Este documento explica como integrar o nível Enterprise do Security Command Center com sistemas de emissão de pedidos após configurar a orquestração, a automatização e a resposta de segurança (SOAR).
A integração com sistemas de emissão de bilhetes é opcional e requer configuração manual. Se usar a configuração empresarial predefinida do Security Command Center, não precisa de realizar este procedimento. Pode integrar-se com um sistema de emissão de bilhetes mais tarde em qualquer altura.
Vista geral
Pode acompanhar as conclusões através da consola e das APIs com a configuração Enterprise do Security Command Center predefinida. Se a sua organização usar sistemas de emissão de pedidos para acompanhar problemas, faça a integração com o Jira ou o ServiceNow depois de configurar a instância do Google Security Operations.
Após a receção das conclusões para os recursos, o SCC Enterprise – Urgent Posture Findings Connector analisa-as e agrupa-as em registos novos ou existentes, consoante o tipo de conclusão.
Se fizer a integração com um sistema de emissão de pedidos, o Security Command Center cria um novo pedido sempre que cria um novo registo para as conclusões. O Security Command Center atualiza automaticamente o registo relacionado sempre que um registo é atualizado.
Um único registo pode conter várias conclusões. O Security Command Center cria um registo para cada registo e sincroniza o conteúdo e as informações do registo com o registo correspondente para informar os responsáveis pela atribuição do registo sobre o que corrigir.
A sincronização entre um registo e o respetivo pedido funciona nos dois sentidos:
As alterações num registo, como uma atualização do estado ou um novo comentário, são refletidas automaticamente no pedido associado.
Da mesma forma, os detalhes do pedido são sincronizados novamente com o registo, enriquecendo-o com informações do sistema de pedidos.
Antes de começar
Antes de configurar o Jira ou o ServiceNow, indique um endereço de email válido para o parâmetro Fallback Owner no SCC Enterprise – Urgent Posture Findings Connector e certifique-se de que este email é atribuível no seu sistema de emissão de pedidos.
Faça a integração com o Jira
Certifique-se de que conclui todos os passos de integração para sincronizar as atualizações dos registos com os problemas do Jira e garantir o fluxo correto do plano de ação.
A prioridade do registo reflete-se na gravidade do problema do Jira.
Crie um novo projeto no Jira
Para criar um novo projeto no Jira para os problemas do Security Command Center Enterprise denominado SCC Enterprise Project (SCCE), execute uma ação manual no registo. Pode usar qualquer caixa existente ou simular uma. Para mais informações sobre a simulação de casos, consulte a página Simule casos na documentação do Google SecOps.
A criação de um novo projeto do Jira requer credenciais ao nível de administrador do Jira.
Para criar um novo projeto do Jira, conclua os seguintes passos:
- Na Google Cloud consola, aceda a Risco > Registos.
- Selecione um registo existente ou o que simulou.
- No separador Vista geral do registo, clique em Ação manual.
- No campo de pesquisa de ações manuais, introduza
Create SCC Enterprise. - Nos resultados da pesquisa, na integração SCCEnterprise, selecione a ação Create SCC Enterprise Cloud Posture Ticket Type Jira. É aberta a janela de diálogo.
Para configurar o parâmetro API Root, introduza a raiz da API da sua instância do Jira, como
https://YOUR_DOMAIN_NAME.atlassian.netPara configurar o parâmetro Nome de utilizador, introduza o nome de utilizador que usa para iniciar sessão no Jira como administrador.
Para configurar o parâmetro Palavra-passe, introduza a palavra-passe que usa para iniciar sessão no Jira como administrador.
Para configurar o parâmetro token de API, introduza o token de API da sua conta de administrador do Atlassian que foi gerado na consola do Jira.
Clique em Executar. Aguarde até que a ação esteja concluída.
Opcional: configure o esquema de problemas do Jira personalizado
- Inicie sessão no Jira como administrador.
- Aceda a Projetos > Projeto empresarial do SCC (SCCE).
- Ajuste e reordene os campos de problemas. Para mais detalhes sobre a gestão dos campos de problemas, consulte o artigo Configurar o esquema dos campos de problemas na documentação do Jira.
Configure a integração do Jira
- Na Google Cloud consola, aceda a Resposta > Manuais de procedimentos para abrir a navegação da consola de operações de segurança.
- Na navegação da consola Security Operations, aceda a Resposta > Configuração de integrações.
- Selecione o ambiente predefinido.
- No campo Pesquisar de integração, introduza
Jira. A integração do Jira é devolvida como resultado da pesquisa. - Clique em Configurar instância. É aberta a janela de diálogo.
Para configurar o parâmetro API Root, introduza a raiz da API da sua instância do Jira, como
https://YOUR_DOMAIN_NAME.atlassian.netPara configurar o parâmetro Nome de utilizador, introduza o nome de utilizador que usa para iniciar sessão no Jira. Não utilize as suas credenciais de administrador.
Para configurar o parâmetro API Token, introduza o token de API da sua conta Atlassian não administrativa que foi gerado na consola do Jira.
Clique em Guardar.
Para testar a configuração, clique em Testar.
Ative o manual de procedimentos Posture Findings com o Jira
- Na Google Cloud consola, aceda a Resposta > Manuais de procedimentos para abrir a página Manuais de procedimentos da consola de operações de segurança.
- Na barra de pesquisa do Playbook, introduza
Generic. - Selecione o manual Posture Findings - Generic. Este manual está ativado por predefinição.
- Altere o botão para desativar o manual de soluções.
- Clique em Guardar.
- Na barra de pesquisa do Playbook, introduza
Jira. - Selecione o manual de procedimentos Resultados da postura com o Jira. Esta estratégia está desativada por predefinição.
- Altere o botão para ativar o manual de estratégias.
- Clique em Guardar.
Faça a integração com o ServiceNow
Certifique-se de que conclui todos os passos de integração para sincronizar as atualizações dos registos do Google SecOps com os pedidos do ServiceNow e garantir o fluxo correto do manual de procedimentos.
Crie e configure o tipo de pedido personalizado do ServiceNow
Certifique-se de que cria e configura o tipo de pedido personalizado do ServiceNow, ativa o separador Atividades na IU do ServiceNow e evita usar o esquema de pedido incorreto.
Crie um tipo de pedido personalizado do ServiceNow
A criação de um tipo de pedido do ServiceNow personalizado requer credenciais ao nível de administrador do ServiceNow.
Para criar um tipo de bilhete personalizado, conclua os seguintes passos:
- Na Google Cloud consola, aceda a Risco > Registos.
- Selecione um registo existente ou o que simulou.
- No separador Vista geral do registo, clique em Ação manual.
- No campo de pesquisa de ações manuais, introduza
Create SCC Enterprise. - Nos resultados da pesquisa, na integração SCCEnterprise, selecione a ação Create SCC Enterprise Cloud Posture Ticket Type SNOW. É aberta a janela de diálogo.
Para configurar o parâmetro API Root, introduza a raiz da API da sua instância do ServiceNow, como
https://INSTANCE_NAME.service-now.com/api/now/v1/Para configurar o parâmetro Nome de utilizador, introduza o nome de utilizador que usa para iniciar sessão no ServiceNow como administrador.
Para configurar o parâmetro Palavra-passe, introduza a palavra-passe que usa para iniciar sessão no ServiceNow como administrador.
Para configurar o parâmetro Função da tabela, deixe o campo vazio ou indique um valor, se tiver um. Este parâmetro só aceita um valor de função.
Por predefinição, o campo Função da tabela está vazio. Tem de criar uma nova função personalizada no ServiceNow para gerir especificamente os pedidos do Security Command Center Enterprise. Apenas os utilizadores do ServiceNow aos quais foi concedida esta nova função personalizada têm acesso aos pedidos do Security Command Center Enterprise.
Se já tiver uma função dedicada para utilizadores que gerem incidentes no ServiceNow e quiser usar esta função para gerir as conclusões do Security Command Center Enterprise, introduza o nome da função do ServiceNow existente no campo Função da tabela. Por exemplo, se fornecer o valor
incident_handler_roleexistente, todos os utilizadores aos quais é concedida a funçãoincident_handler_roleno ServiceNow podem aceder aos pedidos do Security Command Center Enterprise.Clique em Executar. Aguarde até que a ação esteja concluída.
Configure o esquema de pedidos personalizado do ServiceNow
Para garantir que a interface Web do ServiceNow apresenta corretamente as atualizações relacionadas com registos e comentários de registos, conclua os seguintes passos:
- Na sua conta de administrador do ServiceNow, aceda ao separador Tudo.
- No campo Pesquisar, introduza
SCC Enterprise. - Na lista pendente, selecione SCC Enterprise Cloud Posture Ticket e execute uma pesquisa.
- Selecione o Posture Test Ticket. É apresentada a página de esquema do pedido do ServiceNow.
- Na página de esquema do pedido do ServiceNow, aceda a Ações adicionais > Configurar > Esquema do formulário.
- Aceda à secção Vista do formulário e secção.
- No campo Secção, selecione u_scc_enterprise_cloud_posture_ticket.
- Clique em Guardar. Após a atualização da página, o modelo de pedido tem campos distribuídos em duas colunas.
- Aceda a Ações adicionais > Configurar > Esquema do formulário.
- Aceda à secção Vista do formulário e secção.
- No campo Secção, selecione Resumo.
- Clique em Guardar. Após a atualização da página, o modelo de pedido apresenta a nova estrutura de resumo.
Configure a integração do ServiceNow
- Na Google Cloud consola, aceda a Resposta > Manuais de procedimentos para abrir a navegação da consola de operações de segurança.
- Na navegação da consola Security Operations, aceda a Resposta > Configuração de integrações.
- Selecione o ambiente predefinido.
- No campo Pesquisar de integração, introduza
ServiceNow. A integração do ServiceNow é devolvida como resultado da pesquisa. - Clique em Configurar instância. É aberta a janela de diálogo.
Para configurar o parâmetro API Root, introduza a raiz da API da sua instância do ServiceNow, como
https://INSTANCE_NAME.service-now.com/api/now/v1/Para configurar o parâmetro Nome de utilizador, introduza o nome de utilizador que usa para iniciar sessão no ServiceNow. Não utilize as suas credenciais de administrador.
Para configurar o parâmetro Palavra-passe, introduza a palavra-passe que usa para iniciar sessão no ServiceNow. Não utilize as suas credenciais de administrador.
Clique em Guardar.
Para testar a configuração, clique em Testar.
Ative as conclusões de postura com o manual SNOW
- Na Google Cloud consola, aceda a Resposta > Manuais de procedimentos.
- Na barra de pesquisa do Playbook, introduza
Generic. - Selecione o manual Posture Findings - Generic. Este manual está ativado por predefinição.
- Altere o botão para desativar o manual de soluções.
- Clique em Guardar.
- Na barra de pesquisa do Playbook, introduza
SNOW. - Selecione o manual Resultados da postura com o SNOW. Esta estratégia está desativada por predefinição.
- Altere o botão para ativar o manual de estratégias.
- Clique em Guardar.
Ative a sincronização de dados de registos
O Security Command Center sincroniza automaticamente as informações entre um registo e o respetivo pedido, garantindo a correspondência da prioridade, do estado, dos comentários e de outros dados relevantes entre um registo e o respetivo pedido.
Para sincronizar os dados de registos, o Security Command Center usa processos automáticos internos denominados tarefas de sincronização. As tarefas Sincronizar pedidos do SCC-Jira e Sincronizar pedidos do SCC-ServiceNow sincronizam os dados de registos entre o Security Command Center e os sistemas de pedidos integrados. Ambos os trabalhos estão inicialmente desativados e requerem que os ative para iniciar a sincronização automática dos dados de registos.
O encerramento de um registo resolve automaticamente o pedido correspondente. A resolução de um pedido no Jira ou ServiceNow também aciona as tarefas de sincronização para fechar o registo.
Antes de começar
Para ativar a sincronização de registos, tem de ter uma das seguintes funções do SOC na página Definições do SOAR:
- Administrador
- Vulnerability Manager
- Gestor de ameaças
Para mais detalhes sobre as funções e as autorizações da SOC necessárias para os utilizadores, consulte o artigo Controle o acesso às funcionalidades nas páginas da consola de operações de segurança.
Ative a sincronização para sistemas de emissão de bilhetes
Para garantir que as informações nos registos e pedidos de apoio técnico são sincronizadas automaticamente, ative a tarefa de sincronização relevante para o sistema de emissão de pedidos de apoio técnico com o qual fez a integração.
Para ativar a tarefa de sincronização, conclua os seguintes passos:
Na Google Cloud consola, aceda ao Security Command Center.
No menu de navegação, clique em Resposta > Manuais de procedimentos. A página Playbooks é aberta na consola Security Operations.
Clique em Resposta > JobScheduler.
Escolha a tarefa de sincronização correta:
Se fez a integração com o Jira, selecione a tarefa Sincronizar pedidos do SCC-Jira.
Se fez a integração com o ServiceNow, selecione a tarefa Sync SCC-ServiceNow Tickets.
Mova o botão para ativar a tarefa selecionada.
Clique em Guardar para ativar a sincronização automática dos dados de registos com um sistema de emissão de pedidos.
Crie pedidos para registos existentes
O Security Command Center cria automaticamente pedidos apenas para casos abertos depois de ter feito a integração com um sistema de pedidos e não anexa retroativamente novos manuais de procedimentos a alertas existentes. Para criar pedidos para registos abertos antes da integração com um sistema de pedidos, use uma das seguintes abordagens:
Feche um registo que não tenha um pedido e aguarde até que o SCC volte a introduzir as conclusões e atribua um novo manual de procedimentos aos alertas do registo.
Adicionar manualmente um plano de ação a qualquer alerta num registo aberto antes de fazer a integração com um sistema de emissão de pedidos.
Feche um registo sem pedido
Para fechar um registo que não tem um pedido, conclua os seguintes passos:
Na Google Cloud consola, aceda ao Security Command Center.
Na navegação, clique em Risco > Registos. A página Casos é aberta na consola do Security Operations.
Clique em
Abrir filtro. O painel Filtro de fila de registos é aberto.No filtro da fila de registos, especifique o seguinte:
- No campo Intervalo de tempo, especifique o período para registos abertos.
- Defina o operador lógico como E.
- Para o primeiro valor em Operador lógico, selecione Etiquetas.
- Defina a condição como É.
- Para o segundo valor, selecione Internal-SCC-Ticket-Info.
- Clique em Aplicar para atualizar os registos na fila de registos e mostrar apenas os registos que correspondem ao filtro especificado.
Na fila de registos, selecione o registo.
Na vista de registo, selecione
Fechar registo. É aberta a janela Fechar registo.Na janela Fechar registo, especifique o seguinte:
Selecione um valor para o campo Motivo para indicar o motivo do encerramento do registo.
Selecione um valor para o campo Causa principal para indicar o motivo do encerramento do registo.
Opcional: adicione um comentário.
Clique em Fechar para encerrar o registo. Em seguida, o Security Command Center volta a introduzir as descobertas num novo registo e anexa automaticamente um manual de procedimentos correto às mesmas.
Adicione manualmente um plano de ação a um alerta
Para anexar manualmente um plano de ação a um alerta num registo existente, conclua os seguintes passos:
Na Google Cloud consola, aceda ao Security Command Center.
Clique em Risco > Casos. A página Casos é aberta na consola de operações de segurança.
Clique em
Abrir filtro. O painel Filtro de fila de registos é aberto.No filtro da fila de registos, especifique o seguinte:
- No campo Intervalo de tempo, especifique o período para registos abertos.
- Defina o operador lógico como E.
- Para o primeiro valor em Operador lógico, selecione Etiquetas.
- Defina a condição como É.
- Para o segundo valor, selecione Internal-SCC-Ticket-Info.
- Clique em Aplicar para atualizar os registos na fila de registos e mostrar apenas os registos que correspondem ao filtro especificado.
Na fila de registos, selecione o registo.
Selecione qualquer alerta contido num registo.
Numa vista de alerta, aceda ao separador Playbooks.
Clique em adicionar Adicionar Playbook. É apresentada a janela Adicionar um guia interativo com uma lista de guias interativos disponíveis.
No campo de pesquisa da janela Adicionar um manual de soluções, introduza
Posture Findings.- Se fez a integração com o Jira, selecione o manual Resultados da postura com o Jira.
- Se fez a integração com o ServiceNow, selecione o manual de procedimentos Posture Findings With SNOW.
Clique em Adicionar para adicionar um plano de ação a um alerta.
Após a conclusão, o manual de soluções cria um registo para um registo e preenche automaticamente o registo com informações do registo.
Adicionar um plano de ação a um único alerta num registo é suficiente para criar um pedido e acionar a sincronização de dados.
O que se segue?
Saiba como determinar a propriedade das conclusões de postura.
Saiba como agrupar resultados em registos.
Saiba como atribuir pedidos com base em casos de postura.