira einbinden

Führen Sie alle Integrationsschritte aus, um die Aktualisierungen von Google SecOps-Fällen mit Jira-Problemen zu synchronisieren und den richtigen Playbook-Ablauf zu gewährleisten.

Die Fallpriorität wird unter Schweregrad des Problems für Jira angegeben.

Neues Projekt in Jira erstellen

Führen Sie in diesem Fall eine manuelle Maßnahme aus, um in Jira ein neues Projekt mit dem Namen SCC Enterprise Project (SCCE) für Security Command Center Enterprise-Probleme in Jira zu erstellen. Sie können einen beliebigen vorhandenen Fall verwenden oder einen solchen simulieren. Weitere Informationen zum Simulieren von Fällen finden Sie auf der Seite Fälle simulieren in der Google SecOps-Dokumentation.

Zum Erstellen eines neuen Jira-Projekts sind Anmeldedaten auf Jira-Administratorebene erforderlich.

Führen Sie die folgenden Schritte aus, um ein neues Jira-Projekt zu erstellen:

  1. Gehen Sie in der Security Operations Console zu Fälle.
  2. Wählen Sie einen vorhandenen oder den simulierten Fall aus.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie im Feld Suche der manuellen Maßnahme Create SCC Enterprise ein.
  5. Wählen Sie in den Suchergebnissen unter der Integration von SCCEnterprise die Aktion Create SCC Enterprise Cloud Posture Ticket Type Jira (SCC Enterprise Cloud Posture-Tickettyp Jira erstellen) aus. Das Dialogfeld wird geöffnet.

  6. Geben Sie zum Konfigurieren des Parameters API Root den API-Stamm Ihrer Jira-Instanz ein, z. B. https://YOUR_DOMAIN_NAME.atlassian.net.

  7. Zum Konfigurieren des Parameters Username geben Sie den Nutzernamen ein, mit dem Sie sich als Administrator in Jira anmelden.

  8. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, mit dem Sie sich als Administrator in Jira anmelden.

  9. Geben Sie zum Konfigurieren des Parameters API Token das API-Token Ihres Atlassian-Administratorkontos ein, das in der Jira-Konsole generiert wurde.

  10. Klicken Sie auf Execute. Warten Sie, bis die Aktion abgeschlossen ist.

Optional: Benutzerdefiniertes Layout für Jira-Probleme konfigurieren

  1. Melden Sie sich in Jira als Administrator an.
  2. Klicken Sie auf Projekte > SCC Enterprise Project (SCCE).
  3. Passen Sie die Problemfelder an und ordnen Sie sie neu an. Weitere Informationen zum Verwalten von Problemfeldern finden Sie in der Jira-Dokumentation unter Layout des Problemfelds konfigurieren.

Jira-Integration konfigurieren

  1. Rufen Sie in der Security Operations Console Response > Integrations Setup (Antwort > Einrichtung der Integrationen) auf.
  2. Wählen Sie die Standardumgebung aus.
  3. Geben Sie im Search-Feld der Integration Jira ein. Die Jira-Integration wird als Suchergebnis zurückgegeben.
  4. Klicken Sie auf Instanz konfigurieren. Das Dialogfeld wird geöffnet.

  5. Geben Sie zum Konfigurieren des Parameters API Root den API-Stamm Ihrer Jira-Instanz ein, z. B. https://YOUR_DOMAIN_NAME.atlassian.net.

  6. Geben Sie zum Konfigurieren des Parameters Username den Nutzernamen ein, mit dem Sie sich in Jira anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

  7. Geben Sie zum Konfigurieren des Parameters API-Token das API-Token Ihres Atlassian-Kontos ohne Administratorberechtigungen ein, das in der Jira-Konsole generiert wurde. Weitere Informationen

  8. Klicken Sie auf Speichern.

  9. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook „Enable the Posture Findings With Jira“-Playbook

  1. Gehen Sie in der Security Operations Console zu Antworten > Playbooks.
  2. Geben Sie in der Suchleiste des Playbooks den Wert Generic ein.
  3. Wählen Sie das Playbook Posture Findings – Generic aus. Dieses Playbook ist standardmäßig aktiviert.
  4. Stellen Sie die Ein/Aus-Schaltfläche auf Deaktivieren des Playbooks.
  5. Klicken Sie auf Speichern.
  6. Geben Sie in der Suchleiste des Playbooks den Wert Jira ein.
  7. Wählen Sie das Playbook Posture Findings With Jira aus. Dieses Playbook ist standardmäßig deaktiviert.
  8. Stellen Sie die Ein/Aus-Schaltfläche auf Aktivieren des Playbooks.
  9. Klicken Sie auf Speichern.

In ServiceNow einbinden

Führen Sie alle Integrationsschritte aus, um die Aktualisierungen von Google SecOps-Fällen mit ServiceNow-Tickets zu synchronisieren und den richtigen Playbook-Ablauf sicherzustellen.

Benutzerdefinierten ServiceNow-Tickettyp erstellen und konfigurieren

Erstellen und konfigurieren Sie unbedingt den benutzerdefinierten ServiceNow-Tickettyp. Aktivieren Sie dazu den Tab „Aktivitäten“ in der ServiceNow-UI und verwenden Sie kein fehlerhaftes Ticketlayout.

Benutzerdefinierten ServiceNow-Tickettyp erstellen

Zum Erstellen eines benutzerdefinierten ServiceNow-Tickettyps sind Anmeldedaten auf ServiceNow-Administratorebene erforderlich.

So erstellst du einen benutzerdefinierten Tickettyp:

  1. Gehen Sie in der Security Operations Console zu Fälle.
  2. Wählen Sie einen vorhandenen oder den simulierten Fall aus.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie im Feld Suche der manuellen Maßnahme Create SCC Enterprise ein.
  5. Wählen Sie in den Suchergebnissen unter der SCCEnterprise-Integration die Aktion Create SCC Enterprise Cloud Posture Ticket Type SNOW aus. Das Dialogfeld wird geöffnet.

  6. Geben Sie zum Konfigurieren des Parameters API Root den API-Stamm Ihrer ServiceNow-Instanz ein, z. B. https://INSTANCE_NAME.service-now.com/api/now/v1/.

  7. Zum Konfigurieren des Parameters Username geben Sie den Nutzernamen ein, mit dem Sie sich als Administrator in ServiceNow anmelden.

  8. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, mit dem Sie sich als Administrator in ServiceNow anmelden.

  9. Lassen Sie das Feld leer, um den Parameter Tabellenrolle zu konfigurieren, oder geben Sie einen Wert an, falls vorhanden. Für diesen Parameter ist nur ein Rollenwert zulässig.

    Das Feld Tabellenrolle ist standardmäßig leer, um eine neue benutzerdefinierte Rolle in ServiceNow zu erstellen, um die Security Command Center Enterprise-Tickets speziell zu verwalten. Nur ServiceNow-Nutzer mit dieser neuen benutzerdefinierten Rolle haben Zugriff auf die Security Command Center Enterprise-Tickets.

    Wenn Sie bereits eine spezielle Rolle für Nutzer haben, die Vorfälle in ServiceNow verwalten, und diese Rolle zum Verwalten der Security Command Center Enterprise-Ergebnisse verwenden möchten, geben Sie den Namen der vorhandenen ServiceNow-Rolle in das Feld Tabellenrolle ein. Wenn Sie beispielsweise den vorhandenen Wert incident_handler_role angeben, können alle Nutzer mit der Rolle incident_handler_role in ServiceNow auf die Security Command Center Enterprise-Tickets zugreifen.

  10. Klicken Sie auf Execute. Warten Sie, bis die Aktion abgeschlossen ist.

Benutzerdefiniertes ServiceNow-Ticketlayout konfigurieren

Führen Sie die folgenden Schritte aus, damit in der ServiceNow-UI die Aktualisierungen von Anfragen und Fallkommentaren korrekt angezeigt werden:

  1. Wechseln Sie in Ihrem ServiceNow-Administratorkonto zum Tab Alle.
  2. Geben Sie im Feld Suchen den Wert SCC Enterprise ein.
  3. Wählen Sie in der Drop-down-Liste das SCC Enterprise Cloud Posture Ticket aus und führen Sie eine Suche durch.
  4. Wählen Sie das Posture Test Ticket aus. Die Layoutseite für das ServiceNow-Ticket wird geöffnet.
  5. Wechseln Sie auf der Layoutseite des ServiceNow-Tickets zu Zusätzliche Aktionen > Konfigurieren > Formularlayout.
  6. Gehen Sie zum Abschnitt Formularansicht und Abschnitt.
  7. Wählen Sie im Feld Abschnitt die Option u_scc_enterprise_cloud_posture_ticket aus.
  8. Klicken Sie auf Speichern. Nachdem die Seite aktualisiert wurde, sind die Felder der Ticketvorlage auf zwei Spalten verteilt.
  9. Gehen Sie zu Zusätzliche Aktionen > Konfigurieren > Formularlayout.
  10. Gehen Sie zum Abschnitt Formularansicht und Abschnitt.
  11. Wählen Sie im Feld Abschnitt die Option Zusammenfassung aus.
  12. Klicken Sie auf Speichern. Nachdem die Seite aktualisiert wurde, hat die Ticketvorlage die neue Zusammenfassungsstruktur.

ServiceNow-Einbindung konfigurieren

  1. Rufen Sie in der Security Operations-Konsole Antwort > Einrichtung von Integrationen auf.
  2. Wählen Sie die Standardumgebung aus.
  3. Geben Sie im Search-Feld der Integration ServiceNow ein. Die ServiceNow-Integration wird als Suchergebnis zurückgegeben.
  4. Klicken Sie auf Instanz konfigurieren. Das Dialogfeld wird geöffnet.

  5. Geben Sie zum Konfigurieren des Parameters API Root den API-Stamm Ihrer ServiceNow-Instanz ein, z. B. https://INSTANCE_NAME.service-now.com/api/now/v1/.

  6. Zum Konfigurieren des Parameters Username geben Sie den Nutzernamen ein, mit dem Sie sich bei ServiceNow anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

  7. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, mit dem Sie sich bei ServiceNow anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

  8. Klicken Sie auf Speichern.

  9. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook „Enable the Posture Findings With SNOW“-Playbook

  1. Gehen Sie in der Security Operations Console zu Antworten > Playbooks.
  2. Geben Sie in der Suchleiste des Playbooks den Wert Generic ein.
  3. Wählen Sie das Playbook Posture Findings – Generic aus. Dieses Playbook ist standardmäßig aktiviert.
  4. Stellen Sie die Ein/Aus-Schaltfläche auf Deaktivieren des Playbooks.
  5. Klicken Sie auf Speichern.
  6. Geben Sie in der Suchleiste des Playbooks den Wert SNOW ein.
  7. Wählen Sie das Playbook Posture Findings With SNOW aus. Dieses Playbook ist standardmäßig deaktiviert.
  8. Stellen Sie die Ein/Aus-Schaltfläche auf Aktivieren des Playbooks.
  9. Klicken Sie auf Speichern.

Synchronisierung von Falldaten aktivieren

Security Command Center synchronisiert die Informationen zwischen einem Fall und dem zugehörigen Ticket automatisch, sodass die Informationen in einem Fall und das Ticket wie Priorität, Status und Kommentare immer identisch sind.

Zum Synchronisieren von Falldaten verwendet Security Command Center interne automatische Prozesse, die als Synchronisierungsjobs bezeichnet werden. Mit den Jobs SCC-Jira-Tickets synchronisieren und SCC-ServiceNow-Tickets synchronisieren werden Falldaten zwischen Security Command Center und integrierten Ticketsystemen synchronisiert. Diese beiden Jobs sind standardmäßig deaktiviert und werden nach ihrer Aktivierung automatisch ausgeführt.

Wenn der Fall abgeschlossen ist, ist das Ticket mit dem Status Resolved geschlossen. Wenn das Ticket in Jira oder ServiceNow aufgelöst wird, lösen die Synchronisierungsjobs auch Security Command Center aus, den Fall zu schließen.

Hinweise

Zum Aktivieren der Fallsynchronisierung muss Ihnen in der Security Operations Console eine der folgenden SOC-Rollen gewährt werden:

  • Administrator
  • Sicherheitslückenmanager
  • Bedrohungsmanager

Weitere Informationen zu SOC-Rollen in der Security Operations Console und zu den für Nutzer erforderlichen Berechtigungen finden Sie unter Zugriff auf Funktionen in der Security Operations Console steuern.

Synchronisierung für Ticketsysteme aktivieren

Damit die Informationen in Fällen und Tickets automatisch synchronisiert werden, aktivieren Sie den Synchronisierungsjob, der für das eingebundene Ticketsystem relevant ist.

Führen Sie die folgenden Schritte aus, um den Synchronisierungsjob zu aktivieren:

  1. Wechseln Sie in der Security Operations Console zu Antwort > Job-Planer.

  2. Wählen Sie den richtigen Synchronisierungsjob aus:

    • Wenn Sie Jira eingebunden haben, wählen Sie den Job Sync SCC-Jira Tickets (SCC-Jira-Tickets synchronisieren) aus.

    • Wenn Sie ServiceNow integriert haben, wählen Sie den Job Sync SCC-ServiceNow-Tickets aus.

  3. Aktivieren Sie den ausgewählten Job mithilfe der Ein/Aus-Schaltfläche.

  4. Klicken Sie auf Speichern.

Nächste Schritte