Security Command Center Enterprise in Ticketsysteme einbinden

In diesem Dokument wird beschrieben, wie Sie die Enterprise-Version von Security Command Center in Ticketsysteme einbinden, nachdem Sie SOAR (Security Orchestration, Automation and Response) konfiguriert haben.

Die Integration in Ticketsysteme ist optional und erfordert eine manuelle Konfiguration. Wenn Sie die Standardkonfiguration von Security Command Center Enterprise verwenden, müssen Sie diese Schritte nicht ausführen. Sie können ein Ticketsystem jederzeit später einbinden.

Übersicht

Sie können Ergebnisse mit der Standardkonfiguration von Security Command Center Enterprise über die Console und APIs nachverfolgen. Wenn Ihre Organisation Ticketsysteme zum Nachverfolgen von Problemen verwendet, können Sie nach der Konfiguration Ihrer Google Security Operations-Instanz eine Integration mit Jira oder ServiceNow einrichten.

Nachdem Ergebnisse für Ressourcen eingegangen sind, werden sie vom SCC Enterprise – Urgent Posture Findings Connector analysiert und je nach Ergebnistyp in neue oder vorhandene Anfragen gruppiert.

Wenn Sie ein Ticketsystem einbinden, erstellt Security Command Center jedes Mal ein neues Ticket, wenn ein neuer Fall für Ergebnisse erstellt wird. Security Command Center aktualisiert das zugehörige Ticket automatisch, wenn ein Fall aktualisiert wird.

Ein einzelner Fall kann mehrere Ergebnisse enthalten. Security Command Center erstellt für jeden Fall ein Ticket und synchronisiert den Fallinhalt und die Informationen mit dem entsprechenden Ticket, damit die Ticketzuweiser wissen, was behoben werden muss.

Die Synchronisierung zwischen einem Fall und seinem Ticket erfolgt in beide Richtungen:

  • Änderungen in einer Anfrage, z. B. eine Statusaktualisierung oder ein neuer Kommentar, werden automatisch im zugehörigen Ticket übernommen.

  • Ebenso werden Ticketdetails mit dem Fall synchronisiert und mit Informationen aus dem Ticketsystem angereichert.

Hinweise

Bevor Sie Jira oder ServiceNow konfigurieren, geben Sie eine gültige E-Mail-Adresse für den Parameter Fallback Owner (Fallback-Inhaber) im SCC Enterprise – Urgent Posture Findings Connector an und sorgen Sie dafür, dass diese E-Mail-Adresse in Ihrem Ticketsystem zugewiesen werden kann.

In Jira einbinden

Führen Sie alle Integrationsschritte aus, um die Aktualisierungen von Kundenservicevorgängen mit Jira-Vorgängen zu synchronisieren und den richtigen Playbook-Ablauf zu gewährleisten.

Eine Fallpriorität wird in der Schwere des Jira-Vorgangs widergespiegelt.

Neues Projekt in Jira erstellen

Wenn Sie ein neues Projekt in Jira für die Security Command Center Enterprise-Probleme mit dem Namen SCC Enterprise Project (SCCE) erstellen möchten, führen Sie eine manuelle Aktion im Fall aus. Sie können einen vorhandenen Fall verwenden oder einen simulieren. Weitere Informationen zum Simulieren von Fällen finden Sie in der Google SecOps-Dokumentation auf der Seite Fälle simulieren.

Zum Erstellen eines neuen Jira-Projekts sind Anmeldedaten auf Jira-Administratorebene erforderlich.

So erstellen Sie ein neues Jira-Projekt:

  1. Rufen Sie in der Google Cloud Console Risiko > Anfragen auf.
  2. Wählen Sie einen vorhandenen Fall oder den Fall aus, den Sie simuliert haben.
  3. Klicken Sie auf dem Tab Case Overview (Fallübersicht) auf Manual Action (Manuelle Aktion).
  4. Geben Sie im Feld Suchen der manuellen Aktion Create SCC Enterprise ein.
  5. Wählen Sie in den Suchergebnissen unter der Integration SCCEnterprise die Aktion Create SCC Enterprise Cloud Posture Ticket Type Jira aus. Das Dialogfeld wird geöffnet.

  6. Geben Sie zum Konfigurieren des Parameters API-Stamm den API-Stamm Ihrer Jira-Instanz ein, z. B. https://YOUR_DOMAIN_NAME.atlassian.net.

  7. Geben Sie zum Konfigurieren des Parameters Username den Nutzernamen ein, mit dem Sie sich als Administrator in Jira anmelden.

  8. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, mit dem Sie sich als Administrator in Jira anmelden.

  9. Geben Sie zum Konfigurieren des Parameters API-Token das API-Token Ihres Atlassian-Administratorkontos ein, das in der Jira-Konsole generiert wurde.

  10. Klicken Sie auf Ausführen. Warten Sie, bis die Aktion abgeschlossen ist.

Optional: Benutzerdefiniertes Jira-Vorgangslayout konfigurieren

  1. Melden Sie sich als Administrator in Jira an.
  2. Rufen Sie Projekte > SCC Enterprise Project (SCCE) auf.
  3. Problemfelder anpassen und neu anordnen Weitere Informationen zum Verwalten von Problemfeldern finden Sie in der Jira-Dokumentation unter Layout von Problemfeldern konfigurieren.

Jira-Integration konfigurieren

  1. Rufen Sie in der Google Cloud -Konsole Antwort > Playbooks auf, um die Navigation der Security Operations-Konsole zu öffnen.
  2. Klicken Sie in der Navigationsleiste der Security Operations-Konsole auf Reaktion > Einrichtung von Integrationen.
  3. Wählen Sie die Standardumgebung aus.
  4. Geben Sie im Feld Suche der Integration Jira ein. Die Jira-Integration wird als Suchergebnis zurückgegeben.
  5. Klicken Sie auf  Instanz konfigurieren. Das Dialogfeld wird geöffnet.

  6. Geben Sie zum Konfigurieren des Parameters API-Stamm den API-Stamm Ihrer Jira-Instanz ein, z. B. https://YOUR_DOMAIN_NAME.atlassian.net.

  7. Geben Sie zum Konfigurieren des Parameters Username den Nutzernamen ein, mit dem Sie sich in Jira anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

  8. Geben Sie zum Konfigurieren des Parameters API-Token das API-Token Ihres Atlassian-Kontos ein, das in der Jira-Konsole generiert wurde.

  9. Klicken Sie auf Speichern.

  10. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook „Sicherheitsstatus-Ergebnisse mit Jira“ aktivieren

  1. Rufen Sie in der Google Cloud Console die Seite Antwort > Playbooks auf, um die Seite Playbooks in der Security Operations Console zu öffnen.
  2. Geben Sie in der Suchleiste des Playbooks Generic ein.
  3. Wählen Sie das Playbook Posture Findings – Generic (Ergebnisse zur Haltung – Allgemein) aus. Dieses Playbook ist standardmäßig aktiviert.
  4. Stellen Sie den Schalter auf Playbook deaktivieren.
  5. Klicken Sie auf Speichern.
  6. Geben Sie in der Suchleiste des Playbooks Jira ein.
  7. Wählen Sie das Playbook Posture Findings With Jira aus. Dieses Playbook ist standardmäßig deaktiviert.
  8. Stellen Sie den Schalter um, um das Playbook zu aktivieren.
  9. Klicken Sie auf Speichern.

In ServiceNow einbinden

Führen Sie alle Integrationsschritte aus, um die Aktualisierungen von Google SecOps-Vorgängen mit ServiceNow-Tickets zu synchronisieren und den richtigen Playbook-Ablauf zu gewährleisten.

Benutzerdefinierten ServiceNow-Tickettyp erstellen und konfigurieren

Erstellen und konfigurieren Sie den benutzerdefinierten ServiceNow-Tickettyp, um den Tab „Aktivitäten“ in der ServiceNow-Benutzeroberfläche zu aktivieren und das fehlerhafte Ticketlayout zu vermeiden.

Benutzerdefinierten ServiceNow-Tickettyp erstellen

Zum Erstellen eines benutzerdefinierten ServiceNow-Tickettyps sind Anmeldedaten auf ServiceNow-Administratorebene erforderlich.

So erstellen Sie einen benutzerdefinierten Tickettyp:

  1. Rufen Sie in der Google Cloud Console Risiko > Anfragen auf.
  2. Wählen Sie einen vorhandenen Fall oder den simulierten Fall aus.
  3. Klicken Sie auf dem Tab Case Overview (Fallübersicht) auf Manual Action (Manuelle Aktion).
  4. Geben Sie im Feld für die manuelle Aktion Suchen den Wert Create SCC Enterprise ein.
  5. Wählen Sie in den Suchergebnissen unter der Integration SCCEnterprise die Aktion Create SCC Enterprise Cloud Posture Ticket Type SNOW aus. Das Dialogfeld wird geöffnet.

  6. Geben Sie zum Konfigurieren des Parameters API-Stamm den API-Stamm Ihrer ServiceNow-Instanz ein, z. B. https://INSTANCE_NAME.service-now.com/api/now/v1/.

  7. Geben Sie zur Konfiguration des Parameters Username den Nutzernamen ein, mit dem Sie sich als Administrator in ServiceNow anmelden.

  8. Geben Sie zum Konfigurieren des Parameters Passwort das Passwort ein, mit dem Sie sich als Administrator in ServiceNow anmelden.

  9. Wenn Sie den Parameter Table Role konfigurieren möchten, lassen Sie das Feld leer oder geben Sie einen Wert an, falls Sie einen haben. Für diesen Parameter kann nur ein Rollenwert angegeben werden.

    Das Feld Tabellenrolle ist standardmäßig leer. Sie müssen eine neue benutzerdefinierte Rolle in ServiceNow erstellen, um die Security Command Center Enterprise-Tickets zu verwalten. Nur ServiceNow-Nutzer, denen diese neue benutzerdefinierte Rolle zugewiesen wurde, haben Zugriff auf die Security Command Center Enterprise-Tickets.

    Wenn Sie bereits eine spezielle Rolle für Nutzer haben, die Vorfälle in ServiceNow verwalten, und Sie diese Rolle für die Verwaltung der Security Command Center Enterprise-Ergebnisse verwenden möchten, geben Sie den Namen der vorhandenen ServiceNow-Rolle in das Feld Table Role (Tabellenrolle) ein. Wenn Sie beispielsweise den vorhandenen Wert incident_handler_role angeben, können alle Nutzer, denen die Rolle incident_handler_role in ServiceNow zugewiesen ist, auf die Security Command Center Enterprise-Tickets zugreifen.

  10. Klicken Sie auf Ausführen. Warten Sie, bis die Aktion abgeschlossen ist.

Benutzerdefiniertes ServiceNow-Ticketlayout konfigurieren

Damit die ServiceNow-Weboberfläche die Updates zu Fällen und Fallkommentaren korrekt anzeigt, führen Sie die folgenden Schritte aus:

  1. Rufen Sie in Ihrem ServiceNow-Administratorkonto den Tab Alle auf.
  2. Geben Sie im Feld Suchen SCC Enterprise ein.
  3. Wählen Sie in der Drop-down-Liste SCC Enterprise Cloud Posture Ticket aus und führen Sie eine Suche aus.
  4. Wählen Sie das Ticket für den Haltungstest aus. Die Seite mit dem ServiceNow-Ticketlayout wird geöffnet.
  5. Rufen Sie auf der Seite „ServiceNow-Ticketlayout“ Zusätzliche Aktionen > > Formularlayout konfigurieren auf.
  6. Gehen Sie zum Abschnitt Formularansicht und ‑abschnitt.
  7. Wählen Sie im Feld Abschnitt die Option u_scc_enterprise_cloud_posture_ticket aus.
  8. Klicken Sie auf Speichern. Nach der Aktualisierung der Seite enthält die Ticketvorlage Felder, die auf zwei Spalten verteilt sind.
  9. Klicken Sie auf Zusätzliche Aktionen> Konfigurieren > Formularlayout.
  10. Gehen Sie zum Abschnitt Formularansicht und ‑abschnitt.
  11. Wählen Sie im Feld Abschnitt die Option Zusammenfassung aus.
  12. Klicken Sie auf Speichern. Nach der Aktualisierung der Seite wird in der Ticketvorlage die neue Zusammenfassungsstruktur angezeigt.

ServiceNow-Integration konfigurieren

  1. Rufen Sie in der Google Cloud -Konsole Antwort > Playbooks auf, um die Navigation der Security Operations-Konsole zu öffnen.
  2. Klicken Sie in der Navigationsleiste der Security Operations-Konsole auf Reaktion > Einrichtung von Integrationen.
  3. Wählen Sie die Standardumgebung aus.
  4. Geben Sie im Feld Suche der Integration ServiceNow ein. Die ServiceNow-Integration wird als Suchergebnis zurückgegeben.
  5. Klicken Sie auf  Instanz konfigurieren. Das Dialogfeld wird geöffnet.

  6. Geben Sie zum Konfigurieren des Parameters API-Stamm den API-Stamm Ihrer ServiceNow-Instanz ein, z. B. https://INSTANCE_NAME.service-now.com/api/now/v1/.

  7. Geben Sie zum Konfigurieren des Parameters Nutzername den Nutzernamen ein, mit dem Sie sich in ServiceNow anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

  8. Geben Sie zur Konfiguration des Parameters Passwort das Passwort ein, mit dem Sie sich in ServiceNow anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

  9. Klicken Sie auf Speichern.

  10. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook „Posture Findings With SNOW“ aktivieren

  1. Rufen Sie in der Google Cloud Console die Seite Antwort > Playbooks auf.
  2. Geben Sie in der Suchleiste des Playbooks Generic ein.
  3. Wählen Sie das Playbook Posture Findings – Generic (Ergebnisse zur Haltung – Allgemein) aus. Dieses Playbook ist standardmäßig aktiviert.
  4. Stellen Sie den Schalter auf Playbook deaktivieren.
  5. Klicken Sie auf Speichern.
  6. Geben Sie in der Suchleiste des Playbooks SNOW ein.
  7. Wählen Sie das Playbook Posture Findings With SNOW (Ergebnisse zur Körperhaltung mit SNOW) aus. Dieses Playbook ist standardmäßig deaktiviert.
  8. Stellen Sie den Schalter um, um das Playbook zu aktivieren.
  9. Klicken Sie auf Speichern.

Synchronisierung von Falldaten aktivieren

Security Command Center synchronisiert die Informationen zwischen einem Fall und dem entsprechenden Ticket automatisch. So werden Priorität, Status, Kommentare und andere relevante Daten zwischen einem Fall und dem zugehörigen Ticket abgeglichen.

Zum Synchronisieren von Falldaten verwendet Security Command Center interne automatische Prozesse, sogenannte Synchronisierungsjobs. Mit den Jobs SCC-Jira-Tickets synchronisieren und SCC-ServiceNow-Tickets synchronisieren werden Falldaten zwischen Security Command Center und integrierten Ticketsystemen synchronisiert. Beide Jobs sind anfangs deaktiviert und müssen aktiviert werden, um die automatische Synchronisierung von Falldaten zu starten.

Wenn Sie einen Fall schließen, wird das entsprechende Ticket automatisch geschlossen. Wenn Sie ein Ticket in Jira oder ServiceNow schließen, werden die Synchronisierungsjobs ausgelöst, um auch den Fall zu schließen.

Hinweise

Damit Sie die Fallsynchronisierung aktivieren können, muss Ihnen auf der Seite SOAR-Einstellungen eine der folgenden SOC-Rollen zugewiesen sein:

  • Administrator
  • Vulnerability Manager
  • Threat Manager

Weitere Informationen zu SOC-Rollen und den für Nutzer erforderlichen Berechtigungen finden Sie unter Zugriff auf Funktionen auf Seiten der Security Operations Console steuern.

Synchronisierung für Ticketsysteme aktivieren

Damit die Informationen in Fällen und Tickets automatisch synchronisiert werden, müssen Sie den Synchronisierungsjob aktivieren, der für das von Ihnen integrierte Ticketsystem relevant ist.

Führen Sie die folgenden Schritte aus, um den Synchronisierungsjob zu aktivieren:

  1. Rufen Sie in der Google Cloud Console das Security Command Center auf.

    Zum Security Command Center

  2. Klicken Sie im Navigationsmenü auf Antwort > Playbooks. Die Seite Playbooks wird in der Security Operations Console geöffnet.

  3. Klicken Sie auf Antwort > JobScheduler.

  4. Wählen Sie den richtigen Synchronisierungsjob aus:

    • Wenn Sie Jira integriert haben, wählen Sie den Job SCC-Jira-Tickets synchronisieren aus.

    • Wenn Sie ServiceNow integriert haben, wählen Sie den Job SCC-ServiceNow-Tickets synchronisieren aus.

  5. Stellen Sie den Schalter auf „Ein“, um den ausgewählten Job zu aktivieren.

  6. Klicken Sie auf Speichern, damit Security Command Center Falldaten automatisch mit einem Ticketsystem synchronisiert.

Tickets für vorhandene Fälle erstellen

Security Command Center erstellt automatisch Tickets nur für Fälle, die nach der Integration in ein Ticketsystem geöffnet wurden. Neue Playbooks werden nicht nachträglich an bestehende Benachrichtigungen angehängt. Wenn Sie Tickets für Fälle erstellen möchten, die vor der Integration in ein Ticketsystem eröffnet wurden, haben Sie folgende Möglichkeiten:

  • Schließen Sie ein Case ohne Ticket und warten Sie, bis SCC die Ergebnisse neu erfasst und den Case-Benachrichtigungen ein neues Playbook zuweist.

  • Sie können jedem Hinweis in einem Fall, der vor der Integration mit einem Ticketsystem geöffnet wurde, manuell ein Playbook hinzufügen.

Fall ohne Ticket schließen

So schließen Sie einen Fall ohne Ticket:

  1. Rufen Sie in der Google Cloud Console das Security Command Center auf.

    Zum Security Command Center

  2. Klicken Sie im Navigationsbereich auf Risiko > Fälle. Die Seite Fälle wird in der Security Operations Console geöffnet.

  3. Klicken Sie auf  Filter öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.

  4. Geben Sie im Filter für die Fallwarteschlange Folgendes an:

    1. Geben Sie im Feld Zeitrahmen den Zeitraum für offene Fälle an.
    2. Stellen Sie Logischer Operator auf AND ein.
    3. Wählen Sie für den ersten Wert unter Logischer Operator die Option Tags aus.
    4. Setzen Sie die Bedingung auf IST.
    5. Wählen Sie für den zweiten Wert Internal-SCC-Ticket-Info aus.
    6. Klicken Sie auf Übernehmen, um die Anfragen in der Warteschlange zu aktualisieren und nur die Anfragen anzuzeigen, die dem angegebenen Filter entsprechen.

  5. Wählen Sie in der Fallwarteschlange den Fall aus.

  6. Wählen Sie in der Fallansicht die Option  Fall schließen aus. Das Fenster Case schließen wird geöffnet.

  7. Geben Sie im Fenster Fall schließen Folgendes an:

    1. Wählen Sie für das Feld Grund einen Wert aus, um den Grund für das Schließen des Falls anzugeben.

    2. Wählen Sie einen Wert für das Feld Ursache aus, um den Grund für das Schließen des Falls anzugeben.

    3. Optional: Fügen Sie einen Kommentar hinzu.

    4. Klicken Sie auf Schließen, um den Fall zu schließen. Security Command Center nimmt die Ergebnisse dann in einen neuen Fall auf und hängt automatisch ein passendes Playbook an.

Playbook manuell einer Benachrichtigung hinzufügen

So hängen Sie einem Hinweis in einem vorhandenen Fall manuell ein Playbook an:

  1. Rufen Sie in der Google Cloud Console das Security Command Center auf.

    Zum Security Command Center

  2. Klicken Sie auf Risiko> Fälle. Die Seite Cases wird in der Security Operations Console geöffnet.

  3. Klicken Sie auf  Filter öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.

  4. Geben Sie im Filter für die Fallwarteschlange Folgendes an:

    1. Geben Sie im Feld Zeitrahmen den Zeitraum für offene Fälle an.
    2. Stellen Sie Logischer Operator auf AND ein.
    3. Wählen Sie für den ersten Wert unter Logischer Operator die Option Tags aus.
    4. Setzen Sie die Bedingung auf IST.
    5. Wählen Sie für den zweiten Wert Internal-SCC-Ticket-Info aus.
    6. Klicken Sie auf Übernehmen, um die Anfragen in der Warteschlange zu aktualisieren und nur die Anfragen anzuzeigen, die dem angegebenen Filter entsprechen.

  5. Wählen Sie in der Fallwarteschlange den Fall aus.

  6. Wählen Sie eine beliebige Benachrichtigung in einem Fall aus.

  7. Rufen Sie in einer Benachrichtigungsansicht den Tab Playbooks auf.

  8. Klicken Sie auf Hinzufügen Playbook hinzufügen. Das Fenster Playbook hinzufügen mit einer Liste der verfügbaren Playbooks wird angezeigt.

  9. Geben Sie im Suchfeld des Fensters Playbook hinzufügen den Wert Posture Findings ein.

    • Wenn Sie Jira integriert haben, wählen Sie das Playbook Posture Findings With Jira aus.
    • Wenn Sie ServiceNow integriert haben, wählen Sie das Playbook Posture Findings With SNOW aus.

  10. Klicken Sie auf Hinzufügen, um einem Hinweis ein Playbook hinzuzufügen.

Nach Abschluss des Playbooks wird ein Ticket für einen Fall erstellt und automatisch mit Informationen aus dem Fall gefüllt.

Es reicht aus, einem einzelnen Hinweis in einem Fall ein Playbook hinzuzufügen, um ein Ticket zu erstellen und die Datensynchronisierung auszulösen.

Nächste Schritte