עדכון תרחיש השימוש ב-Enterprise

העדכון מ-18 בדצמבר 2024 של תרחיש השימוש SCC Enterprise – Cloud Orchestration and Remediation זמין עכשיו. עליך לעדכן את תרחיש השימוש בהקדם האפשרי.

במקרה השימוש הזה מוסבר על עדכונים בתכונות של פעולות אבטחה במסלול Enterprise של Security Command Center. כדי להחיל את העדכונים, פועלים לפי ההוראות שבדף הזה.

תהליך העדכון כולל את השלבים הכלליים הבאים:

  1. כדי להכין את המערכת לעדכון, צריך להשבית מחבר ולמחוק מחזורי עבודה קיימים מסוימים.
  2. מתקינים את הגרסה העדכנית של תרחיש השימוש SCC Enterprise – Cloud Orchestration and Remediation.
  3. מאמתים את ההתקנה ומריצים את ספרי ההפעלה המעודכנים.

השלבים האלה מתבצעים בדף Settings > SOAR settings (הגדרות > הגדרות SOAR) במסוף Security Operations.

מוודאים שיש לכם את התפקידים הנדרשים

כדי להשלים את התהליך הזה, צריך לקבל את אחד מתפקידי ה-SOC הבאים במסוף Security Operations:

  • מנהל מערכת
  • Vulnerability Manager
  • Threat Manager

לפרטים נוספים על התפקידים וההרשאות ב-SOC שנדרשים למשתמשים כדי לגשת לדפים במסוף Security Operations, אפשר לעיין במאמר שליטה בגישה לתכונות בדפים במסוף Security Operations.

הכנת המערכת לעדכון

לפני שמעדכנים את תרחיש השימוש, צריך להשבית את SCC Enterprise – Urgent Posture Findings Connector ולמחוק את ספרי ההפעלה שסופקו על ידי הגרסה הנוכחית של תרחיש השימוש.

השבתת המחבר

כדי למנוע מצב שבו יש התראות בלי מחזורי הפעלה שמשויכים אליהן, צריך להשבית את המחבר SCC Enterprise – Urgent Posture Findings Connector לפני שמוחקים מחזורי הפעלה. כשמעדכנים ומפעילים את המחבר, הממצאים שנאספו בזמן שהמחבר היה מושבת מוזנים ל-Security Command Center.

כדי להשבית את המחבר, מבצעים את השלבים הבאים:

  1. בסרגל הניווט של מסוף Security Operations, עוברים אל הגדרות > הגדרות SOAR > קליטה > מחברים.
  2. בקטע SCCEnterprise, בוחרים באפשרות SCC Enterprise – Urgent Posture Findings Connector.
  3. מעבירים את המתג כדי להשבית את המחבר.
  4. לוחצים על Save.

מחיקת ספרי הפעלה

כדי למנוע כפילויות של תוכניות משחק, מומלץ למחוק תוכניות משחק שמוגדרות כברירת מחדל ושבהן אתם משתמשים בגרסה הנוכחית של תרחיש השימוש. מחיקת תוכניות פעולה לפני שמשדרגים את תרחיש השימוש לא משפיעה על ניהול האירועים.

כדי למחוק מחזורי מכירה שמוגדרים כברירת מחדל, פועלים לפי השלבים הבאים:

  1. בתפריט הניווט של מסוף Security Operations, עוברים אל Response > Playbooks (תגובה > תוכניות פעולה). מסנן התפריט הנפתח מוגדר כברירת מחדל להצגת הכול.

  2. בוחרים בתיקייה Siemplify Use Cases. התיקייה הזו מכילה את חוברות ההפעלה הבאות שמוגדרות כברירת מחדל:

    • AWS Threat Response Playbook
    • מדריך תגובה לאיומים ב-GCP
    • תגובה של שירות ההמלצות של IAM
    • ממצאים לגבי תנוחה – כללי
    • ממצאי תקינות – כללי – VM Manager
    • ממצאי תנוחה עם Jira
    • ממצאי תקינות עם ServiceNow
    • Google Cloud – Execution – Cryptomining
    • Google Cloud – Execution – Binary or Library Loaded Executed
    • Google Cloud – Execution – Malicious URL Script or Shell Process
    • Google Cloud – Persistence – Suspicious Behaviour
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Posture – Toxic Combination Playbook
    • תצוגה מקדימה – מדריך Azure לתגובה לאיומים

  3. בניווט בדפים של Playbooks, לוחצים על Edit כדי לבחור כמה פריטים.

  4. לצד Siemplify Use Cases, לוחצים על done_all Select all כדי לבחור את כל חוברות ההפעלה והבלוקים בתיקייה.

  5. בתפריט הניווט בדפים של Playbooks, לוחצים על list תפריט > מחיקה. יופיע חלון שבו תתבקשו לאשר או לבטל את המחיקה של ספרי ההפעלה שנבחרו.

  6. לוחצים על אישור.

    עכשיו אפשר לעדכן את הגרסה של תרחיש השימוש.

התקנת תרחיש השימוש Security Command Center Enterprise

כדי להתקין את הגרסה העדכנית של תרחיש השימוש SCC Enterprise, צריך לוודא שכל השילובים שמופיעים בתרחיש השימוש מעודכנים.

התקנת תרחיש השימוש העדכני ביותר

כדי להתקין את הגרסה העדכנית של תרחיש השימוש SCC Enterprise – Cloud Orchestration and Remediation, פועלים לפי השלבים הבאים:

  1. במסוף Security Operations, עוברים אל Marketplace > Use Cases (פתרונות לתרחישי שימוש).
  2. פותחים את תיבת הדו-שיח סינון לפי קטגוריות בלחיצה על סמל המסנן, .
  3. בתיבת הדו-שיח Filter by categories, מקלידים SCC Enterprise. תרחיש השימוש מופיע בקטע תרחישי שימוש.

  4. בתיאור של התרחיש לדוגמה SCC Enterprise – Cloud Orchestration and Remediation, מחפשים תאריך.

    • אם התאריך מוקדם מ-10 ביולי 2024 או שאין תאריך בתיאור, צריך למחוק את תרחיש השימוש. מקרה השימוש האחרון יופיע במקום מקרה השימוש שנמחק באופן אוטומטי.

    • אם התאריך בתרחיש לדוגמה SCC Enterprise – Cloud Orchestration and Remediation הוא 10 ביולי 2024 או תאריך מאוחר יותר, צריך לוודא שה-playbook בתרחיש לדוגמה העדכני מותקן. כדי לעשות את זה, מבצעים את השלבים הבאים:

      1. לוחצים על התרחיש לדוגמה כדי לפתוח את אשף ההתקנה.
      2. מרחיבים את הקטגוריה של מדריכי ההפעלה ורושמים לעצמכם מדריכי הפעלה חדשים או מעודכנים.
      3. בדף Response > Playbooks במסוף Security Operations, מחפשים את ה-Playbook החדש או המעודכן. אם אתם מוצאים את ספר ההדרכה החדש או המעודכן, סימן שההתקנה של תרחיש השימוש כבר הושלמה.

  5. כדי להשלים את ההתקנה של תרחיש השימוש, לוחצים על תרחיש השימוש SCC Enterprise – Cloud Orchestration and Remediation ופועלים לפי ההוראות באשף ההתקנה.

החלת ההגדרות ואימות שלהן מתרחיש השימוש החדש

צריך לוודא שהתכונות השונות שכלולות בתרחיש השימוש העדכני עודכנו בצורה נכונה. כדי להשתמש בתכונות מסוימות, צריך להחיל את העדכונים מתרחיש שימוש חדש באופן ידני.

אימות גרסאות השילוב בתרחיש השימוש

הגרסאות החדשות של השילובים שכלולים בתרחיש לדוגמה זמינות מדי שבוע. מומלץ לעדכן את השילובים לגרסאות העדכניות ביותר בהקדם האפשרי.

הגרסאות החדשות של השילובים כוללות עדכונים, בין היתר, תיקונים, ווידג'טים ופעולות חדשים, שינויים בווידג'טים ובפעולות קיימים, שיפורים בטיפול בהתראות ושיפורים בלוגיקה של עיבוד הזיהוי ומיפוי תהליכי העבודה.

כדי להחיל את העדכונים על שילובים, צריך לבצע את השלבים הבאים:

  1. בסרגל הניווט של מסוף Security Operations, עוברים אל Marketplace > Integrations (שילובים).
  2. בשדה סוג, בוחרים באפשרות כל האינטגרציות.
  3. בשדה סטטוס, בוחרים באפשרות שדרוג זמין. מוצגות כל האינטגרציות שנדרש לשדרג.
  4. כדי לשדרג שילוב, לוחצים על שדרוג לגרסה VERSION בכרטיס השילוב.
  5. אם מופיעה תיבת הדו-שיח Updating INTEGRATION (עדכון של INTEGRATION), לוחצים על Confirm (אישור).
  6. אם מופיעה תיבת הדו-שיח אישור, לוחצים על אישור.
  7. בתיבת הדו-שיח אישור החלפת המיפוי, בוחרים באפשרות הבאה: התקנת הגדרת האונטולוגיה החדשה והחלפת ההגדרה הקיימת, ואז לוחצים על אישור.

חובה לשדרג את השילוב של SCC Enterprise ולהתקין את הגדרות האונטולוגיה החדשות לכל השילובים ששודרגו.

הגדרת השילוב עם Cloud Storage

כדי לטפל בממצאים של רשימת ACL של קטגוריה ציבורית, תרחיש השימוש SCC Enterprise – Cloud Orchestration and Remediation כולל שילוב נוסף, שילוב Cloud Storage.

כדי לאפשר ל-playbook להעשיר ולתקן את PUBLIC BUCKET ACL סוג הממצא, צריך להגדיר את השילוב של Cloud Storage באמצעות השלבים הבאים:

  1. מגדירים את פרמטרים ההטמעה.
  2. מפעילים את התיקון של קטגוריות גלויות לכולם ב-Playbooks.
הגדרת פרמטרים של שילוב

כדי להגדיר את פרמטרי השילוב של Cloud Storage, מבצעים את השלבים הבאים:

  1. בסרגל הניווט של מסוף Security Operations, עוברים אל Marketplace > Integrations (שילובים).
  2. בשדה חיפוש, מזינים Storage. מופיע כרטיס השילוב של Cloud Storage.
  3. בכרטיס השילוב, לוחצים על הגדרה. תיבת הדו-שיח של ההגדרות נפתחת.
  4. מגדירים את הפרמטרים Workload Identity Email (כתובת האימייל של Workload Identity),‏ Project ID (מזהה הפרויקט) וQuota Project ID (מזהה פרויקט המכסה את המכסה). אפשר להעתיק את ערכי הפרמטרים מכל Google Cloud שילוב אחר, כמו השילוב של מאגר משאבי ענן.
  5. לוחצים על Save.
  6. לוחצים על בדיקה כדי לבדוק את ההגדרה.
הפעלת תיקון של קטגוריות גלויות לכולם ב-Playbooks

כדי להפעיל את התיקון של קטגוריות ציבוריות ב-playbooks של ממצאי אבטחה, אפשר לעיין במאמר בנושא הפעלת תיקון של קטגוריות ציבוריות.

עדכון הווידג'טים בתצוגת בקשת התמיכה

  1. במסוף Security Operations, עוברים אל Settings > SOAR Settings > Case Data > Views.
  2. בוחרים באפשרות תצוגת ברירת מחדל של פנייה.
  3. בוחרים בכרטיסייה מוגדר מראש.

  4. גוררים את הווידג'טים מהכרטיסייה מוגדר מראש אל תצוגת ברירת המחדל של הפנייה בסדר המומלץ הבא:

    1. סיכום הפנייה
    2. נתיב מתקפה של שילוב רעיל
    3. ממצאים
    4. חקירה באמצעות AI/סיכום של Gemini
    5. סיכום הממצאים
    6. SCC – Finding State
    7. נכסים מושפעים
    8. פרטי הכרטיס
    9. פעולות בהמתנה
    10. גרף הישויות
    11. הדגשת ישויות

  5. לוחצים על שמירת התצוגה.

אימות ווידג'טים

כדי לוודא שאתם מקבלים את המידע הנכון, צריך לוודא שהווידג'טים הבאים מכילים את התנאי הנכון:

  • נתיב התקפה של שילוב רעיל
  • חיפוש
  • תרשים ישויות
  • חקירת AI/סיכום Gemini
  • איך למצוא את הסיכום
  • המשאבים שהושפעו
  • SCC – Finding State
  • הנכסים שהושפעו
  • הנכסים ב-AWS שהושפעו

כדי לאמת את הווידג'טים, מבצעים את השלבים הבאים:

  1. בתפריט הניווט של מסוף Security Operations, עוברים אל הגדרות > הגדרות SOAR > נתוני אירועים > תצוגות.

  2. בוחרים באפשרות תצוגת ברירת מחדל של פנייה.

  3. בווידג'טים Toxic combination attack path ו-Finding, לוחצים על settings Configuration.

    בקטע תנאים שבהגדרה הגדרות מתקדמות, התנאי צריך להיות [Case.Tags] () Toxic Combination. אם לא, מעדכנים את התנאי ולוחצים על שמירה.

  4. גם בווידג'ט Entities Graph וגם בווידג'ט AI Investigation/Gemini Summary, לוחצים על settings Configuration.

    בקטע תנאים שבהגדרה הגדרות מתקדמות, התנאי צריך להיות [Case.Tags] !() Toxic Combination. אם לא, מעדכנים את התנאי ולוחצים על שמירה.

  5. בווידג'ט Finding Summary, לוחצים על settingsConfiguration.

    בקטע תנאים שבהגדרה הגדרות מתקדמות, התנאים צריכים להיות כאלה:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    אם לא, מעדכנים את התנאים ולוחצים על שמירה.

  6. בווידג'ט משאבים מושפעים, לוחצים על הגדרות הגדרה.

    בקטע תנאים שבהגדרה הגדרות מתקדמות, התנאי צריך להיות [Case.Tags] () Toxic Combination. אם לא, מעדכנים את התנאי ולוחצים על שמירה.

  7. בווידג'ט SCC – Finding State, לוחצים על Delete. כשתיבת הדו-שיח לאישור נפתחת, לוחצים על כן.

    כדי להתקין את הווידג'ט SCC – Finding State שהוגדר לגרסה האחרונה של תרחיש השימוש, גוררים את הווידג'ט SCC – Finding State מהכרטיסייה Predefined אל Default Case View.

  8. בווידג'ט נכסים שהושפעו, לוחצים על מחיקה. כשתיבת הדו-שיח לאישור נפתחת, לוחצים על כן.

    כדי להתקין את הווידג'ט Impacted Assets שהוגדר לגרסה העדכנית של תרחיש השימוש, גוררים את הווידג'ט Impacted Assets מהכרטיסייה Predefined אל Default Case View.

  9. בווידג'ט נכסי AWS שהושפעו, לוחצים על מחיקה. כשתיבת הדו-שיח לאישור נפתחת, לוחצים על כן.

  10. לוחצים על שמירת התצוגה.

הפעלת פלייבוקים

כדי להפעיל את תוכניות הפעולה לעיבוד פגיעויות וטעויות בהגדרות, צריך לבצע את השלבים הבאים:

  1. בתפריט הניווט של מסוף Security Operations, עוברים אל Response > Playbooks (תגובה > תוכניות פעולה).

  2. בוחרים בתיקייה Siemplify Use Cases.

    אם לא שילבתם את המערכת עם מערכות כרטוס, צריך לוודא שהאפשרות Posture Findings – Generic מופעלת. הפעלת פלייבוק Posture Findings – Generic – VM Manager היא אופציונלית.

    אם שילבתם מערכות כרטוס, מבצעים את השלבים הבאים:

    1. בוחרים בחוברת ההדרכה Posture Findings – Generic (ממצאים לגבי מצב האבטחה – כללי).
    2. מעבירים את המתג למצב כבוי.
    3. לוחצים על Save.
    4. בוחרים ב-playbook‏ Posture Findings – Generic – VM Manager.
    5. מעבירים את המתג למצב כבוי.
    6. לוחצים על Save.
    7. אם ביצעתם שילוב עם Jira, בוחרים ב-playbook‏ Posture Findings With Jira.
      1. מעבירים את המתג כדי להפעיל את ספר ההדרכה.
      2. לוחצים על Save.
    8. אם שילבתם את ServiceNow, בוחרים ב-playbook‏ Posture Findings with SNOW.
      1. מעבירים את המתג כדי להפעיל את ספר ההדרכה.
      2. לוחצים על Save.

עדכון מחברים

עדכון תרחיש השימוש לא מעדכן באופן אוטומטי מחברים קיימים. כדי לוודא שהעברת הנתונים פועלת כמצופה אחרי העדכון של תרחיש השימוש, צריך לעדכן את המחברים SCC Enterprise – Urgent Posture Findings Connector ו-Google Chronicle – Chronicle Alerts Connector.

כדי לעדכן את המחבר SCC Enterprise – Urgent Posture Findings Connector, מבצעים את השלבים הבאים:

  1. בסרגל הניווט של מסוף Security Operations, עוברים אל Settings > SOAR Settings > Ingestion > Connectors (הגדרות > הגדרות SOAR > קליטה > מחברים).
  2. בקטע SCCEnterprise, בוחרים באפשרות SCC Enterprise – Urgent Posture Findings Connector. ייפתח דף ההגדרות של פרמטרים של המחבר.
  3. לוחצים על שמירה במטמון עדכון.
  4. מגדירים את הפרמטר Run Every (הפעלה כל) לדקה אחת.
  5. מעבירים את המתג כדי להפעיל את המחבר.
  6. לוחצים על Save.

כדי לעדכן את המחבר Google Chronicle – Chronicle Alerts Connector:

  1. בסרגל הניווט של מסוף Security Operations, עוברים אל Settings > SOAR Settings > Ingestion > Connectors (הגדרות > הגדרות SOAR > קליטה > מחברים).
  2. בקטע GoogleChronicle, בוחרים באפשרות Google Chronicle – Chronicle Alerts Connector. ייפתח דף ההגדרה של פרמטרים של המחבר.
  3. לוחצים על שמירה במטמון עדכון.
  4. מגדירים את הפרמטר Run Every (הפעלה כל) לדקה אחת.
  5. בשדה הפרמטר שם שדה המוצר, מזינים SCCE.
  6. מעבירים את המתג כדי להפעיל את המחבר.
  7. לוחצים על Save.

אימות הגדרות העדכון

כדי לוודא שכל רכיבי התרחיש לדוגמה מעודכנים בהצלחה, בודקים את המחבר ואת העבודה.

בדיקת המחבר

  1. בסרגל הניווט של מסוף Security Operations, עוברים אל הגדרות > הגדרות SOAR > קליטה > מחברים.
  2. בקטע SCCEnterprise, בוחרים באפשרות SCC Enterprise – Urgent Posture Findings Connector.
  3. עוברים לכרטיסייה בדיקה.
  4. לוחצים על הפעלת המחבר פעם אחת. אם הגדרת המחבר נכונה, סימן הווי יופיע.

בדיקת המשרה

  1. בתפריט הניווט של מסוף Security Operations, עוברים אל Response > Job Scheduler.
  2. בקטע GoogleSecurityCommandCenter, בוחרים באפשרות סנכרון נתוני SCC.
  3. לוחצים על הפעלה מיידית. אם העבודה פועלת כמצופה, סטטוס העבודה הוא Success.

פתרון בעיות

  • השגיאה הבאה מוצגת במשימה Sync SCC Data:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    מחכים עשר דקות ולוחצים על הפעלה מיידית. אם השגיאה נמשכת, צריך לבצע את השלבים הבאים:

    1. בקטע Parameters (פרמטרים) של המשימה, מוחקים את ערך הפרמטר Organization ID (מזהה הארגון).
    2. מזינים את ערך הפרמטר Organization ID.
    3. לוחצים על Save.
    4. לוחצים על הפעלה מיידית.

  • העבודה Sync SCC Data (סנכרון נתוני SCC) מציגה שגיאת אימות אם העדכון האוטומטי נכשל במהלך עדכון תרחיש השימוש. כדי לפתור את הבעיה בתהליך הסנכרון, צריך להזין ידנית את הערכים של הפרמטרים מזהה פרויקט ו-מכסת מזהה פרויקט.

    כדי לציין את ערכי הפרמטרים הנכונים, מבצעים את השלבים הבאים:

    1. עוברים אל הגדרות > הגדרות SOAR > קליטה > מחברים.
    2. בקטע SCCEnterprise, בוחרים באפשרות SCC Enterprise – Urgent Posture Findings Connector.
    3. בקטע Parameters, מעתיקים את הערך של הפרמטר Quota Project ID.
    4. עוברים אל תגובה > כלי לתזמון משימות.
    5. בקטע SCCEnterprise, בוחרים באפשרות Sync SCC Data (סנכרון נתוני SCC).
    6. בקטע Parameters (פרמטרים) של המשימה Sync SCC Data (סנכרון נתוני SCC), מזינים את הערך שהועתק בשדות Project ID (מזהה פרויקט) ו-Quota Project ID (מזהה פרויקט של מכסה).
    7. לוחצים על Save.

  • אחרי העדכון של תרחיש השימוש, פלייבוקים חדשים לא חלים על התראות קיימות.

    כדי להחיל את תרחישי השימוש החדשים על התראות קיימות ולעבד מחדש את הווידג'ט Alert, סוגרים את התיק ומחכים עד שהמחבר יקלוט שוב התראות עם תרחישי השימוש החדשים שצורפו.