SCC Enterprise - Cloud Orchestration and Remediation 用途的 2024 年 12 月 18 日更新現已推出。請盡快更新用途。
本使用案例提供 Security Command Center Enterprise 級別安全營運功能的最新資訊。如要套用更新,請按照本頁的程序操作。
更新程序包含下列高階步驟:
- 停用連接器並刪除特定現有劇本,為系統更新做好準備。
- 安裝最新版 SCC Enterprise - Cloud Orchestration and Remediation 用途。
- 驗證安裝作業,並執行更新後的應對手冊。
這些步驟是在「設定」> SOAR 設定」 Security Operations 控制台頁面中執行。
確認您具備必要角色
如要完成這項程序,您必須在 Security Operations 控制台中獲派下列任一 SOC 角色:
- 管理員
- 安全漏洞管理員
- 威脅管理員
如要進一步瞭解使用者存取 Security Operations 控制台頁面所需的 SOC 角色和權限,請參閱「控管 Security Operations 控制台頁面中功能的存取權」。
準備更新系統
更新用途前,請先停用 SCC Enterprise - Urgent Posture Findings Connector,並刪除目前用途版本提供的劇本。
停用連接器
為避免快訊沒有附加應對手冊,請先停用 SCC Enterprise - Urgent Posture Findings Connector 連接器,再刪除應對手冊。更新並啟用連接器後,Security Command Center 會擷取連接器停用時收集的發現項目。
如要停用連結器,請完成下列步驟:
- 在 Security Operations 控制台導覽中,依序前往「設定」>「SOAR 設定」>「擷取」>「連線器」。
- 在「SCCEnterprise」下方,選取「SCC Enterprise - Urgent Posture Findings Connector」。
- 切換切換鈕即可停用連接器。
- 按一下 [儲存]。
刪除應對手冊
為避免應對手冊重複,請刪除目前使用案例版本中使用的預設應對手冊。在升級用途前刪除劇本,不會對案件管理造成影響。
如要刪除預設劇本,請完成下列步驟:
在 Security Operations 控制台導覽中,依序前往「Response」>「Playbooks」。 根據預設,下拉式篩選器會設為「顯示全部」。
選取「Siemplify Use Cases」資料夾。這個資料夾包含下列預設劇本:
- AWS 威脅回應劇本
- GCP 威脅回應劇本
- IAM 推薦功能回應
- 防護機制發現項目 - 一般
- 資安態勢發現項目 - 一般 - VM 管理員
- Jira 防護機制發現項目
- 透過 ServiceNow 取得姿勢發現
- Google Cloud - Execution - Cryptomining
- Google Cloud - Execution - Binary or Library Loaded Executed
- Google Cloud - Execution - Malicious URL Script or Shell Process
- Google Cloud - 持續性 - 可疑行為
- Google Cloud - Persistence - IAM Anomalous Grant
- 防護機制 - 有害組合教戰手冊
- 預先發布版 - Azure 威脅回應教戰手冊
在「劇本」頁面導覽中,按一下「編輯」
即可選取多個項目。在「Siemplify Use Cases」旁,按一下「done_all」done_all「Select all」,選取資料夾中的所有劇本和區塊。
在「劇本」頁面導覽中,依序按一下「清單」選單 >「刪除」。系統會顯示視窗,要求您確認或取消刪除所選劇本。
按一下「確認」。
現在可以更新用途版本。
安裝 Security Command Center Enterprise 用途
如要安裝最新版 SCC Enterprise 用途,請更新至最新版本,並確認用途中提供的所有整合項目都是最新版本。
安裝最新用途
如要安裝最新版本的 SCC Enterprise - Cloud Orchestration and Remediation 用例,請完成下列步驟:
- 在 Security Operations 控制台導覽中,依序前往「Marketplace」>「Use Cases」。
- 按一下篩選器圖示
,開啟「依類別篩選」對話方塊。 - 在「依類別篩選」對話方塊中輸入
SCC Enterprise。用途會顯示在「Use Cases」部分。 在「SCC Enterprise - Cloud Orchestration and Remediation」(SCC Enterprise - 雲端協調與修復) 用例的說明中,檢查是否有日期。
- 如果日期早於 2024 年 7 月 10 日,或說明中沒有日期,請刪除用途。系統會自動以最新用途取代已刪除的用途。
如果 SCC Enterprise - Cloud Orchestration and Remediation 用例中的日期為 2024 年 7 月 10 日或之後,請完成下列步驟,確認已安裝最新用例中的劇本:
- 按一下所需用途,開啟安裝精靈。
- 展開「劇本」類別,並記下任何新劇本或更新的劇本。
- 在 Security Operations 控制台的「回應」>「劇本」頁面中,搜尋新的或更新的劇本。如果找到新的或更新的劇本,表示已完成安裝用途。
如要完成安裝,請按一下「SCC Enterprise – Cloud Orchestration and Remediation」用例,然後按照安裝精靈中的指示操作。
套用並驗證新用途的設定
您必須驗證最新用途中包含的各項功能是否已正確更新。部分功能需要手動套用新用途的更新。
驗證用途中的整合版本
每週都會推出新版整合服務,並納入使用案例。請盡快將整合功能更新至最新版本。
新版整合服務導入了多項更新,包括但不限於修正錯誤、新增小工具和動作、變更現有小工具和動作、強化快訊處理機制,以及改善偵測處理邏輯和工作流程對應。
如要套用整合的更新,請完成下列步驟:
- 在 Security Operations 控制台導覽中,依序前往「Marketplace」>「Integrations」。
- 在「類型」欄位中,選取「所有整合」。
- 在「狀態」欄位中,選取「可升級」。系統會顯示所有需要升級的整合服務。
- 如要升級整合,請在整合資訊卡中按一下「升級至版本」
VERSION。 - 如果出現「正在更新」INTEGRATION對話方塊,請按一下「確認」。
- 如果出現「確認」對話方塊,請按一下「核准」。
- 在「Confirm Overwrite Mapping」對話方塊中,選取「Install the new ontology configuration and override the existing one」,然後按一下「Confirm」。
您必須升級 SCC Enterprise 整合,並為所有升級的整合項目安裝新的本體設定。
設定 Cloud Storage 整合
如要修正公開 bucket ACL 偵測結果,SCC Enterprise - Cloud Orchestration and Remediation 用途會包含額外的整合功能,也就是 Cloud Storage 整合功能。
如要讓劇本擴充及修正 PUBLIC BUCKET ACL 發現項目類型,請完成下列步驟,設定 Cloud Storage 整合:
- 設定整合參數。
- 啟用應對手冊的公開值區補救措施。
設定整合參數
如要設定 Cloud Storage 整合參數,請完成下列步驟:
- 在 Security Operations 控制台導覽中,依序前往「Marketplace」>「Integrations」。
- 在「搜尋」欄位中輸入
Storage。系統會顯示 Cloud Storage 整合資訊卡。 - 在整合資訊卡上,按一下「設定」。系統會開啟設定對話方塊。
- 設定「Workload Identity 電子郵件」、「專案 ID」和「配額專案 ID」參數。您可以從任何其他 Google Cloud 整合服務 (例如 Cloud Asset Inventory 整合服務) 複製參數值。
- 按一下 [儲存]。
- 按一下「測試」,測試設定。
啟用應對手冊的公開 bucket 修復功能
如要為安全狀態發現事項劇本啟用公開 bucket 補救措施,請參閱「啟用公開 bucket 補救措施」。
更新案件檢視畫面小工具
- 在 Security Operations 控制台導覽中,依序前往「Settings」>「SOAR Settings」>「Case Data」>「Views」。
- 選取「預設案件檢視畫面」。
- 選取「預先定義」分頁標籤。
將「預先定義」分頁中的小工具拖曳至「預設案件檢視」,建議順序如下:
- 案件摘要
- 有害組合攻擊路徑
- 發現項目
- AI 偵查/Gemini 摘要
- 發現項目摘要
- SCC - 發現項目狀態
- 受影響的資產
- 票券資訊
- 待輸入的動作
- 實體圖表
- 實體的醒目顯示欄位
按一下 [Save View] (儲存視圖)。
驗證小工具
為確保取得正確資訊,請確認下列小工具包含正確的狀況:
- 有害組合攻擊路徑
- 發現項目
- 實體圖表
- AI 偵查/Gemini 摘要
- 發現項目摘要
- 受影響的資源
- SCC - 發現項目狀態
- 受影響的資產
- 受影響的 AWS 資產
如要驗證小工具,請完成下列步驟:
在 Security Operations 控制台導覽中,依序前往「Settings」>「SOAR Settings」>「Case Data」>「Views」。
選取「預設案件檢視畫面」。
在「有害組合攻擊路徑」和「發現項目」小工具中,按一下「設定」「設定」。
在「進階設定」下方的「條件」部分,條件應如下所示:
[Case.Tags] () Toxic Combination。如果不是,請更新條件,然後按一下「儲存」。如要設定「實體圖表」和「AI 調查/Gemini 摘要」小工具,請按一下「設定」「設定」。
在「進階設定」下方的「條件」部分,條件應如下所示:
[Case.Tags] !() Toxic Combination。 如果不是,請更新條件,然後按一下「儲存」。如要設定「發現摘要」小工具,請按一下「設定」「設定」。
在「進階設定」下方的「條件」部分,條件應如下所示:
[Case.Tags] () SCC-TICKET-INFO[Case.Tags] !() Toxic Combination[Case.Tags] !() CIEM[Event.parentDisplayName] !() VM Manager
如果不是,請更新條件,然後按一下「儲存」。
在「受影響的資源」小工具中,按一下「設定」設定。
在「進階設定」下方的「條件」部分,條件應如下所示:
[Case.Tags] () Toxic Combination。 如果不是,請更新條件,然後按一下「儲存」。在「SCC - Finding State」小工具中,按一下「Delete」。確認對話方塊開啟後,按一下「是」。
如要安裝為最新用途版本設定的「SCC - 發現項目狀態」小工具,請將「SCC - 發現項目狀態」小工具從「預先定義」分頁拖曳至「預設案件檢視畫面」。
在「受影響的資產」小工具中,按一下「刪除」。確認對話方塊開啟後,按一下「是」。
如要安裝為最新使用案例版本設定的「受影響的資產」小工具,請將「受影響的資產」小工具從「預先定義」分頁拖曳至「預設案件檢視畫面」。
在「受影響的 AWS 資產」小工具中,按一下「刪除」。確認對話方塊開啟後,按一下「是」。
按一下 [Save View] (儲存視圖)。
啟用應對手冊
如要啟用劇本來處理安全性弱點和錯誤設定,請完成下列步驟:
- 在 Security Operations 控制台導覽中,依序前往「Response」>「Playbooks」。
選取「Siemplify Use Cases」資料夾。
如果沒有整合票務系統,請確保已啟用「Posture Findings - Generic」。您可以視需要啟用「Posture Findings - Generic - VM Manager」劇本。
如果已與票務系統整合,請完成下列步驟:
- 選取「Posture Findings – Generic」Playbook。
- 將切換鈕設為關閉即可停用。
- 按一下 [儲存]。
- 選取「Posture Findings - Generic - VM Manager」Playbook。
- 將切換鈕設為關閉即可停用。
- 按一下 [儲存]。
- 如果已與 Jira 整合,請選取「Posture Findings With Jira」劇本。
- 切換切換鈕即可啟用劇本。
- 按一下 [儲存]。
- 如果您已與 ServiceNow 整合,請選取「Posture Findings with SNOW」(透過 SNOW 找出安全狀態)劇本。
- 切換切換鈕即可啟用劇本。
- 按一下 [儲存]。
可更新連接器
更新用途不會自動更新現有連接器。為確保在更新用途後,資料擷取作業能正常運作,請更新 SCC Enterprise - Urgent Posture Findings Connector 和 Google Chronicle - Chronicle Alerts Connector 連接器。
如要更新 SCC Enterprise - Urgent Posture Findings Connector,請完成下列步驟:
- 在 Security Operations 控制台導覽中,依序前往「Settings」>「SOAR Settings」>「Ingestion」>「Connectors」。
- 在「SCCEnterprise」下方,選取「SCC Enterprise - Urgent Posture Findings Connector」。系統會開啟連結器參數設定頁面。
- 按一下「已快取」更新。
- 將「Run Every」參數設為 1 分鐘。
- 切換切換鈕來啟用連接器。
- 按一下 [儲存]。
如要更新 Google Chronicle - Chronicle Alerts 連接器,請完成下列步驟:
- 在 Security Operations 控制台導覽中,依序前往「Settings」>「SOAR Settings」>「Ingestion」>「Connectors」。
- 在「GoogleChronicle」下方,選取「Google Chronicle - Chronicle Alerts Connector」。系統會開啟連結器參數設定頁面。
- 按一下「已快取」更新。
- 將「Run Every」參數設為 1 分鐘。
- 在「Product Field Name」(產品欄位名稱) 參數欄位中,輸入
SCCE。 - 切換切換鈕來啟用連接器。
- 按一下 [儲存]。
驗證更新設定
為確保所有用途元件都已成功更新,請測試連接器和工作。
測試連接器
- 在 Security Operations 控制台導覽中,依序前往「Settings」>「SOAR Settings」>「Ingestion」>「Connectors」。
- 在「SCCEnterprise」下方,選取「SCC Enterprise - Urgent Posture Findings Connector」。
- 前往「測試」分頁。
- 按一下「執行連接器一次」。如果連接器設定正確,系統會顯示勾號。
測試工作
- 在 Security Operations 控制台導覽中,依序前往「Response」>「Job Scheduler」。
- 在「GoogleSecurityCommandCenter」下方,選取「Sync SCC Data」(同步處理 SCC 資料)。
- 點選「立即執行」。如果工作正常運作,工作狀態會顯示為
Success。
疑難排解
「Sync SCC Data」(同步處理 SCC 資料) 工作會顯示下列錯誤:
TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)請等待十分鐘,然後點選「立即執行」。如果錯誤仍持續發生,請完成下列步驟:
- 在工作「Parameters」部分,刪除「Organization ID」參數值。
- 輸入「機構 ID」參數值。
- 按一下 [儲存]。
- 點選「立即執行」。
如果「Sync SCC Data」(同步處理 SCC 資料) 工作在更新期間無法自動更新,就會顯示驗證錯誤。如要修正同步作業問題,請手動輸入「專案 ID」和「配額專案 ID」參數的值。
如要指定正確的參數值,請完成下列步驟:
- 依序前往「設定」>「SOAR 設定」>「擷取」 >「連接器」。
- 在「SCCEnterprise」下方,選取「SCC Enterprise - Urgent Posture Findings Connector」。
- 在「Parameters」部分,複製「Quota Project ID」參數的值。
- 依序前往「回應」>「工作排程器」。
- 在「SCCEnterprise」下方,選取「Sync SCC Data」。
- 在「Sync SCC Data」工作的「Parameters」部分,於「Project ID」和「Quota Project ID」欄位中輸入複製的值。
- 按一下 [儲存]。
更新用途後,新劇本不會套用至現有快訊。
如要將新應對手冊套用至現有警告,並重新算繪「警告」小工具,請關閉案件,然後等待連接器再次擷取附加新應對手冊的警告。