Aggiorna il caso d'uso Enterprise

L'aggiornamento del 18 dicembre 2024 del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation è ora disponibile. Aggiorna il caso d'uso il prima possibile.

Questo caso d'uso fornisce aggiornamenti alle funzionalità di operazioni di sicurezza del livello Enterprise di Security Command Center. Per applicare gli aggiornamenti, segui le procedure descritte in questa pagina.

La procedura di aggiornamento include i seguenti passaggi di alto livello:

  1. Prepara il sistema per l'aggiornamento disattivando un connettore ed eliminando alcuni playbook esistenti.
  2. Installa l'ultima versione del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation.
  3. Convalida l'installazione ed esegui i playbook aggiornati.

Questi passaggi vengono eseguiti utilizzando la pagina della console Security Operations Impostazioni > Impostazioni SOAR.

Verifica di disporre dei ruoli richiesti

Per completare questa procedura, devi disporre di uno dei seguenti ruoli SOC nella console Security Operations:

  • Amministratore
  • Gestore delle vulnerabilità
  • Gestore delle minacce

Per maggiori dettagli sui ruoli e sulle autorizzazioni SOC richiesti agli utenti per accedere alle pagine della console Security Operations, consulta Controllare l'accesso alle funzionalità nelle pagine della console Security Operations.

Prepara il sistema per l'aggiornamento

Prima di aggiornare il caso d'uso, devi disattivare il connettore SCC Enterprise - Urgent Posture Findings ed eliminare i playbook forniti dalla versione corrente del caso d'uso.

Disattiva il connettore

Per evitare di avere avvisi senza playbook allegati, disattiva il connettore SCC Enterprise - Urgent Posture Findings Connector prima di eliminare i playbook. Security Command Center acquisisce i risultati raccolti mentre il connettore è disattivato quando lo aggiorni e lo riattivi.

Per disattivare il connettore, completa i seguenti passaggi:

  1. Nella navigazione della console Security Operations, vai a Impostazioni > Impostazioni SOAR > Acquisizione > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Posture Findings Connector.
  3. Attiva/disattiva l'opzione per disattivare il connettore.
  4. Fai clic su Salva.

Elimina i playbook

Per evitare la duplicazione dei playbook, elimina i playbook predefiniti che utilizzi nella versione corrente del caso d'uso. L'eliminazione dei playbook prima dell'upgrade del caso d'uso non ha alcun impatto sulla gestione delle richieste.

Per eliminare i playbook predefiniti, completa i seguenti passaggi:

  1. Nella navigazione della console Security Operations, vai a Risposta > Playbook. Per impostazione predefinita, il filtro a discesa è impostato su Mostra tutto.

  2. Seleziona la cartella Siemplify Use Cases. Questa cartella contiene i seguenti playbook predefiniti:

    • AWS Threat Response Playbook
    • GCP Threat Response Playbook
    • IAM Recommender Response
    • Posture Findings – Generic
    • Posture Findings – Generic – VM Manager
    • Posture Findings With Jira
    • Posture Findings With ServiceNow
    • Google Cloud – Execution – Cryptomining
    • Google Cloud – Execution – Binary or Library Loaded Executed
    • Google Cloud – Execution – Malicious URL Script or Shell Process
    • Google Cloud – Persistence – Suspicious Behaviour
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Posture – Toxic Combination Playbook
    • Preview – Azure Threat Response Playbook

  3. Nella navigazione della pagina Playbook, fai clic su Modifica per selezionare più elementi.

  4. Accanto a Siemplify Use Cases, fai clic su done_all Seleziona tutto per selezionare tutti i playbook e i blocchi nella cartella.

  5. Nella navigazione della pagina Playbook, fai clic su list Menu > Elimina. Viene visualizzata una finestra che ti chiede di confermare o annullare l'eliminazione dei playbook selezionati.

  6. Fai clic su Conferma.

    Ora puoi aggiornare la versione del caso d'uso.

Installa il caso d'uso di Security Command Center Enterprise

Per installare l'ultima versione del caso d'uso di SCC Enterprise e verificare che tutte le integrazioni fornite nel caso d'uso siano aggiornate:

Installa l'ultimo caso d'uso

Per installare l'ultima versione del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation:

  1. Nella navigazione della console Security Operations, vai a Marketplace > Casi d'uso.
  2. Apri la finestra di dialogo Filtra per categorie facendo clic sull'icona del filtro, .
  3. Nella finestra di dialogo Filtra per categorie, digita SCC Enterprise. Il caso d'uso viene visualizzato nella sezione Casi d'uso.

  4. Nella descrizione del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation, cerca una data.

    • Se la data è precedente al 10 luglio 2024 o non è presente nella descrizione, elimina il caso d'uso. L'ultimo caso d'uso viene visualizzato automaticamente al posto di quello eliminato.

    • Se la data nel caso d'uso SCC Enterprise - Cloud Orchestration and Remediation è il 10 luglio 2024 o una data successiva, verifica che i playbook nell'ultimo caso d'uso siano installati completando i seguenti passaggi:

      1. Fai clic sul caso d'uso per aprire la configurazione guidata.
      2. Espandi la categoria dei playbook e prendi nota di eventuali playbook nuovi o aggiornati.
      3. Nella pagina Risposta > Playbook della console Security Operations, cerca il playbook nuovo o aggiornato. Se trovi il playbook nuovo o aggiornato, l'installazione del caso d'uso è già stata completata.

  5. Per completare l'installazione del caso d'uso, fai clic sul caso d'uso SCC Enterprise - Cloud Orchestration and Remediation e segui le istruzioni della configurazione guidata.

Applica e convalida le configurazioni del nuovo caso d'uso

Devi verificare che le varie funzionalità incluse nell'ultimo caso d'uso siano aggiornate correttamente. Per alcune funzionalità, devi applicare manualmente gli aggiornamenti del nuovo caso d'uso.

Convalida le versioni dell'integrazione nel caso d'uso

Le nuove versioni delle integrazioni incluse nel caso d'uso sono disponibili ogni settimana. Aggiorna le integrazioni alle versioni più recenti il prima possibile.

Le nuove versioni delle integrazioni introducono aggiornamenti che includono, a titolo esemplificativo, correzioni, nuovi widget e azioni, modifiche a widget e azioni esistenti, miglioramenti alla gestione degli avvisi e miglioramenti alla logica di elaborazione del rilevamento e al mapping del flusso di lavoro.

Per applicare gli aggiornamenti delle integrazioni:

  1. Nella navigazione della console Security Operations, vai a Marketplace > Integrazioni.
  2. Nel campo Tipo, seleziona Tutte le integrazioni.
  3. Nel campo Stato, seleziona Upgrade disponibile. Vengono visualizzate tutte le integrazioni che richiedono un upgrade.
  4. Per eseguire l'upgrade di un'integrazione, fai clic su Esegui l'upgrade alla versione VERSION nella scheda dell'integrazione.
  5. Se viene visualizzata la finestra di dialogo Aggiornamento INTEGRATION, fai clic su Conferma.
  6. Se viene visualizzata la finestra di dialogo Conferma, fai clic su Approva.
  7. Nella finestra di dialogo Conferma sovrascrittura mapping, seleziona l'opzione: Installa la nuova configurazione dell'ontologia e sostituisci quella esistente, e quindi fai clic su Conferma.

È necessario eseguire l'upgrade dell'integrazione SCC Enterprise e installare la nuova configurazione dell'ontologia per tutte le integrazioni aggiornate.

Configura l'integrazione di Cloud Storage

Per correggere i risultati relativi agli elenchi di controllo dell'accesso ai bucket pubblici, il caso d'uso SCC Enterprise - Cloud Orchestration and Remediation include un'integrazione aggiuntiva, l'integrazione di Cloud Storage.

Per consentire ai playbook di arricchire e correggere il tipo di risultato PUBLIC BUCKET ACL, configura l'integrazione di Cloud Storage completando i seguenti passaggi:

  1. Configura i parametri di integrazione.
  2. Abilita la correzione dei bucket pubblici per i playbook.
Configura i parametri di integrazione

Per configurare i parametri di integrazione di Cloud Storage:

  1. Nella navigazione della console Security Operations, vai a Marketplace > Integrazioni.
  2. Nel campo Cerca, inserisci Storage. Viene visualizzata la scheda di integrazione di Cloud Storage.
  3. Nella scheda di integrazione, fai clic su Configura. Si apre la finestra di dialogo di configurazione.
  4. Configura i parametri Email Workload Identity, ID progetto e ID progetto quota. Puoi copiare i valori dei parametri da qualsiasi altra Google Cloud integrazione, ad esempio l'integrazione di Cloud Asset Inventory.
  5. Fai clic su Salva.
  6. Fai clic su Test per testare la configurazione.
Abilita la correzione dei bucket pubblici per i playbook

Per abilitare la correzione dei bucket pubblici per i playbook dei risultati di postura, consulta Abilitare la correzione dei bucket pubblici.

Aggiorna i widget della visualizzazione delle richieste

  1. Nella navigazione della console Security Operations, vai a Impostazioni > Impostazioni SOAR > Dati delle richieste > Visualizzazioni.
  2. Seleziona Visualizzazione predefinita delle richieste.
  3. Seleziona la scheda Predefiniti.

  4. Trascina i widget dalla scheda Predefiniti nella Visualizzazione predefinita delle richieste nell'ordine consigliato seguente:

    1. Riepilogo caso
    2. Percorso di attacco della combinazione tossica
    3. Risultati
    4. Indagine AI/Riepilogo di Gemini
    5. Riepilogo risultati
    6. SCC - Stato del risultato
    7. Asset interessati
    8. Informazioni sui biglietti
    9. Azioni in attesa
    10. Grafico delle entità
    11. Entità in evidenza

  5. Fai clic su Salva visualizzazione.

Convalida i widget

Per assicurarti di ricevere le informazioni corrette, verifica che i seguenti widget contengano la condizione corretta:

  • Percorso di attacco della combinazione tossica
  • Risultato
  • Grafico delle entità
  • Indagine AI/Riepilogo di Gemini
  • Riepilogo risultati
  • Risorse interessate
  • SCC - Stato del risultato
  • Asset interessati
  • Asset AWS interessati

Per convalidare i widget:

  1. Nella navigazione della console Security Operations, vai a Impostazioni > Impostazioni SOAR > Dati delle richieste > Visualizzazioni.

  2. Seleziona Visualizzazione predefinita delle richieste.

  3. Per i widget Percorso di attacco della combinazione tossica e Risultato, fai clic su settings Configurazione.

    In Impostazioni avanzate, nella sezione Condizioni, la condizione deve essere la seguente: [Case.Tags] () Toxic Combination. In caso contrario, aggiorna la condizione e fai clic su Salva.

  4. Per i widget Grafico delle entità e Indagine AI/Riepilogo di Gemini, fai clic su settings Configurazione.

    In Impostazioni avanzate, nella sezione Condizioni, la condizione deve essere la seguente: [Case.Tags] !() Toxic Combination. In caso contrario, aggiorna la condizione e fai clic su Salva.

  5. Per il widget Riepilogo risultati, fai clic settingsConfigurazione.

    In Impostazioni avanzate, nella sezione Condizioni, le condizioni devono essere le seguenti:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    In caso contrario, aggiorna le condizioni e fai clic su Salva.

  6. Per il widget Risorse interessate, fai clic su settings Configurazione.

    In Impostazioni avanzate, nella sezione Condizioni, la condizione deve essere la seguente: [Case.Tags] () Toxic Combination. In caso contrario, aggiorna la condizione e fai clic su Salva.

  7. Per il widget SCC - Stato del risultato, fai clic su Elimina. Quando si apre la finestra di dialogo di conferma, fai clic su .

    Per installare il widget SCC - Stato del risultato configurato per l'ultima versione del caso d'uso, trascina il widget SCC - Stato del risultato dalla scheda Predefiniti alla Visualizzazione predefinita delle richieste.

  8. Per il widget Asset interessati, fai clic su Elimina. Quando si apre la finestra di dialogo di conferma, fai clic su .

    Per installare il widget Asset interessati configurato per l'ultima versione del caso d'uso, trascina il widget Asset interessati dalla scheda Predefiniti alla Visualizzazione predefinita delle richieste.

  9. Per il widget Asset AWS interessati, fai clic su Elimina. Quando si apre la finestra di dialogo di conferma, fai clic su .

  10. Fai clic su Salva visualizzazione.

Abilita playbook

Per abilitare i playbook per l'elaborazione di vulnerabilità e configurazioni errate:

  1. Nella navigazione della console Security Operations, vai a Risposta > Playbook.

  2. Seleziona la cartella Siemplify Use Cases.

    Se non hai eseguito l'integrazione con i sistemi di gestione dei ticket, assicurati che l'opzione Posture Findings – Generic sia abilitata. L'abilitazione del playbook Posture Findings – Generic – VM Manager è facoltativa.

    Se hai eseguito l'integrazione con i sistemi di gestione dei ticket:

    1. Seleziona il playbook Posture Findings – Generic.
    2. Attiva/disattiva l'opzione per disabilitarlo.
    3. Fai clic su Salva.
    4. Seleziona il playbook Posture Findings – Generic – VM Manager.
    5. Attiva/disattiva l'opzione per disabilitarlo.
    6. Fai clic su Salva.
    7. Se hai eseguito l'integrazione con Jira, seleziona il playbook Posture Findings With Jira.
      1. Attiva/disattiva l'opzione per abilitare il playbook.
      2. Fai clic su Salva.
    8. Se hai eseguito l'integrazione con ServiceNow, seleziona il playbook Posture Findings with SNOW.
      1. Attiva/disattiva l'opzione per abilitare il playbook.
      2. Fai clic su Salva.

Aggiornamento connettori

L'aggiornamento del caso d'uso non aggiorna automaticamente i connettori esistenti. Per assicurarti che l'importazione dati funzioni come previsto dopo l'aggiornamento del caso d'uso, aggiorna i connettori SCC Enterprise - Urgent Posture Findings Connector e Google Chronicle - Chronicle Alerts Connector.

Per aggiornare il connettore SCC Enterprise - Urgent Posture Findings Connector:

  1. Nella navigazione della console Security Operations, vai a Impostazioni > Impostazioni SOAR > Acquisizione > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Posture Findings Connector. Si apre la pagina di configurazione dei parametri del connettore.
  3. Fai clic su nella cache Aggiorna.
  4. Imposta il parametro Esegui ogni su 1 minuto.
  5. Attiva/disattiva l'opzione per abilitare il connettore.
  6. Fai clic su Salva.

Per aggiornare il connettore Google Chronicle - Chronicle Alerts Connector:

  1. Nella navigazione della console Security Operations, vai a Impostazioni > Impostazioni SOAR > Acquisizione > Connettori.
  2. In GoogleChronicle, seleziona Google Chronicle - Chronicle Alerts Connector. Si apre la pagina di configurazione dei parametri del connettore.
  3. Fai clic su nella cache Aggiorna.
  4. Imposta il parametro Esegui ogni su 1 minuto.
  5. Nel campo del parametro Nome campo prodotto, inserisci SCCE.
  6. Attiva/disattiva l'opzione per abilitare il connettore.
  7. Fai clic su Salva.

Verifica la configurazione dell'aggiornamento

Per assicurarti che tutti i componenti del caso d'uso siano aggiornati correttamente, testa il connettore e il job.

Testa il connettore

  1. Nella navigazione della console Security Operations, vai a Impostazioni > Impostazioni SOAR > Acquisizione > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Posture Findings Connector.
  3. Vai alla scheda Test.
  4. Fai clic su Esegui il connettore una volta. Se la configurazione del connettore è corretta, viene visualizzato il segno di spunta.

Testa il job

  1. Nella navigazione della console Security Operations, vai a Risposta > Pianificatore job.
  2. In GoogleSecurityCommandCenter, seleziona Sincronizza dati SCC.
  3. Fai clic su Esegui ora. Se il job funziona come previsto, il relativo stato è Success.

Risoluzione dei problemi

  • Il job Sincronizza dati SCC mostra il seguente errore:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Attendi dieci minuti e fai clic su Esegui ora. Se l'errore persiste:

    1. Nella sezione Parametri del job, elimina il valore parametro ID organizzazione.
    2. Inserisci il valore parametro ID organizzazione.
    3. Fai clic su Salva.
    4. Fai clic su Esegui ora.

  • Il job Sincronizza dati SCC mostra un errore di autenticazione quando non è riuscito ad aggiornarsi automaticamente durante l'aggiornamento del caso d'uso. Per risolvere il problema del job di sincronizzazione, inserisci manualmente i valori dei parametri ID progetto e ID progetto quota.

    Per specificare i valori dei parametri corretti:

    1. Vai a Impostazioni > Impostazioni SOAR > Acquisizione > Connettori.
    2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Posture Findings Connector.
    3. Nella sezione Parametri, copia il valore del parametro ID progetto quota.
    4. Vai a Risposta > Pianificatore job.
    5. In SCCEnterprise, seleziona Sincronizza dati SCC.
    6. Nella sezione Parametri del job Sincronizza dati SCC, inserisci il valore copiato nei campi ID progetto e ID progetto quota.
    7. Fai clic su Salva.

  • Dopo l'aggiornamento del caso d'uso, i nuovi playbook non vengono applicati agli avvisi esistenti.

    Per applicare i nuovi playbook agli avvisi esistenti ed eseguire di nuovo il rendering del widget Avviso, chiudi una richiesta e attendi che il connettore acquisisca di nuovo gli avvisi con i nuovi playbook allegati.