Integra Security Command Center Enterprise con i sistemi di gestione dei ticket

Questo documento spiega come integrare il livello Enterprise di Security Command Center con i sistemi di gestione dei ticket dopo aver configurato la funzionalità di orchestrazione della sicurezza, di automazione e di risposta (SOAR) basata su Google Security Operations.

L'integrazione con i sistemi di gestione dei ticket è facoltativa e richiede la configurazione manuale. Se prevedi di utilizzare la configurazione predefinita di Security Command Center Enterprise, non è necessario eseguire questa procedura. Puoi integrare un sistema di vendita di biglietti in qualsiasi momento.

Panoramica

La configurazione predefinita di Security Command Center Enterprise consente di tenere traccia dei risultati utilizzando la console e le API. Se la tua organizzazione utilizza sistemi di gestione dei ticket per monitorare i problemi, esegui l'integrazione con Jira o ServiceNow dopo aver configurato l'istanza Google Security Operations.

Dopo aver ricevuto i risultati relativi alle risorse, il connettore SCC Enterprise - Urgent Posture Findings analizza e filtra i risultati durante l'importazione e li raggruppa in casi nuovi o esistenti, a seconda del tipo di risultato.

Se esegui l'integrazione con un sistema di gestione dei ticket, Security Command Center crea un nuovo ticket ogni volta che ne crea una nuova per i risultati. Ogni volta che una richiesta viene aggiornata, Security Command Center aggiorna automaticamente anche il ticket correlato.

Un singolo caso può contenere uno o più risultati. Security Command Center crea un ticket per ogni richiesta e ne sincronizza i contenuti e le informazioni con il ticket corrispondente per far sapere agli assegnatari dei ticket cosa correggere.

La sincronizzazione tra una richiesta e il relativo ticket funziona in entrambi i modi: se si verifica un aggiornamento in un caso, ad esempio una modifica dello stato o un nuovo commento, questo si riflette in un ticket e i dettagli del ticket vengono sincronizzati con l'arricchimento del sistema di gestione dei ticket in un caso.

Prima di iniziare

Prima di configurare Jira o ServiceNow, fornisci un indirizzo email valido per il parametro Proprietario di riserva in SCC Enterprise - Connettore Urgent Posture Findings e assicurati che questo indirizzo email sia assegnabile nel tuo sistema di gestione dei ticket.

Integrazione con Jira

Assicurati di completare tutti i passaggi di integrazione per sincronizzare gli aggiornamenti delle richieste di Google SecOps con problemi Jira e garantire il flusso del playbook corretto.

La priorità della richiesta si riflette nella gravità del problema di Jira.

Crea un nuovo progetto in Jira

Per creare un nuovo progetto in Jira per i problemi di Security Command Center Enterprise denominato SCC Enterprise Project (SCCE), esegui un'azione manuale nella richiesta. Puoi utilizzare qualsiasi richiesta esistente o simularne una. Per saperne di più sui casi di simulazione, consulta la pagina Simulare casi nella documentazione di Google SecOps.

Per creare un nuovo progetto Jira sono necessarie le credenziali a livello di amministratore Jira.

Per creare un nuovo progetto Jira:

1. Nella console operativa di sicurezza, vai a Richieste.
2. Seleziona una richiesta esistente o quella che hai simulato.
3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
4. Nel campo dell'azione manuale Cerca, inserisci Create SCC Enterprise.
5. Nei risultati di ricerca nell'integrazione di SCCEnterprise, seleziona l'azione Create SCC Enterprise Cloud Posture Ticket Type Jira. Si apre la finestra di dialogo.

6. Per configurare il parametro Root API, inserisci la radice API dell'istanza Jira, ad esempio https://YOUR_DOMAIN_NAME.atlassian.net

7. Per configurare il parametro Nome utente, inserisci il nome utente che utilizzi per accedere a Jira come amministratore.

8. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a Jira come amministratore.

9. Per configurare il parametro Token API, inserisci il token API dell'account amministratore Atlassian generato nella console Jira.

10. Fai clic su Execute (Esegui). Attendi il completamento dell'azione.

(Facoltativo) Configura il layout personalizzato dei problemi Jira

1. Accedi a Jira come amministratore.
2. Vai a Progetti > Progetto aziendale SCC (SCCE).
3. Modifica e riordina i campi dei problemi. Per maggiori dettagli sulla gestione dei campi relativi ai problemi, consulta Configurazione del layout dei campi relativi ai problemi nella documentazione di Jira.

Configura l'integrazione di Jira

1. Nella console operativa di sicurezza, vai a Risposta > Configurazione integrazioni.
2. Seleziona l'Ambiente predefinito.
3. Nel campo dell'integrazione Search, inserisci Jira. L'integrazione Jira restituisce come risultato di ricerca.
4. Fai clic su settings Configura istanza. Si apre la finestra di dialogo.

5. Per configurare il parametro Root API, inserisci la radice API dell'istanza Jira, ad esempio https://YOUR_DOMAIN_NAME.atlassian.net

6. Per configurare il parametro Username, inserisci il nome utente che utilizzi per accedere a Jira. Non utilizzare le tue credenziali amministrative.

7. Per configurare il parametro Token API, inserisci il token API dell'account Atlassian non amministratore generato nella console Jira.

8. Fai clic su Salva.

9. Per testare la configurazione, fai clic su Testa.

Abilita i risultati della postura con il playbook Jira

1. Nella console operativa di sicurezza, vai a Risposta > Playbook.
2. Nella barra di ricerca del Playbook, inserisci Generic.
3. Seleziona il playbook Posture Findings - Generic (Risultati posture - Generici). Questo playbook è abilitato per impostazione predefinita.
4. Attiva l'opzione per disabilitare il playbook.
5. Fai clic su Salva.
6. Nella barra di ricerca del Playbook, inserisci Jira.
7. Seleziona il playbook Posture Findings With Jira. Questo playbook è disabilitato per impostazione predefinita.
8. Attiva l'opzione di attivazione/disattivazione per abilitare il playbook.
9. Fai clic su Salva.

Integrazione con ServiceNow

Assicurati di completare tutti i passaggi di integrazione per sincronizzare gli aggiornamenti delle richieste Google SecOps con i ticket ServiceNow e verificare il flusso del playbook corretto.

Crea e configura il tipo di ticket personalizzato ServiceNow

Assicurati di creare e configurare il tipo di ticket personalizzato ServiceNow per attivare la scheda Attività nell'interfaccia utente di ServiceNow ed evitare di utilizzare il layout di ticket errato.

Crea tipo di ticket personalizzato ServiceNow

Per creare un tipo di ticket ServiceNow personalizzato sono necessarie le credenziali a livello di amministratore ServiceNow.

Per creare un tipo di biglietto personalizzato, segui questi passaggi:

1. Nella console operativa di sicurezza, vai a Richieste.
2. Seleziona una richiesta esistente o quella che hai simulato.
3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
4. Nel campo dell'azione manuale Cerca, inserisci Create SCC Enterprise.
5. Nei risultati di ricerca nell'integrazione di SCCEnterprise, seleziona l'azione Create SCC Enterprise Cloud Posture Ticket Type SNOW. Si apre la finestra di dialogo.

6. Per configurare il parametro Root API, inserisci la radice API dell'istanza di ServiceNow, ad esempio https://INSTANCE_NAME.service-now.com/api/now/v1/

7. Per configurare il parametro Nome utente, inserisci il nome utente che utilizzi per accedere a ServiceNow come amministratore.

8. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a ServiceNow come amministratore.

9. Per configurare il parametro Ruolo tabella, lascia il campo vuoto o fornisci un valore, se disponibile. Questo parametro accetta un solo valore del ruolo.

   Per impostazione predefinita, il campo Ruolo tabella è vuoto per creare un nuovo ruolo personalizzato in ServiceNow per gestire in modo specifico i ticket Security Command Center Enterprise. Solo gli utenti di ServiceNow a cui è stato concesso questo nuovo ruolo personalizzato hanno accesso ai ticket di Security Command Center Enterprise.

   Se disponi già di un ruolo dedicato per gli utenti che gestiscono gli incidenti in ServiceNow e vuoi utilizzarlo per gestire i risultati Enterprise di Security Command Center, inserisci il nome del ruolo ServiceNow esistente nel campo Ruolo tabella. Ad esempio, se fornisci il valore incident_handler_role esistente, tutti gli utenti a cui è stato concesso il ruolo incident_handler_role in ServiceNow possono accedere ai ticket Security Command Center Enterprise.

10. Fai clic su Execute (Esegui). Attendi il completamento dell'azione.

Configurare il layout dei ticket personalizzati ServiceNow

Per assicurarti che l'interfaccia utente di ServiceNow mostri accuratamente gli aggiornamenti relativi alle richieste e ai commenti alle richieste, completa i seguenti passaggi:

1. Nel tuo account amministratore di ServiceNow, vai alla scheda Tutti.
2. Nel campo Cerca, inserisci SCC Enterprise.
3. Nell'elenco a discesa, seleziona SCC Enterprise Cloud Posture Ticket ed esegui una ricerca.
4. Seleziona il biglietto per il test di posture. Si apre la pagina di layout del ticket ServiceNow.
5. Nella pagina del layout del ticket ServiceNow, vai ad Azioni aggiuntive > Configura > Layout modulo.
6. Vai alla sezione Visualizzazione e sezione modulo.
7. Nel campo Sezione, seleziona u_scc_enterprise_cloud_posture_ticket.
8. Fai clic su Salva. Dopo l'aggiornamento della pagina, il modello di ticket ha campi distribuiti in due colonne.
9. Vai ad Azioni aggiuntive > Configura > Layout modulo.
10. Vai alla sezione Visualizzazione e sezione modulo.
11. Nel campo Sezione, seleziona Riepilogo.
12. Fai clic su Salva. Dopo l'aggiornamento della pagina, il modello di ticket ha la nuova struttura di Riepilogo.

Configura l'integrazione ServiceNow

1. Nella console operativa di sicurezza, vai a Risposta > Configurazione delle integrazioni.
2. Seleziona l'Ambiente predefinito.
3. Nel campo dell'integrazione Search, inserisci ServiceNow. L'integrazione ServiceNow restituisce un risultato di ricerca.
4. Fai clic su settings Configura istanza. Si apre la finestra di dialogo.

5. Per configurare il parametro Root API, inserisci la radice API dell'istanza di ServiceNow, ad esempio https://INSTANCE_NAME.service-now.com/api/now/v1/

6. Per configurare il parametro Nome utente, inserisci il nome utente che utilizzi per accedere a ServiceNow. Non utilizzare le tue credenziali amministrative.

7. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a ServiceNow. Non utilizzare le tue credenziali amministrative.

8. Fai clic su Salva.

9. Per testare la configurazione, fai clic su Testa.

Abilita i risultati della postura con la guida pratica SNOW

1. Nella console operativa di sicurezza, vai a Risposta > Playbook.
2. Nella barra di ricerca del Playbook, inserisci Generic.
3. Seleziona il playbook Posture Findings - Generic (Risultati posture - Generici). Questo playbook è abilitato per impostazione predefinita.
4. Attiva l'opzione per disabilitare il playbook.
5. Fai clic su Salva.
6. Nella barra di ricerca del Playbook, inserisci SNOW.
7. Seleziona la guida pratica Risultati posture con SNOW. Questo playbook è disabilitato per impostazione predefinita.
8. Attiva l'opzione di attivazione/disattivazione per abilitare il playbook.
9. Fai clic su Salva.

Attiva la sincronizzazione dei dati delle richieste

Security Command Center sincronizza automaticamente le informazioni tra una richiesta e il ticket corrispondente, in modo che le informazioni in una richiesta e nel relativo ticket, come priorità, stato e commenti, siano sempre le stesse.

Per sincronizzare i dati dei casi, Security Command Center utilizza processi automatici interni chiamati job di sincronizzazione. I job Sync SCC-Jira Tickets e Sync-SCC-ServiceNow Tickets sincronizzano i dati dei casi tra Security Command Center e i sistemi di gestione dei ticket integrati. Questi due job sono disabilitati per impostazione predefinita e vengono eseguiti automaticamente dopo l'abilitazione.

Quando la richiesta viene chiusa, viene chiusa con lo stato Resolved. Una volta risolto il ticket in Jira o ServiceNow, i job di sincronizzazione attivano Security Command Center per chiudere anche la richiesta.

Prima di iniziare

Per abilitare la sincronizzazione delle richieste, devi disporre di uno dei seguenti ruoli SOC nella console operativa di sicurezza:

• Amministratore
• Gestore delle vulnerabilità
• Responsabile delle minacce

Per ulteriori dettagli sui ruoli SOC nella console operativa di sicurezza e sulle autorizzazioni necessarie per gli utenti, consulta Controllare l'accesso alle funzionalità nella console operativa di sicurezza.

Attivare la sincronizzazione per i sistemi di gestione dei ticket

Per assicurarti che le informazioni nelle richieste e nei ticket vengano sincronizzate automaticamente, abilita il job di sincronizzazione pertinente per il sistema di gestione dei ticket con cui hai eseguito l'integrazione.

Per abilitare il job di sincronizzazione, completa i seguenti passaggi:

1. Nella console operativa di sicurezza, vai a Risposta > Pianificazione dei job.

2. Scegli il job di sincronizzazione corretto:

   • Se hai eseguito l'integrazione con Jira, seleziona il job Sync SCC-Jira Tickets.

   • Se hai eseguito l'integrazione con ServiceNow, seleziona il job Sync SCC-ServiceNow Tickets.

3. Usa il pulsante di attivazione/disattivazione per abilitare il job selezionato.

4. Fai clic su Salva.

Passaggi successivi

• Scopri come determinare la proprietà per i risultati relativi alla postura.

• Scopri come raggruppare i risultati nelle richieste.

• Scopri come assegnare i ticket in base ai casi di postura.