Atualize o exemplo de utilização empresarial

A atualização de 18 de dezembro de 2024 do exemplo de utilização SCC Enterprise – Cloud Orchestration and Remediation já está disponível. Atualize o exemplo de utilização assim que possível.

Este exemplo de utilização fornece atualizações às funcionalidades de operações de segurança do nível Enterprise do Security Command Center. Para aplicar as atualizações, siga os procedimentos nesta página.

O procedimento de atualização inclui os seguintes passos gerais:

  1. Prepare o sistema para a atualização desativando um conetor e eliminando determinados manuais de procedimentos existentes.
  2. Instale a versão mais recente do exemplo de utilização SCC Enterprise – Cloud Orchestration and Remediation.
  3. Valide a instalação e execute as jogadas estudadas atualizadas.

Estes passos são realizados através de Definições > Definições de SOAR na página da consola de operações de segurança.

Confirme que tem as funções necessárias

Para concluir este procedimento, tem de lhe ser concedido um dos seguintes papéis do SOC na consola de operações de segurança:

  • Administrador
  • Vulnerability Manager
  • Gestor de ameaças

Para mais detalhes sobre as funções e as autorizações da SOC necessárias para os utilizadores acederem às páginas da consola de operações de segurança, consulte o artigo Controlar o acesso às funcionalidades nas páginas da consola de operações de segurança.

Prepare o sistema para a atualização

Antes de atualizar o exemplo de utilização, tem de desativar o SCC Enterprise – Urgent Posture Findings Connector e eliminar os manuais de procedimentos fornecidos pela versão atual do exemplo de utilização.

Desative o conetor

Para evitar ter alertas sem manuais de procedimentos anexados, desative o conetor SCC Enterprise – Urgent Posture Findings Connector antes de eliminar manuais de procedimentos. O Security Command Center carrega as conclusões recolhidas enquanto o conetor está desativado quando atualiza e ativa o conetor.

Para desativar o conector, conclua os passos seguintes:

  1. Na navegação da consola Security Operations, aceda a Definições > Definições do SOAR > Carregamento > Conetores.
  2. Em SCCEnterprise, selecione SCC Enterprise – Urgent Posture Findings Connector.
  3. Mova o botão ativar/desativar para desativar o conector.
  4. Clique em Guardar.

Elimine manuais de soluções

Para evitar a duplicação de manuais de procedimentos, elimine os manuais de procedimentos predefinidos que usa na versão atual do seu exemplo de utilização. A eliminação de manuais de soluções antes de atualizar o exemplo de utilização não tem impacto na gestão de registos.

Para eliminar manuais de soluções predefinidos, conclua os seguintes passos:

  1. Na navegação da consola de operações de segurança, aceda a Resposta > Playbooks. Por predefinição, o filtro pendente está definido como Mostrar tudo.

  2. Selecione a pasta Exemplos de utilização do Siemplify. Esta pasta contém os seguintes manuais de procedimentos predefinidos:

    • Guia interativo de resposta a ameaças da AWS
    • Guia interativo de resposta a ameaças da GCP
    • Resposta do IAM Recommender
    • Posture Findings – Generic
    • Resultados da postura – Genérico – VM Manager
    • Resultados da postura com o Jira
    • Resultados da postura com o ServiceNow
    • Google Cloud – Execution – Cryptomining
    • Google Cloud – Execution – Binary or Library Loaded Executed
    • Google Cloud – Execution – Malicious URL Script or Shell Process
    • Google Cloud – Persistence – Suspicious Behaviour
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Posture – Toxic Combination Playbook
    • Pré-visualização: guia interativo de resposta a ameaças do Azure

  3. Na navegação da página Playbooks, clique em Editar para selecionar vários itens.

  4. Junto a Siemplify Use Cases, clique em done_all Selecionar tudo para selecionar todos os manuais de procedimentos e blocos na pasta.

  5. Na navegação da página Playbooks, clique no menu Lista > Eliminar. É apresentada uma janela que requer a confirmação ou o cancelamento da eliminação dos manuais selecionados.

  6. Clique em Confirm.

    Agora, pode atualizar a versão do exemplo de utilização.

Instale o exemplo de utilização do Security Command Center Enterprise

Para instalar a versão mais recente do exemplo de utilização do SCC Enterprise, use a versão mais recente e verifique se todas as integrações fornecidas no exemplo de utilização estão atualizadas.

Instale o exemplo de utilização mais recente

Para instalar a versão mais recente do exemplo de utilização SCC Enterprise – Cloud Orchestration and Remediation, conclua os seguintes passos:

  1. Na navegação da consola de operações de segurança, aceda a Marketplace > Exemplos de utilização.
  2. Abra a caixa de diálogo Filtrar por categorias clicando no ícone de filtro, .
  3. Na caixa de diálogo Filtrar por categorias, escreva SCC Enterprise. O exemplo de utilização aparece na secção Exemplos de utilização.

  4. Na descrição do exemplo de utilização SCC Enterprise – Cloud Orchestration and Remediation, procure uma data.

    • Se a data for anterior a 10 de julho de 2024 ou não existir nenhuma data na descrição, elimine o exemplo de utilização. O exemplo de utilização mais recente aparece automaticamente no lugar do exemplo de utilização eliminado.

    • Se a data no exemplo de utilização SCC Enterprise – Cloud Orchestration and Remediation for 10 de julho de 2024 ou posterior, confirme que os manuais de procedimentos no exemplo de utilização mais recente estão instalados concluindo os seguintes passos:

      1. Clique no exemplo de utilização para abrir o assistente de instalação.
      2. Expanda a categoria de manuais de soluções e tome nota de quaisquer manuais de soluções novos ou atualizados.
      3. Na página Resposta > Manuais de procedimentos na Security Operations Console, pesquise o manual de procedimentos novo ou atualizado. Se encontrar o novo ou atualizado manual de soluções, a instalação do exemplo de utilização já está concluída.

  5. Para concluir a instalação do exemplo de utilização, clique no exemplo de utilização SCC Enterprise – Orquestração e correção na nuvem e siga as instruções no assistente de instalação.

Aplique e valide as configurações do novo exemplo de utilização

Tem de validar se as várias funcionalidades incluídas no exemplo de utilização mais recente estão atualizadas corretamente. Para determinadas funcionalidades, tem de aplicar manualmente as atualizações do novo exemplo de utilização.

Valide as versões de integração no exemplo de utilização

As novas versões das integrações incluídas no exemplo de utilização estão disponíveis todas as semanas. Atualize as integrações para as versões mais recentes assim que possível.

As novas versões das integrações introduzem atualizações, incluindo, entre outras, correções, novos widgets e ações, alterações aos widgets e ações existentes, melhorias no processamento de alertas e melhorias na lógica de processamento de deteção e no mapeamento do fluxo de trabalho.

Para aplicar as atualizações às integrações, conclua os seguintes passos:

  1. Na navegação da consola Security Operations, aceda a Marketplace > Integrações.
  2. No campo Tipo, selecione Todas as integrações.
  3. No campo Estado, selecione Atualização disponível. São apresentadas todas as integrações que requerem uma atualização.
  4. Para atualizar uma integração, clique em Atualizar para a versão VERSION no cartão de integração.
  5. Se for apresentada a caixa de diálogo A atualizar INTEGRATION, clique em Confirmar.
  6. Se for apresentada a caixa de diálogo Confirmação, clique em Aprovar.
  7. Na caixa de diálogo Confirmar substituição do mapeamento, selecione a seguinte opção: Instalar a nova configuração da ontologia e substituir a existente e, de seguida, clique em Confirmar.

É necessário atualizar a integração do SCC Enterprise e instalar a nova configuração da ontologia para todas as integrações atualizadas.

Configure a integração do Cloud Storage

Para corrigir as conclusões da ACL do contentor público, o exemplo de utilização SCC Enterprise – Cloud Orchestration and Remediation inclui uma integração adicional, a integração do Cloud Storage.

Para permitir que os manuais de procedimentos enriqueçam e corrijam o PUBLIC BUCKET ACL tipo de descoberta, configure a integração do Cloud Storage concluindo os seguintes passos:

  1. Configure os parâmetros de integração.
  2. Ative a correção de contentores públicos para manuais de soluções.
Configure os parâmetros de integração

Para configurar os parâmetros de integração do Cloud Storage, conclua os seguintes passos:

  1. Na navegação da consola Security Operations, aceda a Marketplace > Integrações.
  2. No campo Pesquisar, introduza Storage. É apresentado o cartão de integração do Cloud Storage.
  3. No cartão de integração, clique em Configurar. É aberta a caixa de diálogo de configuração.
  4. Configure os parâmetros Workload Identity Email, Project ID e Quota Project ID. Pode copiar os valores dos parâmetros de qualquer outra integração, como a integração do Cloud Asset Inventory. Google Cloud
  5. Clique em Guardar.
  6. Clique em Testar para testar a configuração.
Ative a correção de contentores públicos para manuais de soluções

Para ativar a correção de contentores públicos para os manuais de procedimentos de resultados da postura, consulte o artigo Ative a correção de contentores públicos.

Atualize os widgets da vista de registo

  1. Na navegação da consola Security Operations, aceda a Definições > Definições de SOAR > Dados de registos > Vistas.
  2. Selecione Vista de registo predefinida.
  3. Selecione o separador Predefinido.

  4. Arraste os widgets do separador Predefinido para a Vista de registo predefinida na seguinte ordem recomendada:

    1. Resumo do registo
    2. Caminho de ataque de combinação tóxica
    3. Conclusões
    4. Investigação de IA/Resumo do Gemini
    5. Resumo da descoberta
    6. SCC – Finding State
    7. Recursos afetados
    8. Informações sobre bilhetes
    9. Ações pendentes
    10. Gráfico de entidades
    11. Destaques de entidades

  5. Clique em Guardar vista.

Valide widgets

Para garantir que recebe as informações corretas, valide se os seguintes widgets contêm a condição correta:

  • Caminho de ataque de combinação tóxica
  • Encontrar
  • Gráfico de entidades
  • Investigação de IA/Resumo do Gemini
  • Resumo da reunião
  • Recursos afetados
  • SCC – Finding State
  • Recursos afetados
  • Recursos da AWS afetados

Para validar os widgets, conclua os seguintes passos:

  1. Na navegação da consola de operações de segurança, aceda a Definições > Definições de SOAR > Dados de registos > Vistas.

  2. Selecione Vista de registo predefinida.

  3. Para os widgets Caminho de ataque de combinação tóxica e Localização, clique em definições Configuração.

    Em Definições avançadas, na secção Condições, a condição deve ser a seguinte: [Case.Tags] () Toxic Combination. Caso contrário, atualize a condição e, de seguida, clique em Guardar.

  4. Para os widgets Gráfico de entidades e Investigação de IA/Resumo do Gemini, clique em definições Configuração.

    Em Definições avançadas, na secção Condições, a condição deve ser a seguinte: [Case.Tags] !() Toxic Combination. Caso contrário, atualize a condição e, de seguida, clique em Guardar.

  5. Para o widget Resumo da pesquisa, clique em DefiniçõesConfiguração.

    Em Definições avançadas, na secção Condições, as condições devem ser as seguintes:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    Caso contrário, atualize as condições e, de seguida, clique em Guardar.

  6. Para o widget Recursos afetados, clique em definições Configuração.

    Em Definições avançadas, na secção Condições, a condição deve ser a seguinte: [Case.Tags] () Toxic Combination. Caso contrário, atualize a condição e, de seguida, clique em Guardar.

  7. Para o widget SCC – Finding State, clique em Eliminar. Quando a caixa de diálogo de confirmação for apresentada, clique em Sim.

    Para instalar o widget SCC – Finding State configurado para a versão mais recente do exemplo de utilização, arraste o widget SCC – Finding State do separador Predefinido para a Vista de registo predefinida.

  8. No widget Recursos afetados, clique em Eliminar. Quando a caixa de diálogo de confirmação for apresentada, clique em Sim.

    Para instalar o widget Recursos afetados configurado para a versão mais recente do exemplo de utilização, arraste o widget Recursos afetados do separador Predefinido para a Vista de registo predefinida.

  9. No widget Recursos da AWS afetados, clique em Eliminar. Quando a caixa de diálogo de confirmação for apresentada, clique em Sim.

  10. Clique em Guardar vista.

Ative os guias interativos

Para ativar os manuais de soluções para o processamento de vulnerabilidades e configurações incorretas, conclua os seguintes passos:

  1. Na navegação da consola de operações de segurança, aceda a Resposta > Playbooks.

  2. Selecione a pasta Exemplos de utilização do Siemplify.

    Se não fez a integração com sistemas de emissão de bilhetes, certifique-se de que a opção Resultados de postura – Genérico está ativada. A ativação do manual Posture Findings – Generic – VM Manager é opcional.

    Se fez a integração com sistemas de emissão de bilhetes, conclua os seguintes passos:

    1. Selecione o manual Resultados da postura – Genérico.
    2. Mova o botão para desativar a opção.
    3. Clique em Guardar.
    4. Selecione o manual Posture Findings – Generic – VM Manager.
    5. Mova o botão para desativar a opção.
    6. Clique em Guardar.
    7. Se fez a integração com o Jira, selecione o manual Resultados da postura com o Jira.
      1. Mova o botão para ativar o manual de estratégias.
      2. Clique em Guardar.
    8. Se fez a integração com o ServiceNow, selecione o manual de procedimentos Posture Findings with SNOW.
      1. Mova o botão para ativar o manual de estratégias.
      2. Clique em Guardar.

Atualize os conetores

A atualização do exemplo de utilização não atualiza automaticamente os conetores existentes. Para garantir que a carregamento de dados funciona como esperado após a atualização do exemplo de utilização, atualize os conetores SCC Enterprise – Urgent Posture Findings Connector e Google Chronicle – Chronicle Alerts Connector.

Para atualizar o conector SCC Enterprise – Urgent Posture Findings Connector, conclua os seguintes passos:

  1. Na navegação da consola Security Operations, aceda a Definições > Definições do SOAR > Carregamento > Conetores.
  2. Em SCCEnterprise, selecione SCC Enterprise – Urgent Posture Findings Connector. É aberta a página de configuração dos parâmetros do conetor.
  3. Clique em em cache Atualizar.
  4. Defina o parâmetro Executar a cada para 1 minuto.
  5. Mova o botão para ativar o conector.
  6. Clique em Guardar.

Para atualizar o conector Google Chronicle – Chronicle Alerts Connector, conclua os seguintes passos:

  1. Na navegação da consola Security Operations, aceda a Definições > Definições do SOAR > Carregamento > Conetores.
  2. Em GoogleChronicle, selecione Google Chronicle – Chronicle Alerts Connector. É apresentada a página de configuração dos parâmetros do conetor.
  3. Clique em em cache Atualizar.
  4. Defina o parâmetro Executar a cada para 1 minuto.
  5. No campo do parâmetro Nome do campo do produto, introduza SCCE.
  6. Mova o botão para ativar o conector.
  7. Clique em Guardar.

Valide a configuração da atualização

Para garantir que todos os componentes do exemplo de utilização são atualizados com êxito, teste o conector e a tarefa.

Teste o conetor

  1. Na navegação da consola Security Operations, aceda a Definições > Definições do SOAR > Carregamento > Conetores.
  2. Em SCCEnterprise, selecione SCC Enterprise – Urgent Posture Findings Connector.
  3. Aceda ao separador Testes.
  4. Clique em Executar conetor uma vez. Se a configuração do conetor estiver correta, é apresentado o sinal de visto.

Teste a tarefa

  1. Na navegação da consola de operações de segurança, aceda a Resposta > Programador de tarefas.
  2. Em GoogleSecurityCommandCenter, selecione Sincronizar dados do SCC.
  3. Clique em Executar agora. Se a tarefa funcionar conforme esperado, o estado da tarefa é Success.

Resolução de problemas

  • A tarefa Sincronizar dados de SCC apresenta o seguinte erro:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Aguarde dez minutos e clique em Executar agora. Se o erro persistir, conclua os seguintes passos:

    1. Na secção Parâmetros da tarefa, elimine o valor do parâmetro ID da organização.
    2. Introduza o valor do parâmetro ID da organização.
    3. Clique em Guardar.
    4. Clique em Executar agora.

  • A tarefa Sincronizar dados de SCC apresenta um erro de autenticação quando não é atualizada automaticamente durante a atualização do exemplo de utilização. Para corrigir o problema da tarefa de sincronização, introduza manualmente os valores dos parâmetros Project ID e Quota Project ID.

    Para especificar os valores dos parâmetros corretos, conclua os seguintes passos:

    1. Aceda a Definições > Definições do SOAR > Carregamento > Conetores.
    2. Em SCCEnterprise, selecione SCC Enterprise – Urgent Posture Findings Connector.
    3. Na secção Parâmetros, copie o valor do parâmetro Quota Project ID.
    4. Aceda a Resposta > Agendador de tarefas.
    5. Em SCCEnterprise, selecione Sincronizar dados do SCC.
    6. Na secção Parâmetros da tarefa Sincronizar dados de SCC, introduza o valor copiado nos campos ID do projeto e ID do projeto de quota.
    7. Clique em Guardar.

  • Após a atualização do exemplo de utilização, os novos manuais de procedimentos não se aplicam aos alertas existentes.

    Para aplicar os novos manuais de procedimentos aos alertas existentes e renderizar novamente o widget Alerta, feche um registo e aguarde até que o conector introduza novamente os alertas com os novos manuais de procedimentos anexados.