Mengaktifkan sinkronisasi data kasus

Dokumen ini menjelaskan kasus apa yang dimaksud dengan sinkronisasi data dan cara mengaktifkannya di tingkat Enterprise pada Security Command Center.

Kasus, konektor, playbook, dan kemampuan tugas didukung oleh Google Security Operations.

Ringkasan

Setelah Anda mengaktifkan sinkronisasi data kasus, kasus dan tiket yang sesuai akan terus diperbarui. Proses sinkronisasi memungkinkan Anda melacak pembaruan yang dibuat untuk kasus dan tiket, seperti komentar serta perubahan status, prioritas, dan penerima.

Tugas sinkronisasi adalah proses otomatis internal yang menyinkronkan data kasus dalam Security Command Center dan antara Security Command Center dan sistem tiket terintegrasi. Tugas ini dinonaktifkan secara default, dan berjalan secara otomatis setelah Anda mengaktifkannya. Untuk detail selengkapnya tentang mengaktifkan tugas, lihat Mengaktifkan sinkronisasi untuk kasus.

Tugas berikut bertanggung jawab atas proses sinkronisasi:

  • SCC Enterprise - Sinkronkan Data SCC
  • Sinkronkan Tiket SCC-Jira
  • Sinkronkan Tiket SCC-ServiceNow

Tugas ini bergantung pada informasi dalam playbook untuk menjaga kasus dan tiket tetap sinkron satu sama lain. Playbook default yang tersedia di Security Command Center memberikan nilai yang diperlukan dalam tag tertentu dan melampirkannya ke kasus tersebut. Jika Anda memilih untuk membuat playbook kustom, pastikan playbook tersebut berisi langkah untuk membuat dan melampirkan tag ke kasus tersebut.

Cara kerja tugas sinkronisasi

Tugas SCC Enterprise - Sync SCC Data memeriksa status temuan dalam kasus. Secara default, jika semua temuan dalam sebuah kasus tidak aktif, tugas sinkronisasi akan menutup kasus secara otomatis. Jika setidaknya ada satu temuan dalam sebuah kasus yang aktif, sistem akan melampirkan komentar ke kasus tersebut dan menampilkan status temuan di widget kasus SCC - Findings State.

Tugas Sync SCC-Jira Tickets dan Sync SCC-ServiceNow Tickets bersifat dua arah untuk melacak dan menyinkronkan parameter berikut:

  • Untuk alur sistem tiket Security Command Center: komentar, prioritas kasus (dipetakan ke tingkat keparahan tiket di Jira atau ServiceNow), dan status kasus.

  • Untuk sistem tiket ke alur Security Command Center: komentar, perubahan pada status tiket, penerima tugas, dan prioritas tiket.

Secara internal, tugas juga menyinkronkan informasi tentang status dan tingkat keparahan temuan terbaru.

Saat kasus ditutup, tiket akan ditutup dengan status Resolved. Setelah tiket diselesaikan di Jira atau ServiceNow, tugas sinkronisasi akan memicu Security Command Center untuk menutup kasus juga.

Cara playbook memicu sinkronisasi data

Secara default, Security Command Center tidak menggunakan sistem tiket seperti Jira atau ServiceNow untuk membuat tiket untuk kasus dan hanya memerlukan tag INTERNAL-SCC-TICKET-INFO yang dilampirkan ke kasus untuk menyinkronkan data kasus menggunakan tugas SCC Enterprise - Sinkronisasi Data SCC.

Jika Anda berintegrasi dengan sistem tiket, playbook akan melampirkan tag EXTERNAL-SCC-TICKET-INFO yang diperlukan ke kasus hanya setelah playbook berhasil membuat tiket di sistem tiket Anda. Untuk menyinkronkan data kasus dengan sistem tiket tiket dengan benar, selain konektor SCC Enterprise - Urgent Posture Findings Connector dan tugas SCC Enterprise - Sync SCC Data, aktifkan Sync SCC-Jira Tickets atau tugas Sync SCC-ServiceNow Tickets. Untuk detail selengkapnya tentang cara mengaktifkan tugas konektor dan sinkronisasi, lihat bagian berikut.

Mengaktifkan sinkronisasi untuk kasus

Secara default, sinkronisasi data kasus dinonaktifkan.

Sebelum memulai

Anda dapat menyinkronkan data kasus setelah mengaktifkan tingkat Security Command Center Enterprise.

Untuk mengaktifkan sinkronisasi kasus, Anda harus diberi salah satu peran SOC berikut di konsol Security Operations:

  • Administrator
  • Pengelola Kerentanan
  • Pengelola Ancaman

Untuk detail selengkapnya tentang peran SOC di konsol Security Operations dan izin yang diperlukan bagi pengguna, lihat Mengontrol akses ke fitur di konsol Security Operations.

Mengaktifkan sinkronisasi untuk konfigurasi default

Untuk mengaktifkan sinkronisasi, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Settings > SOAR Settings > Penyerapan > Connectors.

  2. Pilih SCC Enterprise - Urgent Posture Findings Connector.

  3. Alihkan tombol untuk mengaktifkan konektor.

  4. Klik Simpan.

  5. Di konsol Security Operations, buka Response > Job Scheduler.

  6. Pilih tugas SCC Enterprise - Sync SCC Data.

  7. Alihkan tombol untuk mengaktifkan tugas.

  8. Klik Save untuk menyelesaikan konfigurasi alur default (tanpa sistem tiket).

Jika Anda menggunakan sistem tiket seperti Jira atau ServiceNow, lanjutkan ke bagian berikut.

Mengaktifkan sinkronisasi untuk sistem tiket

Setelah Anda berintegrasi dengan sistem tiket, aktifkan sinkronisasi antara Security Command Center Enterprise dan sistem tiket dengan menyelesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Response > Job Scheduler.

  2. Pilih tugas sinkronisasi yang benar:

    • Jika Anda terintegrasi dengan Jira, pilih tugas Sync SCC-Jira Tickets.

    • Jika Anda berintegrasi dengan ServiceNow, pilih tugas Sync SCC-ServiceNow Tickets.

  3. Tekan tombol untuk mengaktifkan tugas yang dipilih.

  4. Klik Simpan.

Pemecahan masalah

Bagian ini mencantumkan langkah-langkah pemecahan masalah yang mungkin berguna jika Anda mengalami masalah sinkronisasi berikut di Security Command Center.

Jumlah kasus berbeda di konsol Security Operations dan Konsol Google Cloud

Anda dapat mengalami ketidakcocokan antara jumlah kasus postur yang Anda lihat di konsol Security Operations dan Konsol Google Cloud. Masalah ini dapat muncul ketika proses sinkronisasi belum selesai karena menyerap sejumlah besar kasus yang dibuat untuk proses sinkronisasi pertama. Tunggu proses sinkronisasi awal selesai, lalu periksa lagi jumlahnya.

Komentar kasus tidak disinkronkan dengan tiket

Jika menggunakan sistem tiket, Anda mungkin mengalami kasus saat komentar kasus tidak disinkronkan atau perubahan yang terkait dengan tiket tidak dilacak dan ditampilkan jika ada komentar. Masalah ini dapat terjadi jika tidak semua tugas sinkronisasi aktif. Selain tugas SCC Enterprise - Sync SCC Data, pastikan Anda mengaktifkan tugas Sync SCC-Jira Tickets atau Sync SCC-ServiceNow Tickets. Untuk detail selengkapnya tentang cara mengaktifkan tugas, lihat Mengaktifkan sinkronisasi untuk kasus.

Stempel waktu kasus menampilkan tanggal arbitrer epoch Unix

Di Konsol Google Cloud, ringkasan temuan dapat menampilkan nilai parameter External system update time, Case SLA, dan Update time sebagai January 1, 1970 at 00:00:00 GMT+0000. Masalah ini dapat terjadi karena alasan berikut:

  • Salah satu tugas sinkronisasi menampilkan error.

    Tugas dapat menampilkan error jika informasi yang digunakan oleh tugas tidak valid atau terjadi kesalahan konfigurasi. Error ini dapat terjadi, misalnya, saat tugas tidak dapat memperbarui nilai EXTERNAL-SCC-TICKET-INFO yang Anda konfigurasi atau Anda menambahkan tag EXTERNAL-SCC-TICKET-INFO ke kasus yang belum memiliki tiket. Untuk mendapatkan detail tentang error, selesaikan langkah-langkah berikut:

    1. Di konsol Security Operations, buka Response > Job Scheduler.

    2. Pilih tugas sinkronisasi.

    3. Di bagian History, periksa log dengan status tugas Failed.

  • Anda menggunakan playbook kustom yang tidak menyinkronkan kasus.

    Pastikan playbook kustom Anda berisi blok POSTURE - JIRA - CREATE TICKET atau blok POSTURE - SNOW - CREATE TICKET dengan parameter yang diperlukan agar sinkronisasi dapat berfungsi.

Data kasus ancaman tidak disinkronkan dengan sistem tiket

Hanya kasus dan tiket untuk kerentanan, kesalahan konfigurasi, dan pelanggaran postur yang akan otomatis disinkronkan. Kasus untuk ancaman tidak disinkronkan secara otomatis.

Secara default, Security Command Center tidak membuat tiket untuk ancaman. Itulah sebabnya, meskipun Anda menyesuaikan playbook respons ancaman untuk membuat tiket, sinkronisasinya mungkin tidak berfungsi seperti yang diharapkan.

Langkah selanjutnya