Intégrer Security Command Center Enterprise à des systèmes de suivi des demandes

Ce document explique comment intégrer le niveau Enterprise de Security Command Center à des systèmes de suivi des demandes après avoir configuré l'orchestration, l'automatisation et la réponse de sécurité (SOAR).

L'intégration aux systèmes de gestion des tickets est facultative et nécessite une configuration manuelle. Si vous utilisez la configuration Enterprise par défaut de Security Command Center, vous n'avez pas besoin d'effectuer cette procédure. Vous pourrez intégrer un système de billetterie à tout moment.

Présentation

Vous pouvez suivre les résultats à l'aide de la console et des API avec la configuration Enterprise par défaut de Security Command Center. Si votre organisation utilise des systèmes de gestion des demandes pour suivre les problèmes, intégrez-les à Jira ou ServiceNow après avoir configuré votre instance Google Security Operations.

Lorsqu'il reçoit des résultats pour des ressources, le connecteur SCC Enterprise – Urgent Posture Findings les analyse et les regroupe dans des demandes nouvelles ou existantes, en fonction du type de résultat.

Si vous intégrez un système de suivi des demandes, Security Command Center crée une demande chaque fois qu'il crée un cas pour les résultats. Security Command Center met automatiquement à jour la demande associée chaque fois qu'un cas est modifié.

Une même demande peut contenir plusieurs résultats. Security Command Center crée un ticket pour chaque cas et synchronise le contenu et les informations du cas avec le ticket correspondant pour informer les personnes chargées des tickets des mesures à prendre.

La synchronisation entre une demande et son ticket fonctionne dans les deux sens :

• Les modifications apportées à une demande, comme un changement d'état ou un nouveau commentaire, sont automatiquement répercutées dans le ticket associé.

• De même, les détails des tickets sont synchronisés avec la demande, ce qui l'enrichit avec des informations provenant du système de suivi des demandes.

Avant de commencer

Avant de configurer Jira ou ServiceNow, indiquez une adresse e-mail valide pour le paramètre Propriétaire de secours dans le connecteur SCC Enterprise – Urgent Posture Findings, et assurez-vous que cette adresse e-mail peut être attribuée dans votre système de gestion des tickets.

Intégrer à Jira

Veillez à suivre toutes les étapes d'intégration pour synchroniser les mises à jour des demandes avec les problèmes Jira et assurer le bon déroulement du playbook.

La priorité d'une demande est reflétée dans le niveau de gravité du problème Jira.

Créer un projet dans Jira

Pour créer un projet dans Jira pour les problèmes Security Command Center Enterprise appelé SCC Enterprise Project (SCCE), exécutez une action manuelle dans la demande. Vous pouvez utiliser un cas existant ou en simuler un. Pour en savoir plus sur la simulation de cas, consultez la page Simuler des cas de la documentation Google SecOps.

Pour créer un projet Jira, vous devez disposer d'identifiants d'administrateur Jira.

Pour créer un projet Jira, procédez comme suit :

1. Dans la console Google Cloud , accédez à Risque > Demandes.
2. Sélectionnez un cas existant ou celui que vous avez simulé.
3. Dans l'onglet Aperçu de la demande, cliquez sur Action manuelle.
4. Dans le champ d'action manuelle Rechercher, saisissez Create SCC Enterprise.
5. Dans les résultats de recherche, sous l'intégration SCCEnterprise, sélectionnez l'action Create SCC Enterprise Cloud Posture Ticket Type Jira (Créer un type de ticket Jira pour la posture de sécurité du cloud SCC Enterprise). La boîte de dialogue s'ouvre.

6. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API de votre instance Jira, par exemple https://YOUR_DOMAIN_NAME.atlassian.net.

7. Pour configurer le paramètre Nom d'utilisateur, saisissez le nom d'utilisateur que vous utilisez pour vous connecter à Jira en tant qu'administrateur.

8. Pour configurer le paramètre Mot de passe, saisissez le mot de passe que vous utilisez pour vous connecter à Jira en tant qu'administrateur.

9. Pour configurer le paramètre Jeton d'API, saisissez le jeton d'API de votre compte administrateur Atlassian généré dans la console Jira.

10. Cliquez sur Exécuter. Attendez que l'action soit terminée.

Facultatif : Configurer une mise en page personnalisée pour les problèmes Jira

1. Connectez-vous à Jira en tant qu'administrateur.
2. Accédez à Projets > Projet SCC Enterprise (SCCE).
3. Ajustez et réorganisez les champs de problème. Pour en savoir plus sur la gestion des champs de problème, consultez Configurer la mise en page des champs de problème dans la documentation Jira.

Configurer l'intégration Jira

1. Dans la console Google Cloud , accédez à Réponse > Playbooks pour ouvrir le menu de navigation dans la console Security Operations.
2. Dans le menu de navigation de la console Security Operations, accédez à Réponse > Configuration des intégrations.
3. Sélectionnez l'environnement par défaut.
4. Dans le champ Rechercher de l'intégration, saisissez Jira. L'intégration Jira s'affiche dans les résultats de recherche.
5. Cliquez sur settings Configurer l'instance. La boîte de dialogue s'ouvre.

6. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API de votre instance Jira, par exemple https://YOUR_DOMAIN_NAME.atlassian.net.

7. Pour configurer le paramètre Nom d'utilisateur, saisissez le nom d'utilisateur que vous utilisez pour vous connecter à Jira. N'utilisez pas vos identifiants administrateur.

8. Pour configurer le paramètre Jeton d'API, saisissez le jeton d'API de votre compte Atlassian non administrateur généré dans la console Jira.

9. Cliquez sur Enregistrer.

10. Pour tester votre configuration, cliquez sur Test.

Activer le playbook "Posture Findings With Jira"

1. Dans la console Google Cloud , accédez à Réponse > Playbooks pour ouvrir la page Playbooks de la console Security Operations.
2. Dans la barre de recherche du playbook, saisissez Generic.
3. Sélectionnez le playbook Posture Findings - Generic (Résultats sur la posture – Générique). Ce playbook est activé par défaut.
4. Désactivez le playbook à l'aide du bouton bascule.
5. Cliquez sur Enregistrer.
6. Dans la barre de recherche du playbook, saisissez Jira.
7. Sélectionnez le playbook Posture Findings With Jira (Résultats sur la posture avec Jira). Ce playbook est désactivé par défaut.
8. Activez le playbook à l'aide du bouton bascule.
9. Cliquez sur Enregistrer.

Intégrer à ServiceNow

Veillez à suivre toutes les étapes d'intégration pour synchroniser les mises à jour des demandes Google SecOps avec les tickets ServiceNow et garantir le bon déroulement du playbook.

Créer et configurer un type de demande ServiceNow personnalisé

Veillez à créer et à configurer le type de demande ServiceNow personnalisé, à activer l'onglet "Activities" (Activités) dans l'interface utilisateur ServiceNow et à éviter d'utiliser la mise en page de demande erronée.

Créer un type de demande ServiceNow personnalisé

Pour créer un type de ticket ServiceNow personnalisé, vous devez disposer d'identifiants d'administrateur ServiceNow.

Pour créer un type de demande personnalisé, procédez comme suit :

1. Dans la console Google Cloud , accédez à Risque > Demandes.
2. Sélectionnez un cas existant ou celui que vous avez simulé.
3. Dans l'onglet Aperçu de la demande, cliquez sur Action manuelle.
4. Dans le champ d'action manuelle Rechercher, saisissez Create SCC Enterprise.
5. Dans les résultats de recherche, sous l'intégration SCCEnterprise, sélectionnez l'action Create SCC Enterprise Cloud Posture Ticket Type SNOW (Créer un type de ticket SNOW pour la posture de sécurité du cloud SCC Enterprise). La boîte de dialogue s'ouvre.

6. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API de votre instance ServiceNow, par exemple https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Pour configurer le paramètre Nom d'utilisateur, saisissez le nom d'utilisateur que vous utilisez pour vous connecter à ServiceNow en tant qu'administrateur.

8. Pour configurer le paramètre Mot de passe, saisissez le mot de passe que vous utilisez pour vous connecter à ServiceNow en tant qu'administrateur.

9. Pour configurer le paramètre Rôle de table, laissez le champ vide ou indiquez une valeur si vous en avez une. Ce paramètre n'accepte qu'une seule valeur de rôle.

   Par défaut, le champ Rôle du tableau est vide. Vous devez créer un rôle personnalisé dans ServiceNow pour gérer spécifiquement les tickets Security Command Center Enterprise. Seuls les utilisateurs ServiceNow auxquels ce nouveau rôle personnalisé a été attribué ont accès aux tickets Security Command Center Enterprise.

   Si vous disposez déjà d'un rôle dédié aux utilisateurs qui gèrent les incidents dans ServiceNow et que vous souhaitez utiliser ce rôle pour gérer les résultats Security Command Center Enterprise, saisissez le nom du rôle ServiceNow existant dans le champ Rôle de table. Par exemple, si vous fournissez la valeur incident_handler_role existante, tous les utilisateurs auxquels le rôle incident_handler_role est attribué dans ServiceNow peuvent accéder aux tickets Security Command Center Enterprise.

10. Cliquez sur Exécuter. Attendez que l'action soit terminée.

Configurer une mise en page personnalisée pour les tickets ServiceNow

Pour vous assurer que l'interface Web ServiceNow affiche correctement les mises à jour liées aux demandes et aux commentaires associés, procédez comme suit :

1. Dans votre compte administrateur ServiceNow, accédez à l'onglet All (Tous).
2. Dans le champ Rechercher, saisissez SCC Enterprise.
3. Dans la liste déroulante, sélectionnez SCC Enterprise Cloud Posture Ticket (Ticket sur la posture de sécurité du cloud pour les entreprises SCC), puis lancez une recherche.
4. Sélectionnez Posture Test Ticket (Demande de test de posture). La page de mise en page des tickets ServiceNow s'ouvre.
5. Sur la page de mise en page des tickets ServiceNow, accédez à Actions supplémentaires> Configurer> Mise en page du formulaire.
6. Accédez à la section Affichage et section du formulaire.
7. Dans le champ Section, sélectionnez u_scc_enterprise_cloud_posture_ticket.
8. Cliquez sur Enregistrer. Une fois la page actualisée, le modèle de demande comporte des champs répartis sur deux colonnes.
9. Accédez à Actions supplémentaires> Configurer> Mise en page du formulaire.
10. Accédez à la section Affichage et section du formulaire.
11. Dans le champ Section, sélectionnez Récapitulatif.
12. Cliquez sur Enregistrer. Une fois la page actualisée, le modèle de demande affiche la nouvelle structure du récapitulatif.

Configurer l'intégration de ServiceNow

1. Dans la console Google Cloud , accédez à Réponse > Playbooks pour ouvrir le menu de navigation dans la console Security Operations.
2. Dans le menu de navigation de la console Security Operations, accédez à Réponse > Configuration des intégrations.
3. Sélectionnez l'environnement par défaut.
4. Dans le champ Rechercher de l'intégration, saisissez ServiceNow. L'intégration ServiceNow s'affiche dans les résultats de recherche.
5. Cliquez sur settings Configurer l'instance. La boîte de dialogue s'ouvre.

6. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API de votre instance ServiceNow, par exemple https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Pour configurer le paramètre Nom d'utilisateur, saisissez le nom d'utilisateur que vous utilisez pour vous connecter à ServiceNow. N'utilisez pas vos identifiants administrateur.

8. Pour configurer le paramètre Mot de passe, saisissez le mot de passe que vous utilisez pour vous connecter à ServiceNow. N'utilisez pas vos identifiants administrateur.

9. Cliquez sur Enregistrer.

10. Pour tester votre configuration, cliquez sur Test.

Activer le playbook "Enable the Posture Findings With SNOW" (Activer les conclusions sur la posture avec SNOW)

1. Dans la console Google Cloud , accédez à Réponse > Playbooks.
2. Dans la barre de recherche du playbook, saisissez Generic.
3. Sélectionnez le playbook Posture Findings - Generic (Résultats sur la posture – Générique). Ce playbook est activé par défaut.
4. Désactivez le playbook à l'aide du bouton bascule.
5. Cliquez sur Enregistrer.
6. Dans la barre de recherche du playbook, saisissez SNOW.
7. Sélectionnez le playbook Posture Findings With SNOW (Résultats de posture avec SNOW). Ce playbook est désactivé par défaut.
8. Activez le playbook à l'aide du bouton bascule.
9. Cliquez sur Enregistrer.

Activer la synchronisation des données des demandes

Security Command Center synchronise automatiquement les informations entre une demande et son ticket correspondant, en veillant à ce que la priorité, l'état, les commentaires et d'autres données pertinentes soient identiques.

Pour synchroniser les données des demandes, Security Command Center utilise des processus automatiques internes appelés "jobs de synchronisation". Les jobs Synchroniser les demandes SCC-Jira et Synchroniser les demandes SCC-ServiceNow synchronisent les données des demandes entre Security Command Center et les systèmes de suivi des demandes intégrés. Les deux jobs sont initialement désactivés et vous devez les activer pour lancer la synchronisation automatique des données des demandes.

La clôture d'une demande résout automatiquement le ticket correspondant. La résolution d'une demande dans Jira ou ServiceNow déclenche la fermeture de la demande dans Zendesk.

Avant de commencer

Pour activer la synchronisation des demandes, vous devez disposer de l'un des rôles SOC suivants sur la page Paramètres SOAR :

• Administrateur
• Gestionnaire de failles
• Gestionnaire des menaces

Pour en savoir plus sur les rôles et les autorisations SOC requis pour les utilisateurs, consultez Contrôler l'accès aux fonctionnalités sur les pages de la console Security Operations.

Activer la synchronisation pour les systèmes de gestion des demandes

Pour vous assurer que les informations des demandes et des tickets sont automatiquement synchronisées, activez le job de synchronisation correspondant au système de gestion des tickets que vous avez intégré.

Pour activer le job de synchronisation, procédez comme suit :

1. Dans la console Google Cloud , accédez à Security Command Center.

   Accéder à Security Command Center

2. Dans le menu de navigation, cliquez sur Réponse > Playbooks. La page Playbooks s'ouvre dans la console Security Operations.

3. Cliquez sur Réponse > JobScheduler.

4. Choisissez le bon job de synchronisation :

   • Si vous avez intégré Jira, sélectionnez le job Synchroniser les tickets SCC-Jira.

   • Si vous avez intégré ServiceNow, sélectionnez le job Synchroniser les tickets SCC-ServiceNow.

5. Activez le bouton bascule pour activer le job sélectionné.

6. Cliquez sur Enregistrer pour activer la synchronisation automatique des données des demandes avec un système de suivi des demandes dans Security Command Center.

Créer des tickets pour des demandes existantes

Security Command Center ne crée automatiquement des tickets que pour les demandes ouvertes après l'intégration à un système de gestion des demandes. Il n'associe pas rétroactivement de nouveaux playbooks aux alertes existantes. Pour créer des tickets pour les demandes ouvertes avant l'intégration à un système de gestion des tickets, utilisez l'une des méthodes suivantes :

• Fermez une demande sans ticket et attendez que SCC réingère les résultats et attribue un nouveau playbook aux alertes de la demande.

• Ajoutez manuellement un playbook à n'importe quelle alerte dans un cas ouvert avant l'intégration à un système de gestion des tickets.

Clôturer une demande sans ticket

Pour clôturer une demande sans numéro, procédez comme suit :

1. Dans la console Google Cloud , accédez à Security Command Center.

   Accéder à Security Command Center

2. Dans le volet de navigation, cliquez sur Risque > Demandes. La page Demandes s'ouvre dans la console Security Operations.

3. Cliquez sur Ouvrir le filtre. Le panneau Filtre de la file d'attente des demandes s'ouvre.

4. Dans le Filtre de la file d'attente des demandes, spécifiez les éléments suivants :

   1. Dans le champ Période, spécifiez la période pour les demandes ouvertes.
   2. Définissez Opérateur logique sur AND.
   3. Pour la première valeur sous Opérateur logique, sélectionnez Tags.
   4. Définissez la condition sur EST.
   5. Pour la deuxième valeur, sélectionnez Internal-SCC-Ticket-Info.
   6. Cliquez sur Appliquer pour mettre à jour les demandes dans la file d'attente et n'afficher que celles qui correspondent au filtre que vous avez spécifié.

5. Dans la file d'attente des demandes, sélectionnez la demande.

6. Dans la vue de la demande, sélectionnez Fermer la demande. La fenêtre Fermer la demande s'ouvre.

7. Dans la fenêtre Fermer la demande, spécifiez les éléments suivants :

   1. Sélectionnez une valeur dans le champ Motif pour indiquer la raison de la clôture de la demande.

   2. Sélectionnez une valeur pour le champ Cause première afin d'indiquer la raison de la clôture de la demande.

   3. Facultatif : Ajoutez un commentaire.

   4. Cliquez sur Fermer pour clôturer la demande. Security Command Center réingère ensuite les résultats dans une nouvelle demande et y associe automatiquement le playbook approprié.

Ajouter manuellement un playbook à une alerte

Pour associer manuellement un playbook à une alerte dans une demande existante, procédez comme suit :

1. Dans la console Google Cloud , accédez à Security Command Center.

   Accéder à Security Command Center

2. Cliquez sur Risque > Cas. La page Demandes s'ouvre dans la console Security Operations.

3. Cliquez sur Ouvrir le filtre. Le panneau Filtre de la file d'attente des demandes s'ouvre.

4. Dans le Filtre de la file d'attente des demandes, spécifiez les éléments suivants :

   1. Dans le champ Période, spécifiez la période pour les demandes ouvertes.
   2. Définissez Opérateur logique sur AND.
   3. Pour la première valeur sous Opérateur logique, sélectionnez Tags.
   4. Définissez la condition sur EST.
   5. Pour la deuxième valeur, sélectionnez Internal-SCC-Ticket-Info.
   6. Cliquez sur Appliquer pour mettre à jour les demandes dans la file d'attente et n'afficher que celles qui correspondent au filtre que vous avez spécifié.

5. Dans la file d'attente des demandes, sélectionnez la demande.

6. Sélectionnez une alerte contenue dans une demande.

7. Dans une vue d'alerte, accédez à l'onglet Playbooks.

8. Cliquez sur Ajouter Ajouter un playbook. La fenêtre Ajouter un playbook s'affiche avec la liste des playbooks disponibles.

9. Dans le champ de recherche de la fenêtre Ajouter un playbook, saisissez Posture Findings.

   • Si vous avez intégré Jira, sélectionnez le playbook Posture Findings With Jira (Résultats de posture avec Jira).
   • Si vous avez intégré ServiceNow, sélectionnez le playbook Posture Findings With SNOW (Résultats de posture avec SNOW).

10. Cliquez sur Ajouter pour ajouter un playbook à une alerte.

Une fois le playbook terminé, il crée une demande pour un cas et la remplit automatiquement avec les informations du cas.

Il suffit d'ajouter un playbook à une seule alerte dans une demande pour créer un ticket et déclencher la synchronisation des données.

Étapes suivantes

• Découvrez comment déterminer la propriété des résultats de posture.

• Découvrez comment regrouper les résultats dans les dossiers.

• Découvrez comment attribuer des tickets en fonction des problèmes de posture.