במאמר הזה מוסבר איך לשלב את מהדורת Enterprise של Security Command Center עם מערכות לניהול כרטיסים אחרי שמגדירים תזמור אבטחה, אוטומציה ותגובה (SOAR).
שילוב עם מערכות לניהול כרטיסים הוא אופציונלי ודורש הגדרה ידנית. אם אתם משתמשים בהגדרת ברירת המחדל של Security Command Center Enterprise, אתם לא צריכים לבצע את התהליך הזה. אפשר לשלב עם מערכת כרטוס בכל שלב מאוחר יותר.
סקירה כללית
אתם יכולים לעקוב אחרי הממצאים באמצעות המסוף וממשקי ה-API עם הגדרת ברירת המחדל של Security Command Center Enterprise. אם בארגון שלכם משתמשים במערכות לניהול כרטיסים כדי לעקוב אחרי בעיות, אתם יכולים לשלב את המערכת עם Jira או ServiceNow אחרי שתגדירו את מופע Google Security Operations.
אחרי קבלת הממצאים לגבי משאבים, SCC Enterprise – Urgent Posture Findings Connector מנתח אותם ומקבץ אותם לבקשות תמיכה חדשות או קיימות, בהתאם לסוג הממצא.
אם משלבים עם מערכת כרטיסים, Security Command Center יוצר כרטיס חדש בכל פעם שהוא יוצר כרטיס חדש לממצאים. ב-Security Command Center, הכרטיס שקשור לפנייה מתעדכן אוטומטית בכל פעם שהפנייה מתעדכנת.
כל מקרה יכול להכיל כמה ממצאים. ב-Security Command Center נוצר כרטיס לכל מקרה, ותוכן המקרה והמידע עליו מסונכרנים עם הכרטיס המתאים כדי שהגורמים שאליהם הכרטיס משויך ידעו מה צריך לתקן.
הסנכרון בין פנייה לכרטיס עובד בשני הכיוונים:
שינויים בתוך פנייה לתמיכה, כמו עדכון סטטוס או תגובה חדשה, מתעדכנים אוטומטית בכרטיס המשויך.
באופן דומה, פרטי הכרטיס מסתנכרנים חזרה לבקשה, ומוסיפים לה מידע ממערכת הכרטיסים.
לפני שמתחילים
לפני שמגדירים את Jira או את ServiceNow, צריך לספק כתובת אימייל תקינה לפרמטר Fallback Owner ב-SCC Enterprise – Urgent Posture Findings Connector, ולוודא שאפשר להקצות את כתובת האימייל הזו במערכת הכרטיסים שלכם.
שילוב עם Jira
חשוב להקפיד על ביצוע כל שלבי השילוב כדי לסנכרן את עדכוני הפנייה עם בעיות ב-Jira ולהבטיח את התהליך הנכון של תוכנית הפעולה.
העדיפות של בקשת התמיכה משתקפת ברמת החומרה של הבעיה ב-Jira.
יצירת פרויקט חדש ב-Jira
כדי ליצור פרויקט חדש ב-Jira לבעיות ב-Security Command Center Enterprise בשם SCC Enterprise Project (SCCE), מפעילים פעולה ידנית בבקשה. אפשר להשתמש בכל מקרה קיים או לדמות מקרה. מידע נוסף על סימולציה של תיקים זמין בדף Simulate cases (סימולציה של תיקים) במאמרי העזרה של Google SecOps.
כדי ליצור פרויקט חדש ב-Jira, צריך פרטי כניסה ברמת אדמין ב-Jira.
כדי ליצור פרויקט חדש ב-Jira, מבצעים את השלבים הבאים:
- במסוף Google Cloud , עוברים אל Risk > Cases (סיכונים > אירועים).
- בוחרים כרטיסייה קיימת או את הכרטיסייה שסימלתם.
- בכרטיסייה Case Overview, לוחצים על Manual Action.
- בשדה הפעולה הידנית חיפוש, מזינים
Create SCC Enterprise. - בתוצאות החיפוש בקטע השילוב SCCEnterprise, בוחרים בפעולה Create SCC Enterprise Cloud Posture Ticket Type Jira. תיבת הדו-שיח תיפתח.
כדי להגדיר את הפרמטר API Root, מזינים את שורש ה-API של מופע Jira, למשל:
https://YOUR_DOMAIN_NAME.atlassian.netכדי להגדיר את הפרמטר שם משתמש, מזינים את שם המשתמש שבו אתם משתמשים כדי להיכנס ל-Jira כאדמינים.
כדי להגדיר את הפרמטר Password, מזינים את הסיסמה שבה משתמשים כדי להיכנס ל-Jira כאדמין.
כדי להגדיר את הפרמטר API Token, מזינים את טוקן ה-API של חשבון האדמין ב-Atlassian שנוצר בקונסולת Jira.
לוחצים על Execute. מחכים עד שהפעולה תסתיים.
אופציונלי: הגדרת פריסה מותאמת אישית של בעיה ב-Jira
- נכנסים ל-Jira כאדמינים.
- עוברים אל Projects > SCC Enterprise Project (SCCE).
- לשנות את הסדר של השדות שקשורים לבעיה. פרטים נוספים על ניהול שדות של בעיות זמינים במאמר הגדרת פריסת שדות של בעיות במסמכי העזרה של Jira.
הגדרת השילוב עם Jira
- במסוף Google Cloud , נכנסים אל Response > Playbooks כדי לפתוח את הניווט במסוף Security Operations.
- בסרגל הניווט של מסוף Security Operations, עוברים אל Response > Integrations Setup.
- בוחרים באפשרות סביבת ברירת מחדל.
- בשדה חיפוש של האינטגרציה, מזינים
Jira. השילוב של Jira מופיע כתוצאת חיפוש. - לוחצים על Configure Instance. תיבת הדו-שיח תיפתח.
כדי להגדיר את הפרמטר API Root, מזינים את שורש ה-API של מופע Jira, למשל:
https://YOUR_DOMAIN_NAME.atlassian.netכדי להגדיר את הפרמטר שם משתמש, מזינים את שם המשתמש שבו אתם משתמשים כדי להיכנס ל-Jira. אל תשתמשו בפרטי הכניסה שלכם כאדמינים.
כדי להגדיר את הפרמטר API Token, מזינים את טוקן ה-API של חשבון לא אדמין ב-Atlassian שנוצר במסוף Jira.
לוחצים על Save.
כדי לבדוק את ההגדרה, לוחצים על בדיקה.
הפעלת ספר ההדרכה Posture Findings With Jira
- במסוף Google Cloud , עוברים אל תגובה > Playbooks כדי לפתוח את הדף Playbooks במסוף Security Operations.
- בסרגל החיפוש של Playbook, מזינים
Generic. - בוחרים ב-playbook Posture Findings - Generic. המדריך הזה מופעל כברירת מחדל.
- מעבירים את המתג למצב השבתה של ערכת הפעולות.
- לוחצים על Save.
- בסרגל החיפוש של Playbook, מזינים
Jira. - בוחרים את ספר ההדרכה Posture Findings With Jira (ממצאי תנוחה עם Jira). המדריך הזה מושבת כברירת מחדל.
- מעבירים את המתג למצב מופעל כדי להפעיל את ספר ההדרכה.
- לוחצים על Save.
שילוב עם ServiceNow
חשוב להשלים את כל שלבי השילוב כדי לסנכרן את העדכונים של אירועים ב-Google SecOps עם כרטיסים ב-ServiceNow, וכדי לוודא שההפעלה של תוכנית הפעולה מתבצעת בצורה נכונה.
יצירה והגדרה של סוג כרטיס מותאם אישית ב-ServiceNow
חשוב ליצור ולהגדיר את סוג הכרטיס המותאם אישית של ServiceNow, להפעיל את הכרטיסייה Activities (פעילויות) בממשק המשתמש של ServiceNow ולהימנע משימוש בפריסת הכרטיס השגויה.
יצירת סוג כרטיס מותאם אישית ב-ServiceNow
כדי ליצור סוג כרטיס מותאם אישית ב-ServiceNow, צריך להזין פרטי כניסה ברמת אדמין ב-ServiceNow.
כדי ליצור סוג כרטיס מותאם אישית, מבצעים את השלבים הבאים:
- במסוף Google Cloud , עוברים אל Risk > Cases (סיכונים > אירועים).
- בוחרים תיק קיים או את התיק שסימולצתם.
- בכרטיסייה Case Overview, לוחצים על Manual Action.
- בשדה הפעולה הידנית חיפוש, מזינים
Create SCC Enterprise. - בתוצאות החיפוש בקטע SCCEnterprise, בוחרים בפעולה Create SCC Enterprise Cloud Posture Ticket Type SNOW. תיבת הדו-שיח תיפתח.
כדי להגדיר את הפרמטר API Root, מזינים את שורש ה-API של מופע ServiceNow, למשל
https://INSTANCE_NAME.service-now.com/api/now/v1/כדי להגדיר את הפרמטר Username (שם משתמש), מזינים את שם המשתמש שבו אתם משתמשים כדי להיכנס ל-ServiceNow בתור אדמינים.
כדי להגדיר את הפרמטר Password, מזינים את הסיסמה שבה אתם משתמשים כדי להיכנס ל-ServiceNow כאדמינים.
כדי להגדיר את הפרמטר Table Role, משאירים את השדה ריק או מציינים ערך אם יש כזה. הפרמטר הזה מקבל רק ערך אחד של תפקיד.
כברירת מחדל, השדה Table Role (תפקיד הטבלה) ריק. כדי לנהל באופן ספציפי את הכרטיסים של Security Command Center Enterprise, צריך ליצור תפקיד חדש בהתאמה אישית ב-ServiceNow. רק משתמשי ServiceNow שהוקצה להם התפקיד החדש הזה יכולים לגשת לכרטיסים של Security Command Center Enterprise.
אם כבר יש לכם תפקיד ייעודי למשתמשים שמנהלים אירועים ב-ServiceNow ואתם רוצים להשתמש בתפקיד הזה לניהול הממצאים של Security Command Center Enterprise, מזינים את שם התפקיד הקיים ב-ServiceNow בשדה Table Role. לדוגמה, אם תספקו את הערך הקיים
incident_handler_role, כל המשתמשים שקיבלו את התפקידincident_handler_roleב-ServiceNow יוכלו לגשת לכרטיסים של Security Command Center Enterprise.לוחצים על Execute. מחכים עד שהפעולה תסתיים.
הגדרת פריסת כרטיסים בהתאמה אישית ב-ServiceNow
כדי לוודא שממשק האינטרנט של ServiceNow מציג בצורה מדויקת את העדכונים שקשורים לבקשות תמיכה ולהערות לבקשות תמיכה, צריך לבצע את השלבים הבאים:
- בחשבון האדמין ב-ServiceNow, עוברים לכרטיסייה All (הכול).
- בשדה חיפוש, מזינים
SCC Enterprise. - ברשימה הנפתחת, בוחרים באפשרות SCC Enterprise Cloud Posture Ticket ומריצים חיפוש.
- בוחרים באפשרות כרטיס לבדיקת תנוחה. ייפתח דף הפריסה של כרטיס ServiceNow.
- בדף הפריסה של כרטיס ServiceNow, עוברים אל פעולות נוספות > הגדרה > פריסת טופס.
- עוברים לקטע תצוגת הטופס והמקטע.
- בשדה Section (קטע), בוחרים באפשרות u_scc_enterprise_cloud_posture_ticket.
- לוחצים על Save. אחרי שהדף מתעדכן, שדות תבנית הכרטיס מחולקים לשתי עמודות.
- עוברים אל פעולות נוספות > הגדרה > פריסת הטופס.
- עוברים לקטע תצוגת הטופס והמקטע.
- בשדה Section (קטע), בוחרים באפשרות Summary (סיכום).
- לוחצים על Save. אחרי שהדף מתעדכן, מבנה הסיכום החדש מוצג בתבנית הכרטיס.
הגדרת שילוב עם ServiceNow
- במסוף Google Cloud , נכנסים אל Response > Playbooks כדי לפתוח את הניווט במסוף Security Operations.
- בסרגל הניווט של מסוף Security Operations, עוברים אל Response > Integrations Setup.
- בוחרים באפשרות סביבת ברירת מחדל.
- בשדה חיפוש של האינטגרציה, מזינים
ServiceNow. השילוב של ServiceNow מוחזר כתוצאת חיפוש. - לוחצים על Configure Instance. תיבת הדו-שיח תיפתח.
כדי להגדיר את הפרמטר API Root, מזינים את שורש ה-API של מופע ServiceNow, למשל
https://INSTANCE_NAME.service-now.com/api/now/v1/כדי להגדיר את הפרמטר Username (שם משתמש), מזינים את שם המשתמש שבו אתם משתמשים כדי להיכנס ל-ServiceNow. אל תשתמשו בפרטי הכניסה שלכם כאדמינים.
כדי להגדיר את הפרמטר Password, מזינים את הסיסמה שבה משתמשים כדי להיכנס ל-ServiceNow. אל תשתמשו בפרטי הכניסה שלכם כאדמינים.
לוחצים על Save.
כדי לבדוק את ההגדרה, לוחצים על בדיקה.
הפעלת מדריך הפעולות Posture Findings With SNOW
- במסוף Google Cloud , נכנסים אל Response > Playbooks.
- בסרגל החיפוש של Playbook, מזינים
Generic. - בוחרים ב-playbook Posture Findings - Generic. המדריך הזה מופעל כברירת מחדל.
- מעבירים את המתג למצב השבתה של ערכת הפעולות.
- לוחצים על Save.
- בסרגל החיפוש של Playbook, מזינים
SNOW. - בוחרים את מדריך ההפעלה Posture Findings With SNOW (ממצאי תנוחה עם SNOW). המדריך הזה מושבת כברירת מחדל.
- מעבירים את המתג למצב מופעל כדי להפעיל את ספר ההדרכה.
- לוחצים על Save.
הפעלת סנכרון של נתוני בקשות תמיכה
Security Command Center מסנכרן באופן אוטומטי את המידע בין בקשת תמיכה לבין כרטיס התמיכה התואם שלה, כדי לוודא שהעדיפות, הסטטוס, התגובות ונתונים רלוונטיים אחרים זהים בבקשת התמיכה ובכרטיס התמיכה שלה.
כדי לסנכרן נתוני אירועים, Security Command Center משתמש בתהליכים אוטומטיים פנימיים שנקראים משימות סנכרון. המשימות Sync SCC-Jira Tickets ו-Sync SCC-ServiceNow Tickets מסנכרנות את נתוני הבקשות בין Security Command Center לבין מערכות תיעוד משולבות. שני הג'ובים מושבתים בהתחלה, וצריך להפעיל אותם כדי להתחיל בסנכרון אוטומטי של נתוני הכרטיסים.
סגירה של פנייה פותרת באופן אוטומטי את הכרטיס המתאים. פתרון של כרטיס ב-Jira או ב-ServiceNow מפעיל את משימות הסנכרון כדי לסגור גם את הפנייה.
לפני שמתחילים
כדי להפעיל את סנכרון בקשות התמיכה, צריך לקבל אחד מתפקידי ה-SOC הבאים בדף הגדרות SOAR:
- מנהל מערכת
- Vulnerability Manager
- Threat Manager
לפרטים נוספים על התפקידים וההרשאות ב-SOC שנדרשים למשתמשים, אפשר לעיין במאמר שליטה בגישה לתכונות בדפים של Security Operations Console.
הפעלת סנכרון למערכות כרטיסים
כדי לוודא שהמידע בתיקים ובכרטיסים מסונכרן אוטומטית, צריך להפעיל את משימת הסנכרון שרלוונטית למערכת הכרטיסים ששילבתם.
כדי להפעיל את עבודת הסנכרון:
נכנסים ל-Security Command Center במסוף Google Cloud .
בתפריט הניווט, לוחצים על תגובה > תוכניות פעולה. הדף Playbooks נפתח במסוף Security Operations.
לוחצים על תגובה > JobScheduler.
בוחרים את משימת הסנכרון הנכונה:
אם שילבתם עם Jira, בוחרים במשימה Sync SCC-Jira Tickets.
אם ביצעתם שילוב עם ServiceNow, בוחרים במשימה Sync SCC-ServiceNow Tickets.
מחליפים את המצב של המתג כדי להפעיל את העבודה שנבחרה.
לוחצים על שמירה כדי להפעיל את Security Command Center ולסנכרן באופן אוטומטי את נתוני האירועים עם מערכת לניהול כרטיסים.
יצירת כרטיסים לבקשות תמיכה קיימות
Security Command Center יוצר כרטיסים באופן אוטומטי רק למקרים שנפתחו אחרי ששילבתם אותו עם מערכת לניהול כרטיסים, והוא לא מצרף באופן רטרואקטיבי פלייבוק חדש להתראות קיימות. כדי ליצור כרטיסים לבעיות שנפתחו לפני השילוב עם מערכת לניהול פניות לתמיכה, אפשר להשתמש באחת מהגישות הבאות:
סוגרים פנייה שאין לה כרטיס ומחכים עד ש-SCC יטמיע מחדש את הממצאים ויקצה פלייבוק חדש להתראות על הפנייה.
אפשר להוסיף ידנית playbook לכל התראה בבקשת תמיכה שנפתחה לפני ששילבתם את המערכת עם מערכת לניהול כרטיסים.
סגירת בקשת תמיכה ללא כרטיס
כדי לסגור בקשת תמיכה ללא כרטיס:
נכנסים ל-Security Command Center במסוף Google Cloud .
בתפריט הניווט, לוחצים על סיכון > מקרים. הדף Cases ייפתח במסוף Security Operations.
לוחצים על
פתיחת מסנן. נפתחת החלונית Case queue filter.
בCase queue filter, מציינים את הפרטים הבאים:
- בשדה Time Frame, מציינים את תקופת הזמן של כרטיסי התמיכה הפתוחים.
- מגדירים את האופרטור הלוגי ל-AND.
- לערך הראשון בקטע Logical operator, בוחרים באפשרות Tags.
- מגדירים את התנאי ל-IS.
- בערך השני, בוחרים באפשרות Internal-SCC-Ticket-Info.
- לוחצים על Apply (החלה) כדי לעדכן את הפניות בתור הפניות ולהציג רק את הפניות שתואמות למסנן שציינתם.
בתור הפניות, בוחרים את הפנייה.
בתצוגת הכרטיסייה Case view, לוחצים על
Close Case. נפתח החלון סגירת פנייה.
בחלון סגירת בקשת התמיכה, מציינים את הפרטים הבאים:
בוחרים ערך בשדה סיבה כדי לציין את הסיבה לסגירת הפנייה.
בוחרים ערך בשדה Root Cause (הגורם הבסיסי) כדי לציין את הסיבה לסגירת הפנייה.
אופציונלי: מוסיפים תגובה.
לוחצים על סגירה כדי לסגור את הפנייה. לאחר מכן, הממצאים מוזנים מחדש ל-Security Command Center לתיק חדש, ומוצמד אליהם באופן אוטומטי מדריך הפעלה מתאים.
הוספה ידנית של playbook להתראה
כדי לצרף ידנית playbook להתראה בבקשת תמיכה קיימת:
נכנסים ל-Security Command Center במסוף Google Cloud .
לוחצים על סיכון > מקרים. הדף Cases ייפתח במסוף Security Operations.
לוחצים על
פתיחת מסנן. נפתחת החלונית Case queue filter.
בCase queue filter, מציינים את הפרטים הבאים:
- בשדה Time Frame, מציינים את תקופת הזמן של כרטיסי התמיכה הפתוחים.
- מגדירים את האופרטור הלוגי ל-AND.
- לערך הראשון בקטע Logical operator, בוחרים באפשרות Tags.
- מגדירים את התנאי ל-IS.
- בערך השני, בוחרים באפשרות Internal-SCC-Ticket-Info.
- לוחצים על Apply (החלה) כדי לעדכן את הפניות בתור הפניות ולהציג רק את הפניות שתואמות למסנן שציינתם.
בתור הפניות, בוחרים את הפנייה.
בוחרים התראה כלשהי שכלולה בכרטיסייה 'כרטיסייה'.
בתצוגת ההתראה, עוברים לכרטיסייה Playbooks.
לוחצים על add הוספת ספר הפעלה. מופיע החלון Add a Playbook (הוספת ספר הפעלה) עם רשימה של ספרי הפעלה זמינים.
בשדה החיפוש של החלון הוספת ספר הפעלה, מזינים
Posture Findings.- אם שילבתם עם Jira, בוחרים ב-playbook Posture Findings With Jira.
- אם שילבתם את ServiceNow, בוחרים ב-playbook Posture Findings With SNOW.
לוחצים על Add (הוספה) כדי להוסיף playbook להתראה.
בסיום, ה-Playbook יוצר כרטיס לטיפול בבעיה ומאכלס אותו באופן אוטומטי במידע מהבעיה.
הוספת Playbook להתראה אחת בבקשת תמיכה מספיקה כדי ליצור כרטיס ולגרום להפעלת סנכרון הנתונים.