Synchronisierung von Falldaten aktivieren

In diesem Dokument wird erläutert, worum es bei der Datensynchronisierung geht und wie sie in der Enterprise-Stufe von Security Command Center aktiviert wird.

Die Cases, Connectors, Playbooks und Jobfunktionen basieren auf Google Security Operations.

Überblick

Nachdem Sie die Synchronisierung von Falldaten aktiviert haben, bleiben die Fälle und die zugehörigen Tickets auf dem neuesten Stand. Mit dem Synchronisierungsprozess können Sie Aktualisierungen an Fällen und Tickets verfolgen, z. B. Kommentare sowie Änderungen von Status, Priorität und zugewiesener Person.

Synchronisierungsjobs sind interne automatische Prozesse, die Falldaten im Security Command Center sowie zwischen Security Command Center und integrierten Ticketsystemen synchronisieren. Diese Jobs sind standardmäßig deaktiviert und werden nach der Aktivierung automatisch ausgeführt. Weitere Informationen zum Aktivieren von Jobs finden Sie unter Synchronisierung für Fälle aktivieren.

Die folgenden Jobs sind für den Synchronisierungsprozess verantwortlich:

  • SCC Enterprise – SCC-Daten synchronisieren
  • SCC-Jira-Tickets synchronisieren
  • SCC-ServiceNow-Tickets synchronisieren

Diese Jobs hängen von Informationen in Playbooks ab, um Fälle und Tickets miteinander zu synchronisieren. Die in Security Command Center verfügbaren Standard-Playbooks enthalten erforderliche Werte in einem bestimmten Tag und hängen es an den Fall an. Wenn Sie ein benutzerdefiniertes Playbook erstellen möchten, muss es einen Schritt zum Erstellen und Anhängen eines Tags an den Fall enthalten.

Funktionsweise von Synchronisierungsjobs

Der Job SCC Enterprise – SCC-Daten synchronisieren prüft in Fällen den Status der Ergebnisse. Wenn alle Ergebnisse in einem Fall inaktiv sind, schließt der Synchronisierungsjob den Fall standardmäßig automatisch. Wenn mindestens ein Ergebnis in einem Fall aktiv ist, hängt das System einen Kommentar an den Fall an und zeigt den Ergebnisstatus im Fall-Widget SCC – Ergebnisstatus an.

Die Jobs Sync SCC-Jira Tickets und Sync SCC-ServiceNow Tickets ermöglichen das Verfolgen und Synchronisieren der folgenden Parameter in beide Richtungen:

  • Für den Ablauf vom Security Command Center zu den Ticketing-Systemen: Kommentare, Fallpriorität (dem Ticket-Schweregrad in Jira oder ServiceNow zugeordnet) und Fallstatus.

  • Für die Ticketsysteme zum Security Command Center-Ablauf: Kommentare, Änderungen am Ticketstatus, der zuständigen Person und der Ticketpriorität.

Intern synchronisieren die Jobs auch die Informationen über die neuesten Ergebnisstatus und -schweregrade.

Wenn der Fall geschlossen ist, wird das Ticket mit dem Status Resolved geschlossen. Wenn das Ticket in Jira oder ServiceNow geklärt wurde, lösen die Synchronisierungsjobs ebenfalls Security Command Center aus, um den Fall zu schließen.

So lösen Playbooks die Datensynchronisierung aus

Security Command Center verwendet standardmäßig keine Ticketing-Systeme wie Jira oder ServiceNow, um Tickets für Fälle zu erstellen. Es erfordert nur, dass das an Anfragen angehängte INTERNAL-SCC-TICKET-INFO-Tag zum Synchronisieren der Falldaten mit dem Job SCC Enterprise – SCC-Daten synchronisieren erforderlich ist.

Wenn Sie ein Ticketing-System einbinden, hängt das Playbook das erforderliche EXTERNAL-SCC-TICKET-INFO-Tag erst dann an einen Fall an, wenn das Playbook erfolgreich ein Ticket in Ihrem Ticketing-System erstellt hat. Damit Falldaten korrekt mit Ticketsystemen synchronisiert werden, aktivieren Sie zusätzlich zum Connector SCC Enterprise – Urgent Posture Findings Connector und dem Job SCC Enterprise – SCC-Daten synchronisieren entweder den Job Sync SCC-Jira Tickets oder den Job Sync SCC-ServiceNow Tickets. Weitere Informationen zum Aktivieren eines Connectors und Synchronisierungsjobs finden Sie im folgenden Abschnitt.

Synchronisierung für Fälle aktivieren

Die Synchronisierung von Falldaten ist standardmäßig deaktiviert.

Hinweise

Sie können Falldaten synchronisieren, nachdem Sie die Enterprise-Stufe von Security Command Center aktiviert haben.

Um die Synchronisierung von Fällen zu aktivieren, benötigen Sie eine der folgenden SOC-Rollen in der Security Operations-Konsole:

  • Administrator
  • Sicherheitslückenmanager
  • Threat Manager

Weitere Informationen zu SOC-Rollen in der Security Operations-Konsole und zu den für Nutzer erforderlichen Berechtigungen finden Sie unter Zugriff auf Funktionen in der Security Operations-Konsole steuern.

Synchronisierung für die Standardkonfiguration aktivieren

So aktivieren Sie die Synchronisierung:

  1. Gehen Sie in der Security Operations-Konsole zu Einstellungen > SOAR-Einstellungen > Datenaufnahme > Connectors.

  2. Wählen Sie SCC Enterprise – Urgent Posture Findings Connector aus.

  3. Stellen Sie die Ein/Aus-Schaltfläche auf „Ein“, um den Connector zu aktivieren.

  4. Klicken Sie auf Speichern.

  5. Klicken Sie in der Security Operations-Konsole auf Antwort > Job-Planer.

  6. Wählen Sie den Job SCC Enterprise – SCC-Daten synchronisieren aus.

  7. Aktivieren Sie den Job mit der Ein/Aus-Schaltfläche.

  8. Klicken Sie auf Save (Speichern), um die Konfiguration für einen Standardablauf (ohne Ticketing-System) abzuschließen.

Wenn Sie ein Ticketing-System wie Jira oder ServiceNow verwenden, fahren Sie mit dem folgenden Abschnitt fort.

Synchronisierung für Ticketsysteme aktivieren

Nach der Integration in Ticketing-Systeme aktivieren Sie die Synchronisierung zwischen Security Command Center Enterprise und Ihrem Ticketing-System. Führen Sie dazu die folgenden Schritte aus:

  1. Klicken Sie in der Security Operations-Konsole auf Antwort > Job-Planer.

  2. Wählen Sie den richtigen Synchronisierungsjob aus:

    • Wenn Sie die Integration mit Jira abgeschlossen haben, wählen Sie den Job Sync SCC-Jira Tickets (SCC-Jira-Tickets synchronisieren) aus.

    • Wenn Sie bei ServiceNow eingebunden sind, wählen Sie den Job Sync SCC-ServiceNow Tickets aus.

  3. Aktivieren Sie den ausgewählten Job mit der Ein/Aus-Schaltfläche.

  4. Klicken Sie auf Speichern.

Fehlerbehebung

In diesem Abschnitt werden Schritte zur Fehlerbehebung aufgeführt, die hilfreich sein können, wenn die folgenden Synchronisierungsprobleme in Security Command Center auftreten.

Die Anzahl der Fälle unterscheidet sich in der Security Operations Console und der Google Cloud Console

Es kann zu Abweichungen zwischen der Anzahl der Statusfälle kommen, die in der Security Operations Console und in der Google Cloud Console angezeigt werden. Dieses Problem kann auftreten, wenn der Synchronisierungsprozess noch nicht abgeschlossen ist, da für die erste Synchronisierung eine große Anzahl erstellter Fälle aufgenommen wurde. Warten Sie, bis die erste Synchronisierungsausführung abgeschlossen ist, und prüfen Sie dann die Zahlen noch einmal.

Kommentare zur Anfrage werden nicht mit Tickets synchronisiert

Wenn Sie ein Ticketing-System verwenden, kann es vorkommen, dass Fallkommentare nicht synchronisiert werden oder Änderungen im Zusammenhang mit Tickets nicht verfolgt und in Fallkommentaren nicht berücksichtigt werden. Dieses Problem kann auftreten, wenn nicht alle Synchronisierungsjobs aktiv sind. Neben dem Job SCC Enterprise – SCC-Daten synchronisieren müssen Sie entweder den Job Sync SCC-Jira Tickets oder Sync SCC-ServiceNow Tickets aktivieren. Weitere Informationen zum Aktivieren von Jobs finden Sie unter Synchronisierung für Fälle aktivieren.

Die Fallzeitstempel zeigen das beliebige Datum der Unix-Epoche an.

In der Google Cloud Console können in der Zusammenfassung eines Ergebnisses die Parameterwerte für die Aktualisierungszeit des externen Systems, Fall-SLA und Aktualisierungszeit als January 1, 1970 at 00:00:00 GMT+0000 angezeigt werden. Dieses Problem kann aus folgenden Gründen auftreten:

  • Bei einem der Synchronisierungsjobs wurde ein Fehler zurückgegeben.

    Ein Job kann einen Fehler zurückgeben, wenn die vom Job verwendeten Informationen ungültig sind oder eine fehlerhafte Konfiguration vorliegt. Dieser Fehler kann beispielsweise auftreten, wenn der Job den von Ihnen konfigurierten Wert EXTERNAL-SCC-TICKET-INFO nicht aktualisieren konnte oder wenn Sie das EXTERNAL-SCC-TICKET-INFO-Tag einem Fall hinzugefügt haben, für den noch kein Ticket vorhanden ist. Führen Sie die folgenden Schritte aus, um Details zu einem Fehler zu erhalten:

    1. Klicken Sie in der Security Operations-Konsole auf Antwort > Job-Planer.

    2. Wählen Sie einen Synchronisierungsjob aus.

    3. Prüfen Sie im Abschnitt Verlauf die Logs mit dem Jobstatus Fehlgeschlagen.

  • Sie verwenden ein benutzerdefiniertes Playbook, das keine Fälle synchronisiert.

    Achten Sie darauf, dass Ihr benutzerdefiniertes Playbook entweder den Block POSTURE - JIRA - CREATE TICKET oder den Block POSTURE - SNOW - CREATE TICKET mit den konfigurierten erforderlichen Parametern für die Synchronisierung enthält.

Daten zu Bedrohungsfällen werden nicht mit Ticketing-Systemen synchronisiert

Nur Fälle und Tickets für Sicherheitslücken, Fehlkonfigurationen und Verstöße gegen den Sicherheitsstatus werden automatisch synchronisiert. Fälle für Bedrohungen werden nicht automatisch synchronisiert.

Standardmäßig erstellt Security Command Center keine Tickets für Bedrohungen. Aus diesem Grund funktioniert die Synchronisierung möglicherweise nicht wie erwartet, auch wenn Sie die Playbooks zur Bedrohungsabwehr anpassen, um Tickets zu erstellen.

Nächste Schritte