שילוב של Security Command Center Enterprise עם מערכות לניהול כרטיסי תמיכה

במאמר הזה מוסבר איך לשלב את מהדורת Enterprise של Security Command Center עם מערכות אירועים אחרי שמגדירים תזמור אבטחה, אוטומציה ותגובה (SOAR).

שילוב עם מערכות כרטיסים הוא אופציונלי ודורש הגדרה ידנית. אם אתם משתמשים בהגדרת ברירת המחדל של Security Command Center Enterprise, אתם לא צריכים לבצע את התהליך הזה. אפשר לשלב מערכת אירועים בכל שלב מאוחר יותר.

סקירה כללית

אתם יכולים לעקוב אחרי הממצאים באמצעות המסוף וממשקי ה-API עם הגדרת ברירת המחדל של Security Command Center Enterprise. אם בארגון שלכם משתמשים במערכות לניהול כרטיסים למעקב אחרי בעיות, אתם יכולים לשלב את המערכת עם Jira או ServiceNow אחרי שתגדירו את מופע Google Security Operations.

אחרי קבלת הממצאים לגבי משאבים, SCC Enterprise – Urgent Posture Findings Connector מנתח אותם ומקבץ אותם לבקשות תמיכה חדשות או קיימות, בהתאם לסוג הממצא.

אם משלבים עם מערכת אירועים, Security Command Center יוצר כרטיס חדש בכל פעם שהוא יוצר אירוע חדש לממצאים. ב-Security Command Center, הכרטיס שקשור לפנייה מתעדכן אוטומטית בכל פעם שהפנייה מתעדכנת.

כל מקרה יכול להכיל כמה ממצאים. ב-Security Command Center נוצר כרטיס לכל מקרה, ותוכן המקרה והמידע שקשור אליו מסונכרנים עם הכרטיס המתאים כדי שהגורמים שאליהם הוקצה הכרטיס ידעו מה צריך לתקן.

הסנכרון בין פנייה לבין הכרטיס שלה פועל בשני הכיוונים:

• שינויים בתוך פנייה לתמיכה, כמו עדכון סטטוס או תגובה חדשה, מתעדכנים אוטומטית בכרטיס המשויך.

• באופן דומה, פרטי הכרטיס מסתנכרנים חזרה לבקשה, ומוסיפים לה מידע ממערכת אירועים.

לפני שמתחילים

לפני שמגדירים את Jira או את ServiceNow, צריך לספק כתובת אימייל תקינה לפרמטר Fallback Owner ב-SCC Enterprise – Urgent Posture Findings Connector, ולוודא שאפשר להקצות את כתובת האימייל הזו במערכת אירועים שלכם.

שילוב עם Jira

חשוב להשלים את כל שלבי השילוב כדי לסנכרן את עדכוני הפנייה עם בעיות ב-Jira ולהבטיח את התהליך הנכון של תוכנית הפעולה.

רמת העדיפות של בקשת התמיכה משתקפת ברמת החומרה של הבעיה ב-Jira.

יצירת פרויקט חדש ב-Jira

כדי ליצור פרויקט חדש ב-Jira לבעיות ב-Security Command Center Enterprise בשם SCC Enterprise Project (SCCE), מפעילים פעולה ידנית בבקשה. אפשר להשתמש בכל מקרה קיים או לדמות מקרה. מידע נוסף על סימולציה של אירועים זמין בדף Simulate cases (סימולציה של אירועים) במאמרי העזרה של Google SecOps.

כדי ליצור פרויקט חדש ב-Jira, צריך פרטי כניסה ברמת אדמין ב-Jira.

כדי ליצור פרויקט חדש ב-Jira, מבצעים את השלבים הבאים:

1. במסוף Google Cloud , עוברים אל Risk > Cases (סיכונים > אירועים).
2. בוחרים תיק קיים או את התיק שסימלתם.
3. בכרטיסייה Case Overview, לוחצים על Manual Action.
4. בשדה הפעולה הידנית חיפוש, מזינים Create SCC Enterprise.
5. בתוצאות החיפוש בקטע השילוב SCCEnterprise, בוחרים בפעולה Create SCC Enterprise Cloud Posture Ticket Type Jira. תיבת הדו-שיח תיפתח.

6. כדי להגדיר את הפרמטר API Root, מזינים את שורש ה-API של מופע Jira, למשל: https://YOUR_DOMAIN_NAME.atlassian.net

7. כדי להגדיר את הפרמטר שם משתמש, מזינים את שם המשתמש שבו אתם משתמשים כדי להיכנס ל-Jira כאדמינים.

8. כדי להגדיר את הפרמטר Password, מזינים את הסיסמה שבה משתמשים כדי להיכנס ל-Jira כאדמין.

9. כדי להגדיר את הפרמטר API Token, מזינים את טוקן ה-API של חשבון האדמין ב-Atlassian שנוצר בקונסולת Jira.

10. לוחצים על Execute. ממתינים עד שהפעולה תושלם.

אופציונלי: הגדרת פריסה מותאמת אישית של בעיה ב-Jira

1. נכנסים ל-Jira כאדמינים.
2. עוברים אל Projects > SCC Enterprise Project (SCCE) (פרויקטים > פרויקט SCC Enterprise).
3. לשנות את השדות של הבעיה ולסדר אותם מחדש. פרטים נוספים על ניהול שדות של בעיות זמינים במאמר הגדרת פריסת שדות של בעיות במסמכי העזרה של Jira.

הגדרת השילוב עם Jira

1. במסוף Google Cloud , עוברים אל Response > Playbooks כדי לפתוח את הניווט במסוף Security Operations.
2. בסרגל הניווט של מסוף Security Operations, עוברים אל Response > Integrations Setup.
3. בוחרים באפשרות סביבת ברירת מחדל.
4. בשדה חיפוש של האינטגרציה, מזינים Jira. השילוב של Jira מופיע כתוצאת חיפוש.
5. לוחצים על settings Configure Instance (הגדרת מופע). תיפתח תיבת דו-שיח.

6. כדי להגדיר את הפרמטר API Root, מזינים את שורש ה-API של מופע Jira, למשל: https://YOUR_DOMAIN_NAME.atlassian.net

7. כדי להגדיר את הפרמטר שם משתמש, מזינים את שם המשתמש שבו אתם משתמשים כדי להיכנס ל-Jira. אל תשתמשו בפרטי הכניסה שלכם כאדמינים.

8. כדי להגדיר את הפרמטר API Token, מזינים את טוקן ה-API של חשבון לא אדמין ב-Atlassian שנוצר בקונסולת Jira.

9. לוחצים על Save.

10. כדי לבדוק את ההגדרה, לוחצים על בדיקה.

הפעלת ספר ההדרכה Posture Findings With Jira

1. במסוף Google Cloud , עוברים אל תגובה > Playbooks כדי לפתוח את הדף Playbooks במסוף Security Operations.
2. בסרגל החיפוש של Playbook, מזינים Generic.
3. בוחרים את ספר ההדרכה Posture Findings - Generic. המדריך הזה מופעל כברירת מחדל.
4. מעבירים את המתג למצב השבתה של תוכנית הפעולה.
5. לוחצים על Save.
6. בסרגל החיפוש של Playbook, מזינים Jira.
7. בוחרים את מדריך ההפעלה Posture Findings With Jira. המדריך הזה מושבת כברירת מחדל.
8. מעבירים את המתג למצב מופעל כדי להפעיל את ספר ההדרכה.
9. לוחצים על Save.

שילוב עם ServiceNow

חשוב להשלים את כל שלבי השילוב כדי לסנכרן את העדכונים של אירועים ב-Google SecOps עם כרטיסים ב-ServiceNow, וכדי לוודא שההפעלה של תוכנית הפעולה מתבצעת בצורה נכונה.

יצירה והגדרה של סוג כרטיס מותאם אישית ב-ServiceNow

חשוב ליצור ולהגדיר את סוג הכרטיס המותאם אישית של ServiceNow, להפעיל את הכרטיסייה Activities (פעילויות) בממשק המשתמש של ServiceNow ולהימנע משימוש בפריסת הכרטיס השגויה.

יצירת סוג כרטיס מותאם אישית ב-ServiceNow

כדי ליצור סוג כרטיס מותאם אישית ב-ServiceNow, צריך פרטי כניסה ברמת אדמין ב-ServiceNow.

כדי ליצור סוג כרטיס מותאם אישית, מבצעים את השלבים הבאים:

1. במסוף Google Cloud , עוברים אל Risk > Cases (סיכונים > אירועים).
2. בוחרים פנייה קיימת או את הפנייה שסימלתם.
3. בכרטיסייה Case Overview, לוחצים על Manual Action.
4. בשדה הפעולה הידנית חיפוש, מזינים Create SCC Enterprise.
5. בתוצאות החיפוש בקטע SCCEnterprise, בוחרים בפעולה Create SCC Enterprise Cloud Posture Ticket Type SNOW. תיבת הדו-שיח תיפתח.

6. כדי להגדיר את הפרמטר API Root, מזינים את שורש ה-API של מופע ServiceNow, למשל https://INSTANCE_NAME.service-now.com/api/now/v1/

7. כדי להגדיר את הפרמטר Username (שם משתמש), מזינים את שם המשתמש שבו אתם משתמשים כדי להיכנס ל-ServiceNow כמנהלים.

8. כדי להגדיר את הפרמטר Password, מזינים את הסיסמה שבה משתמשים כדי להיכנס ל-ServiceNow כאדמין.

9. כדי להגדיר את הפרמטר Table Role (תפקיד הטבלה), משאירים את השדה ריק או מציינים ערך אם יש כזה. הפרמטר הזה מקבל רק ערך אחד של תפקיד.

   כברירת מחדל, השדה Table Role ריק. כדי לנהל באופן ספציפי את הכרטיסים של Security Command Center Enterprise, צריך ליצור תפקיד בהתאמה אישית חדש ב-ServiceNow. רק למשתמשי ServiceNow שהוקצה להם התפקיד בהתאמה אישית החדש הזה יש גישה לכרטיסים של Security Command Center Enterprise.

   אם כבר יש לכם תפקיד ייעודי למשתמשים שמנהלים אירועים ב-ServiceNow ואתם רוצים להשתמש בתפקיד הזה לניהול הממצאים של Security Command Center Enterprise, מזינים את שם התפקיד הקיים ב-ServiceNow בשדה Table Role. לדוגמה, אם תספקו את הערך הקיים incident_handler_role, כל המשתמשים שקיבלו את התפקיד incident_handler_role ב-ServiceNow יוכלו לגשת לכרטיסים של Security Command Center Enterprise.

10. לוחצים על Execute. ממתינים עד שהפעולה תושלם.

הגדרת פריסת כרטיסים בהתאמה אישית ב-ServiceNow

כדי לוודא שעדכונים שקשורים לבקשות תמיכה ולהערות על בקשות תמיכה מוצגים בממשק האינטרנט של ServiceNow בצורה מדויקת, צריך לבצע את השלבים הבאים:

1. בחשבון האדמין שלכם ב-ServiceNow, עוברים לכרטיסייה All (הכול).
2. בשדה חיפוש, מזינים SCC Enterprise.
3. ברשימה הנפתחת, בוחרים באפשרות SCC Enterprise Cloud Posture Ticket ומריצים חיפוש.
4. בוחרים באפשרות כרטיס לבדיקת תנוחה. ייפתח דף הפריסה של כרטיס ServiceNow.
5. בדף הפריסה של כרטיס ServiceNow, עוברים אל פעולות נוספות > הגדרה > פריסת טופס.
6. עוברים לקטע תצוגת הטופס והמקטע.
7. בשדה Section (קטע), בוחרים באפשרות u_scc_enterprise_cloud_posture_ticket.
8. לוחצים על Save. אחרי שהדף מתעדכן, שדות התבנית של הכרטיס מחולקים לשתי עמודות.
9. עוברים אל פעולות נוספות > הגדרה > פריסת הטופס.
10. עוברים לקטע תצוגת הטופס והמקטע.
11. בשדה Section (קטע), בוחרים באפשרות Summary (סיכום).
12. לוחצים על Save. אחרי שהדף מתעדכן, מבנה הסיכום החדש מוצג בתבנית הכרטיס.

הגדרת שילוב עם ServiceNow

1. במסוף Google Cloud , עוברים אל Response > Playbooks כדי לפתוח את הניווט במסוף Security Operations.
2. בסרגל הניווט של מסוף Security Operations, עוברים אל Response > Integrations Setup.
3. בוחרים באפשרות סביבת ברירת מחדל.
4. בשדה חיפוש של האינטגרציה, מזינים ServiceNow. השילוב של ServiceNow מוחזר כתוצאת חיפוש.
5. לוחצים על settings Configure Instance (הגדרת מופע). תיפתח תיבת דו-שיח.

6. כדי להגדיר את הפרמטר API Root, מזינים את שורש ה-API של מופע ServiceNow, למשל https://INSTANCE_NAME.service-now.com/api/now/v1/

7. כדי להגדיר את הפרמטר Username (שם משתמש), מזינים את שם המשתמש שבו אתם משתמשים כדי להיכנס ל-ServiceNow. אל תשתמשו בפרטי הכניסה שלכם כאדמינים.

8. כדי להגדיר את הפרמטר Password, מזינים את הסיסמה שבה משתמשים כדי להיכנס ל-ServiceNow. אל תשתמשו בפרטי הכניסה שלכם כאדמינים.

9. לוחצים על Save.

10. כדי לבדוק את ההגדרה, לוחצים על בדיקה.

הפעלת מדריך הפעולה Posture Findings With SNOW

1. במסוף Google Cloud , נכנסים אל Response > Playbooks.
2. בסרגל החיפוש של Playbook, מזינים Generic.
3. בוחרים את ספר ההדרכה Posture Findings - Generic. המדריך הזה מופעל כברירת מחדל.
4. מעבירים את המתג למצב השבתה של תוכנית הפעולה.
5. לוחצים על Save.
6. בסרגל החיפוש של Playbook, מזינים SNOW.
7. בוחרים את ספר ההדרכה ממצאי אבטחה עם SNOW. המדריך הזה מושבת כברירת מחדל.
8. מעבירים את המתג למצב מופעל כדי להפעיל את ספר ההדרכה.
9. לוחצים על Save.

הפעלת סנכרון של נתוני בקשות תמיכה

Security Command Center מסנכרן אוטומטית את המידע בין מקרה לבין הכרטיס התואם שלו, כדי לוודא שהעדיפות, הסטטוס, התגובות ונתונים רלוונטיים אחרים זהים בין מקרה לבין הכרטיס שלו.

כדי לסנכרן את נתוני האירועים, Security Command Center משתמש בתהליכים אוטומטיים פנימיים שנקראים משימות סנכרון. המשימות Sync SCC-Jira Tickets ו-Sync SCC-ServiceNow Tickets מסנכרנות את נתוני הבקשות בין Security Command Center לבין מערכות תיעוד משולבות. שני הג'ובים מושבתים בהתחלה, וצריך להפעיל אותם כדי להתחיל בסנכרון אוטומטי של נתוני הטיפול.

סגירה של פנייה פותרת באופן אוטומטי את הכרטיס המתאים. פתרון של כרטיס ב-Jira או ב-ServiceNow מפעיל את משימות הסנכרון כדי לסגור גם את הפנייה.

לפני שמתחילים

כדי להפעיל סנכרון של בקשות תמיכה, צריך לקבל אחד מהתפקידים הבאים ב-SOC בדף הגדרות SOAR:

• מנהל מערכת
• Vulnerability Manager
• Threat Manager

לפרטים נוספים על התפקידים וההרשאות ב-SOC שנדרשים למשתמשים, אפשר לעיין במאמר שליטה בגישה לתכונות בדפים של Security Operations Console.

הפעלת סנכרון למערכות כרטיסים

כדי לוודא שהמידע בתיקים ובכרטיסים מסונכרן אוטומטית, צריך להפעיל את משימת הסנכרון שרלוונטית למערכת הכרטיסים שאיתה שילבתם את Cloud Identity.

כדי להפעיל את עבודת הסנכרון:

1. נכנסים ל-Security Command Center במסוף Google Cloud .

   מעבר אל Security Command Center

2. בתפריט הניווט, לוחצים על תגובה > תוכניות פעולה. הדף Playbooks נפתח במסוף Security Operations.

3. לוחצים על תגובה > JobScheduler.

4. בוחרים את משימת הסנכרון הנכונה:

   • אם שילבתם עם Jira, בוחרים במשימה Sync SCC-Jira Tickets.

   • אם ביצעתם שילוב עם ServiceNow, בוחרים במשימה Sync SCC-ServiceNow Tickets.

5. מעבירים את המתג כדי להפעיל את העבודה שנבחרה.

6. לוחצים על שמירה כדי להפעיל את Security Command Center ולסנכרן אוטומטית את נתוני האירועים עם מערכת אירועים.

יצירת כרטיסים לבקשות תמיכה קיימות

Security Command Center יוצר כרטיסים באופן אוטומטי רק למקרים שנפתחו אחרי ששילבתם אותו עם מערכת אירועים, והוא לא מצרף באופן רטרואקטיבי Playbook חדש להתראות קיימות. כדי ליצור כרטיסים לאירועים שנפתחו לפני השילוב עם מערכת אירועים, אפשר להשתמש באחת מהגישות הבאות:

• סוגרים את הבעיה שאין לה כרטיס תמיכה ומחכים עד ש-SCC יטען מחדש את הממצאים ויקצה ספר הפעלה חדש להתראות על הבעיה.

• אפשר להוסיף ידנית playbook לכל התראה בבקשת תמיכה שנפתחה לפני ששילבתם את המערכת עם מערכת אירועים.

סגירת פנייה ללא כרטיס

כדי לסגור בקשת תמיכה ללא כרטיס:

1. נכנסים ל-Security Command Center במסוף Google Cloud .

   מעבר אל Security Command Center

2. בתפריט הניווט, לוחצים על סיכון > מקרים. הדף Cases ייפתח במסוף Security Operations.

3. לוחצים על פתיחת מסנן. נפתחת החלונית Case queue filter.

4. בקטע Case queue filter (מסנן תור הפניות), מציינים את הפרטים הבאים:

   1. בשדה Time Frame, מציינים את תקופת הזמן של כרטיסי התמיכה הפתוחים.
   2. מגדירים את האופרטור הלוגי לערך AND.
   3. בקטע Logical operator, בוחרים באפשרות Tags בתור הערך הראשון.
   4. מגדירים את התנאי ל-IS.
   5. בערך השני, בוחרים באפשרות Internal-SCC-Ticket-Info.
   6. לוחצים על Apply (החלה) כדי לעדכן את הפניות בתור הפניות ולהציג רק את הפניות שתואמות למסנן שציינתם.

5. בתור הפניות, בוחרים את הפנייה.

6. בתצוגת הכרטיסייה Case view, לוחצים על Close Case. נפתח החלון סגירת פנייה.

7. בחלון סגירת בקשת התמיכה, מציינים את הפרטים הבאים:

   1. בוחרים ערך בשדה סיבה כדי לציין את הסיבה לסגירת הפנייה.

   2. בוחרים ערך בשדה Root Cause (הגורם הבסיסי) כדי לציין את הסיבה לסגירת הפנייה.

   3. אופציונלי: מוסיפים תגובה.

   4. לוחצים על סגירה כדי לסגור את הפנייה. לאחר מכן, הממצאים מוזנים מחדש ל-Security Command Center לכרטיס חדש, ומוצמד אליהם באופן אוטומטי מדריך הפעלה מתאים.

הוספה ידנית של תוכנית פעולה להתראה

כדי לצרף ידנית playbook להתראה בבקשת תמיכה קיימת:

1. נכנסים ל-Security Command Center במסוף Google Cloud .

   מעבר אל Security Command Center

2. לוחצים על סיכון > מקרים. הדף Cases נפתח במסוף Security Operations.

3. לוחצים על פתיחת מסנן. נפתחת החלונית Case queue filter.

4. בקטע Case queue filter (מסנן תור הפניות), מציינים את הפרטים הבאים:

   1. בשדה Time Frame, מציינים את תקופת הזמן של כרטיסי התמיכה הפתוחים.
   2. מגדירים את האופרטור הלוגי לערך AND.
   3. בקטע Logical operator, בוחרים באפשרות Tags בתור הערך הראשון.
   4. מגדירים את התנאי ל-IS.
   5. בערך השני, בוחרים באפשרות Internal-SCC-Ticket-Info.
   6. לוחצים על Apply (החלה) כדי לעדכן את הפניות בתור הפניות ולהציג רק את הפניות שתואמות למסנן שציינתם.

5. בתור הפניות, בוחרים את הפנייה.

6. בוחרים התראה כלשהי שכלולה בכרטיסייה 'כרטיס אירוע'.

7. בתצוגת ההתראה, עוברים לכרטיסייה Playbooks.

8. לוחצים על add הוספת ספר הפעלה. מופיע החלון Add a Playbook עם רשימה של פלייבוקים זמינים.

9. בשדה החיפוש של החלון הוספת ספר הדרכה, מזינים Posture Findings.

   • אם ביצעתם שילוב עם Jira, בוחרים ב-playbook‏ Posture Findings With Jira.
   • אם ביצעתם שילוב עם ServiceNow, בוחרים ב-playbook‏ Posture Findings With SNOW.

10. לוחצים על הוספה כדי להוסיף את ספר ההפעלה להתראה.

בסיום, ה-Playbook יוצר כרטיס לטיפול בבעיה ומאכלס אותו באופן אוטומטי במידע מהבעיה.

הוספת Playbook להתראה אחת בבקשת תמיכה מספיקה כדי ליצור כרטיס ולגרום להפעלת סנכרון הנתונים.

המאמרים הבאים

• איך קובעים בעלות על ממצאים שקשורים למצב האבטחה

• איך מקבצים ממצאים בתיקים

• איך מקצים כרטיסים על סמך מקרים של תנוחה