Attiva la sincronizzazione dei dati della richiesta

Questo documento spiega cos'è la sincronizzazione dei dati dei casi e come abilitarla nel livello Enterprise di Security Command Center.

Le funzionalità relative a richieste, connettori, playbook e job si basano su Google Security Operations.

Panoramica

Dopo aver attivato la sincronizzazione dei dati delle richieste, le richieste e i ticket corrispondenti vengono aggiornati. Il processo di sincronizzazione consente di tenere traccia degli aggiornamenti apportati a richieste e ticket, ad esempio commenti e modifica di stato, priorità e assegnatario.

I job di sincronizzazione sono processi automatici interni che sincronizzano i dati delle richieste all'interno di Security Command Center e tra Security Command Center e i sistemi di gestione dei ticket integrati. Questi job sono disabilitati per impostazione predefinita e vengono eseguiti automaticamente dopo essere stati abilitati. Per ulteriori dettagli sull'abilitazione dei job, consulta Abilitare la sincronizzazione per casi.

I seguenti job sono responsabili del processo di sincronizzazione:

  • SCC Enterprise - Sincronizzazione dei dati SCC
  • Sincronizzare i ticket SCC-Jira
  • Sincronizzazione dei ticket SCC-ServiceNow

Questi job dipendono dalle informazioni nei playbook per mantenere le richieste e i ticket sincronizzati tra loro. I playbook predefiniti disponibili in Security Command Center forniscono i valori richiesti in un tag specifico e li collegano alla richiesta. Se scegli di creare un playbook personalizzato, assicurati che contenga un passaggio per creare e collegare un tag alla richiesta.

Come funzionano i job di sincronizzazione

Il job SCC Enterprise - Sincronizzazione dei dati SCC controlla lo stato dei risultati in casi specifici. Per impostazione predefinita, se tutti i risultati di una richiesta sono inattivi, il job di sincronizzazione la chiude automaticamente. Se almeno un risultato in una richiesta è attivo, il sistema allega un commento alla richiesta e visualizza lo stato del risultato nel widget della richiesta SCC - Stato dei risultati.

I job Sync SCC-Jira Tickets e Sync SCC-ServiceNow Tickets sono bidirezionali per tracciare e sincronizzare i seguenti parametri:

  • Per il flusso da Security Command Center ai sistemi di gestione dei ticket: commenti, priorità delle richieste (mappata alla gravità del ticket in Jira o ServiceNow) e stato della richiesta.

  • Per i sistemi di gestione dei ticket verso il flusso di Security Command Center: commenti, modifiche allo stato del ticket, l'assegnatario e la priorità del ticket.

Internamente, i job sincronizzano anche le informazioni sugli stati e sulle gravità degli ultimi risultati.

Quando la richiesta è chiusa, il ticket viene chiuso con lo stato Resolved. Quando il ticket viene risolto in Jira o ServiceNow, i job di sincronizzazione attivano Security Command Center per chiudere anche la richiesta.

In che modo i playbook attivano la sincronizzazione dei dati

Per impostazione predefinita, Security Command Center non utilizza sistemi di gestione delle richieste come Jira o ServiceNow per creare ticket per le richieste e richiede solo che il tag INTERNAL-SCC-TICKET-INFO associato alle richieste sincronizzi i dati delle richieste utilizzando il job SCC Enterprise - Sync SCC Data.

Se esegui l'integrazione con un sistema di gestione dei ticket, il playbook collega il tag EXTERNAL-SCC-TICKET-INFO richiesto a una richiesta solo dopo che il playbook ha creato correttamente un ticket nel sistema di gestione dei ticket. Per sincronizzare correttamente i dati delle richieste con i sistemi di gestione dei ticket, oltre al connettore SCC Enterprise - Urgent Posture Findings Connector e al job SCC Enterprise - Sync SCC Data, abilita il job Sync SCC-Jira Tickets o Sync SCC-ServiceNow Tickets. Per maggiori dettagli su come abilitare un connettore e i job di sincronizzazione, consulta la sezione seguente.

Attiva la sincronizzazione per le richieste

Per impostazione predefinita, la sincronizzazione dei dati sulla richiesta è disattivata.

Prima di iniziare

Puoi sincronizzare i dati delle richieste dopo aver attivato il livello Enterprise di Security Command Center.

Per abilitare la sincronizzazione dei casi, devi disporre di uno dei seguenti ruoli SOC nella Security Operations Console:

  • Amministratore
  • Gestore delle vulnerabilità
  • Gestore delle minacce

Per ulteriori dettagli sui ruoli SOC in Security Operations Console e sulle autorizzazioni richieste per gli utenti, consulta Controllare l'accesso alle funzionalità in Security Operations Console.

Attiva la sincronizzazione per la configurazione predefinita

Per attivare la sincronizzazione, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Impostazioni > Importazione > Connettori.

  2. Seleziona SCC Enterprise - Urgent Posture Findings Connector.

  3. Attiva l'opzione di attivazione/disattivazione per attivare il connettore.

  4. Fai clic su Salva.

  5. Nella Security Operations Console, vai a Risposta > Job Scheduler.

  6. Seleziona il job SCC Enterprise - Sincronizzazione dati SCC.

  7. Attiva il pulsante di attivazione/disattivazione per abilitare il job.

  8. Fai clic su Salva per completare la configurazione di un flusso predefinito (senza sistema di ticket).

Se utilizzi un sistema di gestione dei ticket come Jira o ServiceNow, vai alla sezione seguente.

Attiva la sincronizzazione per i sistemi di gestione dei ticket

Dopo aver eseguito l'integrazione con i sistemi di gestione dei ticket, abilita la sincronizzazione tra Security Command Center Enterprise e il tuo sistema di gestione dei ticket, completando i seguenti passaggi:

  1. Nella Security Operations Console, vai a Risposta > Job Scheduler.

  2. Scegli il job di sincronizzazione corretto:

    • Se hai eseguito l'integrazione con Jira, seleziona il job Sync SCC-Jira Tickets.

    • Se hai eseguito l'integrazione con ServiceNow, seleziona il job Sync SCC-ServiceNow Tickets.

  3. Attiva il pulsante di attivazione/disattivazione per abilitare il job selezionato.

  4. Fai clic su Salva.

Risoluzione dei problemi

Questa sezione elenca i passaggi per la risoluzione dei problemi che potrebbero essere utili in caso di problemi di sincronizzazione riportati di seguito in Security Command Center.

Il numero di richieste varia nella console Security Operations Console e nella console Google Cloud

Puoi riscontrare una mancata corrispondenza tra il numero di richieste di postura visualizzato nella console Security Operations Console e nella console Google Cloud. Questo problema può verificarsi quando il processo di sincronizzazione non è ancora stato completato a causa dell'importazione di un numero elevato di richieste create per la prima esecuzione di sincronizzazione. Attendi il completamento dell'esecuzione iniziale della sincronizzazione, quindi controlla di nuovo i numeri.

I commenti delle richieste non vengono sincronizzati con le richieste di assistenza

Se utilizzi un sistema di gestione delle richieste di assistenza, potresti riscontrare casi in cui i commenti delle richieste non vengono sincronizzati o le modifiche relative ai ticket non vengono monitorate e riportate nei commenti. Questo problema può verificarsi quando non tutti i job di sincronizzazione sono attivi. Oltre al job SCC Enterprise - Sincronizzazione dei dati SCC, assicurati di abilitare il job Sync SCC-Jira Tickets o Sync SCC-ServiceNow Tickets. Per maggiori dettagli su come abilitare i job, consulta Abilitare la sincronizzazione per casi.

I timestamp delle richieste mostrano la data arbitraria dell'epoca Unix

Nella console Google Cloud, il riepilogo di un risultato può mostrare i valori dei parametri Ora di aggiornamento del sistema esterno, SLA (accordo sul livello del servizio) della richiesta e Ora di aggiornamento come January 1, 1970 at 00:00:00 GMT+0000. Questo problema può verificarsi per i seguenti motivi:

  • Uno dei job di sincronizzazione ha restituito un errore.

    Un job può restituire un errore quando le informazioni utilizzate dal job non sono valide o è presente una configurazione errata. Questo errore può verificarsi, ad esempio, quando il job non è riuscito ad aggiornare il valore EXTERNAL-SCC-TICKET-INFO che hai configurato o hai aggiunto il tag EXTERNAL-SCC-TICKET-INFO a una richiesta che non ha ancora un ticket. Per ottenere i dettagli di un errore, completa i seguenti passaggi:

    1. Nella Security Operations Console, vai a Risposta > Job Scheduler.

    2. Seleziona un processo di sincronizzazione.

    3. Nella sezione Cronologia, controlla i log con lo stato del job Non riuscito.

  • Utilizzi un playbook personalizzato che non sincronizza le richieste.

    Assicurati che il playbook personalizzato contenga il blocco POSTURE - JIRA - CREATE TICKET o POSTURE - SNOW - CREATE TICKET con i parametri richiesti configurati per il funzionamento della sincronizzazione.

I dati sui casi di minaccia non sono sincronizzati con i sistemi di gestione delle richieste di assistenza

Vengono sincronizzati automaticamente solo i casi e i ticket per vulnerabilità, configurazioni errate e violazioni della postura. I casi di minacce non vengono sincronizzati automaticamente.

Per impostazione predefinita, Security Command Center non crea ticket per le minacce. Ecco perché anche quando personalizzi i playbook di risposta alle minacce per creare ticket, la sincronizzazione potrebbe non funzionare come previsto.

Passaggi successivi