Mettre à jour le cas d'utilisation d'entreprise

La mise à jour du 18 décembre 2024 du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation est désormais disponible. Mettez à jour le cas d'utilisation dès que possible.

Ce cas d'utilisation fournit des mises à jour des fonctionnalités d'opérations de sécurité du niveau Enterprise de Security Command Center. Pour appliquer les mises à jour, suivez les procédures décrites sur cette page.

La procédure de mise à jour comprend les étapes générales suivantes :

  1. Préparez le système à la mise à jour en désactivant un connecteur et en supprimant certains playbooks existants.
  2. Installez la dernière version du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation.
  3. Validez l'installation et exécutez les playbooks mis à jour.

Ces étapes sont effectuées à l'aide de la page de la console Security Operations Settings > SOAR settings (Paramètres > Paramètres SOAR).

Vérifiez que vous disposez des rôles requis

Pour effectuer cette procédure, vous devez disposer de l'un des rôles SOC suivants dans la console Security Operations :

  • Administrateur
  • Responsable de la gestion des failles
  • Responsable de la gestion des menaces

Pour en savoir plus sur les rôles SOC et les autorisations requises pour que les utilisateurs puissent accéder aux pages de la console Security Operations, consultez Contrôler l’accès aux fonctionnalités dans les pages de la console Security Operations.

Préparer le système à la mise à jour

Avant de mettre à jour le cas d'utilisation, vous devez désactiver le SCC Enterprise – Urgent Posture Findings Connector et supprimer les playbooks fournis par la version actuelle du cas d'utilisation.

Désactiver le connecteur

Pour éviter d'avoir des alertes sans playbook associé, désactivez le connecteur SCC Enterprise – Urgent Posture Findings Connector avant de supprimer les playbooks. Security Command Center ingère les résultats collectés lorsque le connecteur est désactivé lorsque vous mettez à jour et activez le connecteur.

Pour désactiver le connecteur, procédez comme suit :

  1. Dans le menu de navigation de la console Security Operations, accédez à Settings > SOAR Settings > Ingestion > Connectors (Paramètres > Paramètres SOAR > Ingestion > Connecteurs).
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Posture Findings Connector.
  3. Désactivez le connecteur à l'aide du bouton bascule.
  4. Cliquez sur Save (Enregistrer).

Supprimer des playbooks

Pour éviter la duplication de playbooks, supprimez les playbooks par défaut que vous utilisez dans la version actuelle de votre cas d'utilisation. La suppression de playbooks avant la mise à niveau du cas d'utilisation n'a aucun impact sur la gestion des demandes.

Pour supprimer les playbooks par défaut, procédez comme suit :

  1. Dans le menu de navigation de la console Security Operations, accédez à Response > Playbooks (Réponse > Playbooks). Par défaut, le filtre déroulant est défini sur Show All (Tout afficher).

  2. Sélectionnez le dossier Siemplify Use Cases. Ce dossier contient les playbooks par défaut suivants :

    • AWS Threat Response Playbook
    • GCP Threat Response Playbook
    • IAM Recommender Response
    • Posture Findings – Generic
    • Posture Findings – Generic – VM Manager
    • Posture Findings With Jira
    • Posture Findings With ServiceNow
    • Google Cloud – Execution – Cryptomining
    • Google Cloud – Execution – Binary or Library Loaded Executed
    • Google Cloud – Execution – Malicious URL Script or Shell Process
    • Google Cloud – Persistence – Suspicious Behaviour
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Posture – Toxic Combination Playbook
    • Preview – Azure Threat Response Playbook

  3. Dans le menu de navigation sur les pages Playbooks, cliquez sur Edit (Modifier) pour sélectionner plusieurs éléments.

  4. À côté de Siemplify Use Cases, cliquez sur done_all Select all pour sélectionner tous les playbooks et blocs du dossier.

  5. Dans la navigation sur les pages Playbooks, cliquez sur list Menu > Delete. Une fenêtre s'affiche et vous demande de confirmer ou d'annuler la suppression des playbooks sélectionnés.

  6. Cliquez sur Confirm (Confirmer).

    Vous pouvez maintenant mettre à jour la version de votre cas d'utilisation.

Installer le cas d'utilisation Security Command Center Enterprise

Pour installer la dernière version du cas d'utilisation SCC Enterprise et vérifier que toutes les intégrations fournies dans le cas d'utilisation sont à jour :

Installer le dernier cas d'utilisation

Pour installer la dernière version du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation, procédez comme suit :

  1. Dans le menu de navigation de la console Security Operations, accédez à Marketplace > Cas d'utilisation.
  2. Ouvrez la boîte de dialogue Filter by categories (Filtrer par catégories) en cliquant sur l'icône de filtre, .
  3. Dans la boîte de dialogue Filter by categories (Filtrer par catégories), saisissez SCC Enterprise. Le cas d'utilisation s'affiche dans la section Use Cases (Cas d'utilisation).

  4. Dans la description du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation, recherchez une date.

    • Si la date est antérieure au 10 juillet 2024 ou si aucune date n'est indiquée dans la description, supprimez le cas d'utilisation. Le dernier cas d'utilisation s'affiche automatiquement à la place du cas d'utilisation supprimé.

    • Si la date du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation est le 10 juillet 2024 ou une date ultérieure, vérifiez que les playbooks du dernier cas d'utilisation sont installés en procédant comme suit :

      1. Cliquez sur le cas d'utilisation pour ouvrir l'assistant d'installation.
      2. Développez la catégorie des playbooks et notez les playbooks nouveaux ou mis à jour.
      3. Sur la page Response > Playbooks (Réponse > Playbooks) de la console Security Operations, recherchez le playbook nouveau ou mis à jour. Si vous trouvez le playbook nouveau ou mis à jour, l'installation du cas d'utilisation est déjà terminée.

  5. Pour terminer l'installation du cas d'utilisation, cliquez sur le cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation , puis suivez les instructions de l'assistant d'installation.

Appliquer et valider les configurations du nouveau cas d'utilisation

Vous devez vérifier que les différentes fonctionnalités incluses dans le dernier cas d'utilisation sont correctement mises à jour. Pour certaines fonctionnalités, vous devez appliquer manuellement les mises à jour du nouveau cas d'utilisation.

Valider les versions d'intégration dans le cas d'utilisation

Les nouvelles versions des intégrations incluses dans le cas d'utilisation sont disponibles chaque semaine. Mettez à jour les intégrations vers leurs dernières versions dès que possible.

Les nouvelles versions des intégrations introduisent des mises à jour, y compris, mais sans s'y limiter, des correctifs, de nouveaux widgets et actions, des modifications apportées aux widgets et actions existants, des améliorations apportées à la gestion des alertes, ainsi que des améliorations apportées à la logique de traitement de la détection et au mappage des workflows.

Pour appliquer les mises à jour des intégrations, procédez comme suit :

  1. Dans le menu de navigation de la console Security Operations, accédez à Marketplace > Integrations.
  2. Dans le champ Type, sélectionnez All Integrations (Toutes les intégrations).
  3. Dans le champ Status (État), sélectionnez Available Upgrade (Mise à niveau disponible). Toutes les intégrations qui nécessitent une mise à niveau s'affichent.
  4. Pour mettre à niveau une intégration, cliquez sur Upgrade to version VERSION (Mettre à niveau vers la version) dans la fiche d'intégration.
  5. Si la boîte de dialogue Updating INTEGRATION (Mise à jour de l'intégration) s'affiche, cliquez sur Confirm (Confirmer).
  6. Si la boîte de dialogue Confirmation s'affiche, cliquez sur Approve (Approuver).
  7. Dans la boîte de dialogue Confirm Overwrite Mapping (Confirmer le mappage d'écrasement), sélectionnez l'option : Install the new ontology configuration and override the existing one (Installer la nouvelle configuration d'ontologie et remplacer l'existante), et puis cliquez sur Confirm (Confirmer).

La mise à niveau de l'intégration SCC Enterprise et l'installation de la nouvelle configuration d'ontologie pour toutes les intégrations mises à niveau sont obligatoires.

Configurer l'intégration Cloud Storage

Pour corriger les résultats de la liste de contrôle d'accès (LCA) des buckets publics, le cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation inclut une intégration supplémentaire, l'intégration Cloud Storage.

Pour permettre aux playbooks d'enrichir et de corriger le type de résultat PUBLIC BUCKET ACL, configurez l'intégration Cloud Storage en procédant comme suit :

  1. Configurez les paramètres d'intégration.
  2. Activez la correction des buckets publics pour les playbooks.
Configurer les paramètres d'intégration

Pour configurer les paramètres d'intégration Cloud Storage, procédez comme suit :

  1. Dans le menu de navigation de la console Security Operations, accédez à Marketplace > Integrations.
  2. Dans le champ Search (Rechercher), saisissez Storage. La fiche d'intégration Cloud Storage s'affiche.
  3. Sur la fiche d'intégration, cliquez sur Configure (Configurer). La boîte de dialogue de configuration s'ouvre.
  4. Configurez les paramètres Workload Identity Email (Adresse e-mail Workload Identity), Project ID (ID du projet) et Quota Project ID (ID du projet de quota). Vous pouvez copier les valeurs des paramètres à partir de n'importe quelle autre Google Cloud intégration, telle que l'intégration inventaire des éléments cloud.
  5. Cliquez sur Save (Enregistrer).
  6. Cliquez sur Test (Tester) pour tester la configuration.
Activer la correction des buckets publics pour les playbooks

Pour activer la correction des buckets publics pour les playbooks de résultats de posture, consultez Activer la correction des buckets publics remediation.

Mettre à jour les widgets de la vue de demande

  1. Dans le menu de navigation de la console Security Operations, accédez à Settings > SOAR Settings > Case Data > Views (Paramètres > Paramètres SOAR > Données de demande > Vues).
  2. Sélectionnez Default Case View (Vue de demande par défaut).
  3. Sélectionnez l'onglet Predefined (Prédéfini).

  4. Faites glisser les widgets de l'onglet Predefined (Prédéfini) vers la Default Case View (Vue de demande par défaut) dans l'ordre recommandé suivant :

    1. Résumé du cas
    2. Chemin d'attaque de la combinaison toxique
    3. Résultats
    4. Analyse IA/Résumé Gemini
    5. Récapitulatif des résultats
    6. SCC – État du résultat
    7. Composants concernés
    8. Informations sur les billets
    9. Actions en attente
    10. Graphique des entités
    11. Champs des entités mis en avant

  5. Cliquez sur Save View (Enregistrer la vue).

Valider les widgets

Pour vous assurer d'obtenir les informations correctes, vérifiez que les widgets suivants contiennent la condition appropriée :

  • Chemin d'attaque de la combinaison toxique
  • Résultat
  • Graphique des entités
  • Analyse IA/Résumé Gemini
  • Récapitulatif des résultats
  • Ressources concernées
  • SCC – État du résultat
  • Composants concernés
  • Composants AWS concernés

Pour valider les widgets, procédez comme suit :

  1. Dans le menu de navigation de la console Security Operations, accédez à Settings > SOAR Settings > Case Data > Views (Paramètres > Paramètres SOAR > Données de demande > Vues).

  2. Sélectionnez Default Case View (Vue de demande par défaut).

  3. Pour les widgets Chemin d'attaque de la combinaison toxique et Résultat, cliquez sur settings Configuration.

    Sous Advanced Settings (Paramètres avancés), dans la section Conditions, la condition doit être la suivante : [Case.Tags] () Toxic Combination. Si ce n'est pas le cas, modifiez la condition, puis cliquez sur Save (Enregistrer).

  4. Pour les widgets Graphique des entités et Analyse IA/Résumé Gemini, cliquez sur settings Configuration (Paramètres > Configuration).

    Sous Advanced Settings (Paramètres avancés), dans la section Conditions, la condition doit être la suivante : [Case.Tags] !() Toxic Combination. Si ce n'est pas le cas, modifiez la condition, puis cliquez sur Save (Enregistrer).

  5. Pour le widget Récapitulatif des résultats, cliquez sur settingsConfiguration.

    Sous Advanced Settings (Paramètres avancés), dans la section Conditions, les conditions doivent être les suivantes :

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    Si ce n'est pas le cas, modifiez les conditions, puis cliquez sur Save (Enregistrer).

  6. Pour le widget Ressources concernées, cliquez sur settings Configuration.

    Sous Advanced Settings (Paramètres avancés), dans la section Conditions, la condition doit être la suivante : [Case.Tags] () Toxic Combination. Si ce n'est pas le cas, modifiez la condition, puis cliquez sur Save (Enregistrer).

  7. Pour le widget SCC – État du résultat, cliquez sur Delete (Supprimer). Lorsque la boîte de dialogue de confirmation s'ouvre, cliquez sur Yes (Oui).

    Pour installer le widget SCC – État du résultat configuré pour la dernière version du cas d'utilisation, faites glisser le widget SCC – État du résultat de l'onglet Predefined (Prédéfini) vers la Default Case View (Vue de demande par défaut).

  8. Pour le widget Composants concernés, cliquez sur Delete (Supprimer). Lorsque la boîte de dialogue de confirmation s'ouvre, cliquez sur Yes (Oui).

    Pour installer le widget Composants concernés configuré pour la dernière version du cas d'utilisation, faites glisser le widget Composants concernés de l'onglet Predefined (Prédéfini) vers la Default Case View (Vue de demande par défaut).

  9. Pour le widget Composants AWS concernés, cliquez sur Delete (Supprimer). Lorsque la boîte de dialogue de confirmation s'ouvre, cliquez sur Yes (Oui).

  10. Cliquez sur Save View (Enregistrer la vue).

Activer les playbooks

Pour activer les playbooks afin de traiter les failles et les erreurs de configuration, procédez comme suit :

  1. Dans le menu de navigation de la console Security Operations, accédez à Response > Playbooks (Réponse > Playbooks).

  2. Sélectionnez le dossier Siemplify Use Cases.

    Si vous n'avez pas effectué d'intégration avec des systèmes de gestion des demandes, assurez-vous que l'option Posture Findings – Generic (Résultats de posture – Générique) est activée. L'activation du playbook Posture Findings – Generic – VM Manager (Résultats de posture – Générique – VM Manager) est facultative.

    Si vous avez effectué une intégration avec des systèmes de gestion des demandes, procédez comme suit :

    1. Sélectionnez le playbook Posture Findings – Generic (Résultats de posture – Générique).
    2. Désactivez-le à l'aide du bouton bascule.
    3. Cliquez sur Save (Enregistrer).
    4. Sélectionnez le playbook Posture Findings – Generic – VM Manager (Résultats de posture – Générique – VM Manager).
    5. Désactivez-le à l'aide du bouton bascule.
    6. Cliquez sur Save (Enregistrer).
    7. Si vous avez effectué une intégration avec Jira, sélectionnez le playbook Posture Findings With Jira (Résultats de posture avec Jira).
      1. Activez le playbook à l'aide du bouton bascule.
      2. Cliquez sur Save (Enregistrer).
    8. Si vous avez effectué une intégration avec ServiceNow, sélectionnez le playbook Posture Findings with SNOW (Résultats de posture avec SNOW).
      1. Activez le playbook à l'aide du bouton bascule.
      2. Cliquez sur Save (Enregistrer).

Mettre à jour les connecteurs

La mise à jour du cas d'utilisation ne met pas automatiquement à jour les connecteurs existants. Pour vous assurer que l'ingestion des données fonctionne comme prévu après la mise à jour du cas d'utilisation, mettez à jour les connecteurs SCC Enterprise – Urgent Posture Findings Connector et Google Chronicle – Chronicle Alerts Connector.

Pour mettre à jour le connecteur SCC Enterprise – Urgent Posture Findings Connector, procédez comme suit :

  1. Dans le menu de navigation de la console Security Operations, accédez à Settings > SOAR Settings > Ingestion > Connectors (Paramètres > Paramètres SOAR > Ingestion > Connecteurs).
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Posture Findings Connector. La page de configuration des paramètres du connecteur s'ouvre.
  3. Cliquez sur Update (Mettre à jour) mis en cache.
  4. Définissez le paramètre Run Every (Exécuter toutes les) sur 1 minute.
  5. Activez le connecteur à l'aide du bouton bascule.
  6. Cliquez sur Save (Enregistrer).

Pour mettre à jour le connecteur Google Chronicle – Chronicle Alerts Connector, procédez comme suit :

  1. Dans le menu de navigation de la console Security Operations, accédez à Settings > SOAR Settings > Ingestion > Connectors (Paramètres > Paramètres SOAR > Ingestion > Connecteurs).
  2. Sous GoogleChronicle, sélectionnez Google Chronicle – Chronicle Alerts Connector. La page de configuration des paramètres du connecteur s'ouvre.
  3. Cliquez sur Update (Mettre à jour) mis en cache.
  4. Définissez le paramètre Run Every (Exécuter toutes les) sur 1 minute.
  5. Dans le champ du paramètre Product Field Name (Nom du champ de produit), saisissez SCCE.
  6. Activez le connecteur à l'aide du bouton bascule.
  7. Cliquez sur Save (Enregistrer).

Vérifier la configuration de la mise à jour

Pour vous assurer que tous les composants du cas d'utilisation sont mis à jour correctement, testez le connecteur et la tâche.

Tester le connecteur

  1. Dans le menu de navigation de la console Security Operations, accédez à Settings > SOAR Settings > Ingestion > Connectors (Paramètres > Paramètres SOAR > Ingestion > Connecteurs).
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Posture Findings Connector.
  3. Accédez à l'onglet Testing (Test).
  4. Cliquez sur Run connector once (Exécuter le connecteur une fois). Si la configuration du connecteur est correcte, la coche s'affiche.

Tester la tâche

  1. Dans le menu de navigation de la console Security Operations, accédez à Response > Job Scheduler (Réponse > Planificateur de tâches).
  2. Sous GoogleSecurityCommandCenter, sélectionnez Sync SCC Data (Synchroniser les données SCC).
  3. Cliquez sur Run Now (Exécuter maintenant). Si la tâche fonctionne comme prévu, son état est Success (Réussite).

Dépannage

  • La tâche Sync SCC Data (Synchroniser les données SCC) affiche l'erreur suivante :

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Attendez dix minutes, puis cliquez sur Run Now (Exécuter maintenant). Si l'erreur persiste, procédez comme suit :

    1. Dans la section Parameters (Paramètres) de la tâche, supprimez la valeur du paramètre Organization ID (ID de l'organisation).
    2. Saisissez la valeur du paramètre Organization ID (ID de l'organisation).
    3. Cliquez sur Save (Enregistrer).
    4. Cliquez sur Run Now (Exécuter maintenant).

  • La tâche Sync SCC Data (Synchroniser les données SCC) affiche une erreur d'authentification lorsqu'elle n'a pas pu se mettre à jour automatiquement lors de la mise à jour du cas d'utilisation. Pour résoudre le problème lié à la tâche de synchronisation, saisissez manuellement les valeurs des paramètres Project ID (ID du projet) et Quota Project ID (ID du projet de quota).

    Pour spécifier les valeurs de paramètres correctes, procédez comme suit :

    1. Accédez à Settings > SOAR Settings > Ingestion > Connectors (Paramètres > Paramètres SOAR > Ingestion > Connecteurs).
    2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Posture Findings Connector.
    3. Dans la section Parameters (Paramètres), copiez la valeur du paramètre Quota Project ID (ID du projet de quota).
    4. Accédez à Response > Job Scheduler (Réponse > Planificateur de tâches).
    5. Sous SCCEnterprise, sélectionnez Sync SCC Data (Synchroniser les données SCC).
    6. Dans la section Parameters (Paramètres) de la tâche Sync SCC Data (Synchroniser les données SCC), saisissez la valeur copiée dans les champs Project ID (ID du projet) et Quota Project ID (ID du projet de quota).
    7. Cliquez sur Save (Enregistrer).

  • Après la mise à jour du cas d'utilisation, les nouveaux playbooks ne s'appliquent pas aux alertes existantes.

    Pour appliquer les nouveaux playbooks aux alertes existantes et afficher de nouveau le widget Alert (Alerte), fermez une demande et attendez que le connecteur ingère à nouveau les alertes avec les nouveaux playbooks associés.