Anwendungsfall für Unternehmen aktualisieren

Das Update vom 18. Dezember 2024 für den Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation ist jetzt verfügbar. Aktualisieren Sie den Anwendungsfall so bald wie möglich.

Dieser Anwendungsfall enthält Updates für die Sicherheitsfunktionen der Enterprise-Stufe von Security Command Center. Folgen Sie der Anleitung auf dieser Seite, um die Updates anzuwenden.

Das Updateverfahren umfasst die folgenden allgemeinen Schritte:

  1. Bereiten Sie das System auf das Update vor, indem Sie einen Connector deaktivieren und bestimmte vorhandene Playbooks löschen.
  2. Installieren Sie die aktuelle Version des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation.
  3. Prüfen Sie die Installation und führen Sie die aktualisierten Playbooks aus.

Diese Schritte werden auf der Seite Einstellungen > SOAR-Einstellungen der Security Operations-Konsole ausgeführt.

Prüfen, ob Sie die erforderlichen Rollen haben

Um diese Anleitung auszuführen, müssen Ihnen in der Security Operations-Konsole eine der folgenden SOC-Rollen zugewiesen sein:

  • Administrator
  • Schwachstellenmanager
  • Bedrohungsmanager

Weitere Informationen zu SOC-Rollen und Berechtigungen, die für den Zugriff auf Seiten der Security Operations-Konsole erforderlich sind, finden Sie unter Zugriff auf Funktionen auf Seiten der Security Operations-Konsole steuern.

System auf das Update vorbereiten

Bevor Sie den Anwendungsfall aktualisieren, müssen Sie den Connector SCC Enterprise – Urgent Posture Findings Connector deaktivieren und die Playbooks löschen, die in der aktuellen Version des Anwendungsfalls enthalten sind.

Connector deaktivieren

Um Benachrichtigungen ohne angehängte Playbooks zu vermeiden, deaktivieren Sie den Connector SCC Enterprise – Urgent Posture Findings Connector , bevor Sie Playbooks löschen. Security Command Center erfasst Ergebnisse, die während der Deaktivierung des Connectors gesammelt wurden, wenn Sie den Connector aktualisieren und aktivieren.

So deaktivieren Sie den Connector:

  1. Rufen Sie in der Security Operations-Konsole Einstellungen > SOAR-Einstellungen > Erfassung > Connectors auf.
  2. Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Urgent Posture Findings Connector aus.
  3. Deaktivieren Sie den Connector.
  4. Klicken Sie auf Speichern.

Playbooks löschen

Um doppelte Playbooks zu vermeiden, löschen Sie die Standard-Playbooks, die Sie in der aktuellen Version Ihres Anwendungsfalls verwenden. Das Löschen von Playbooks vor dem Upgrade des Anwendungsfalls hat keine Auswirkungen auf die Fallverwaltung.

So löschen Sie Standard-Playbooks:

  1. Rufen Sie in der Security Operations-Konsole Antwort > Playbooks auf. Der Drop-down-Filter ist standardmäßig auf Alle anzeigen festgelegt.

  2. Wählen Sie den Ordner Siemplify Use Cases aus. Dieser Ordner enthält die folgenden Standard-Playbooks:

    • AWS Threat Response Playbook
    • GCP Threat Response Playbook
    • IAM Recommender Response
    • Posture Findings – Generic
    • Posture Findings – Generic – VM Manager
    • Posture Findings With Jira
    • Posture Findings With ServiceNow
    • Google Cloud – Execution – Cryptomining
    • Google Cloud – Execution – Binary or Library Loaded Executed
    • Google Cloud – Execution – Malicious URL Script or Shell Process
    • Google Cloud – Persistence – Suspicious Behaviour
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Posture – Toxic Combination Playbook
    • Preview – Azure Threat Response Playbook

  3. Klicken Sie in der Playbooks-Seitennavigation auf Bearbeiten, um mehrere Elemente auszuwählen.

  4. Klicken Sie neben Siemplify Use Cases auf done_all Alle auswählen, um alle Playbooks und Blöcke im Ordner auszuwählen.

  5. Klicken Sie in der Playbooks-Seitennavigation auf list Menü > Löschen. Ein Fenster wird angezeigt, in dem Sie das Löschen der ausgewählten Playbooks bestätigen oder abbrechen müssen.

  6. Klicken Sie auf Bestätigen.

    Jetzt können Sie Ihre Anwendungsfallversion aktualisieren.

Security Command Center Enterprise-Anwendungsfall installieren

Installieren Sie die aktuelle Version des SCC Enterprise-Anwendungsfalls und prüfen Sie, ob alle im Anwendungsfall enthaltenen Integrationen auf dem neuesten Stand sind.

Aktuellen Anwendungsfall installieren

So installieren Sie die aktuelle Version des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation:

  1. Rufen Sie in der Security Operations-Konsole Marketplace > Anwendungsfälle auf.
  2. Öffnen Sie das Dialogfeld Nach Kategorien filtern , indem Sie auf das Filtersymbol klicken.
  3. Geben Sie im Dialogfeld Nach Kategorien filtern SCC Enterprise ein. Der Anwendungsfall wird im Abschnitt Anwendungsfälle angezeigt.

  4. Prüfen Sie in der Beschreibung des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation, ob ein Datum angegeben ist.

    • Wenn das Datum vor dem 10. Juli 2024 liegt oder in der Beschreibung kein Datum angegeben ist, löschen Sie den Anwendungsfall. Der aktuelle Anwendungsfall wird automatisch anstelle des gelöschten Anwendungsfalls angezeigt.

    • Wenn das Datum im Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation der 10. Juli 2024 oder ein späteres Datum ist, prüfen Sie, ob die Playbooks im aktuellen Anwendungsfall installiert sind. Führen Sie dazu die folgenden Schritte aus:

      1. Klicken Sie auf den Anwendungsfall, um den Installationsassistenten zu öffnen.
      2. Erweitern Sie die Kategorie „Playbooks“ und notieren Sie sich alle neuen oder aktualisierten Playbooks.
      3. Suchen Sie auf der Seite Antwort > Playbooks in der Security Operations-Konsole nach dem neuen oder aktualisierten Playbook. Wenn Sie das neue oder aktualisierte Playbook finden, ist die Installation des Anwendungsfalls bereits abgeschlossen.

  5. Klicken Sie auf den Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation und folgen Sie der Anleitung im Installationsassistenten, um die Installation des Anwendungsfalls abzuschließen.

Konfigurationen aus dem neuen Anwendungsfall anwenden und prüfen

Sie müssen prüfen, ob die verschiedenen Funktionen, die im aktuellen Anwendungsfall enthalten sind, korrekt aktualisiert wurden. Bei bestimmten Funktionen müssen Sie die Updates aus dem neuen Anwendungsfall manuell anwenden.

Integrationsversionen im Anwendungsfall prüfen

Die neuen Versionen der im Anwendungsfall enthaltenen Integrationen sind jede Woche verfügbar. Aktualisieren Sie die Integrationen so bald wie möglich auf die neuesten Versionen.

Die neuen Versionen der Integrationen enthalten Updates wie Fehlerkorrekturen, neue Widgets und Aktionen, Änderungen an vorhandenen Widgets und Aktionen, Verbesserungen bei der Benachrichtigungsbearbeitung sowie Verbesserungen an der Logik für die Erkennungsverarbeitung und der Workflowzuordnung.

So wenden Sie die Updates für Integrationen an:

  1. Rufen Sie in der Security Operations-Konsole Marketplace > Integrationen auf.
  2. Wählen Sie im Feld Typ die Option Alle Integrationen aus.
  3. Wählen Sie im Feld Status die Option Verfügbares Upgrade aus. Alle Integrationen, für die ein Upgrade erforderlich ist, werden angezeigt.
  4. Klicken Sie auf der Integrationskarte auf Upgrade auf Version VERSION, um eine Integration zu aktualisieren.
  5. Klicken Sie im Dialogfeld Updating INTEGRATION auf Confirm.
  6. Klicken Sie im Dialogfeld Bestätigung auf Genehmigen.
  7. Wählen Sie im Dialogfeld Zuordnung überschreiben bestätigen die Option: Neue Ontologiekonfiguration installieren und vorhandene überschreiben aus und klicken Sie dann auf Bestätigen.

Es ist erforderlich, die Integration SCC Enterprise zu aktualisieren und die neue Ontologiekonfiguration für alle aktualisierten Integrationen zu installieren.

Cloud Storage-Integration konfigurieren

Um die Ergebnisse der ACL für öffentliche Buckets zu beheben, enthält der Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation eine zusätzliche Integration, die Cloud Storage-Integration.

Damit die Playbooks den Ergebnistyp PUBLIC BUCKET ACL anreichern und beheben können, konfigurieren Sie die Cloud Storage-Integration. Führen Sie dazu die folgenden Schritte aus:

  1. Konfigurieren Sie die Integrationsparameter.
  2. Aktivieren Sie die Behebung für öffentliche Buckets für Playbooks.
Integrationsparameter konfigurieren

So konfigurieren Sie die Parameter der Cloud Storage-Integration:

  1. Rufen Sie in der Security Operations-Konsole Marketplace > Integrationen auf.
  2. Geben Sie im Feld Suchen Storage ein. Die Karte der Cloud Storage-Integration wird angezeigt.
  3. Klicken Sie auf der Integrationskarte auf Konfigurieren. Das Konfigurationsdialogfeld wird geöffnet.
  4. Konfigurieren Sie die Parameter Workload Identity-E‑Mail, Projekt-ID und Kontingentprojekt-ID. Sie können die Parameterwerte aus einer anderen Google Cloud Integration kopieren, z. B. aus der Cloud Asset Inventory-Integration.
  5. Klicken Sie auf Speichern.
  6. Klicken Sie auf Testen , um die Konfiguration zu testen.
Behebung für öffentliche Buckets für Playbooks aktivieren

Informationen zum Aktivieren der Behebung für öffentliche Buckets für die Playbooks für Sicherheitsstatus-Ergebnisse finden Sie unter Behebung für öffentliche Buckets aktivieren.

Widgets für die Fallansicht aktualisieren

  1. Rufen Sie in der Security Operations-Konsole Einstellungen > SOAR Einstellungen > Falldaten > Ansichten auf.
  2. Wählen Sie Standardfallansicht aus.
  3. Wählen Sie den Tab Vordefiniert aus.

  4. Ziehen Sie die Widgets vom Tab Vordefiniert in der folgenden empfohlenen Reihenfolge in die Standardfallansicht:

    1. Fallzusammenfassung
    2. Angriffspfad zu schädlichen Kombinationen
    3. Ergebnisse
    4. KI-Prüfung/Gemini-Zusammenfassung
    5. Ergebniszusammenfassung
    6. SCC – Ergebnisstatus
    7. Betroffene Assets
    8. Ticketinformationen
    9. Ausstehende Aktionen
    10. Entitätendiagramm
    11. Wichtige Felder der Entitäten

  5. Klicken Sie auf Ansicht speichern.

Widgets prüfen

Prüfen Sie, ob die folgenden Widgets die richtige Bedingung enthalten, damit Sie die richtigen Informationen erhalten:

  • Angriffspfad zu schädlichen Kombinationen
  • Ergebnis
  • Entitätendiagramm
  • KI-Prüfung/Gemini-Zusammenfassung
  • Ergebniszusammenfassung
  • Betroffene Ressourcen
  • SCC – Ergebnisstatus
  • Betroffene Assets
  • Betroffene AWS-Assets

So prüfen Sie die Widgets:

  1. Rufen Sie in der Security Operations-Konsole Einstellungen > SOAR-Einstellungen > Falldaten > Ansichten auf.

  2. Wählen Sie Standardfallansicht aus.

  3. Klicken Sie sowohl für das Widget Angriffspfad zu schädlichen Kombinationen als auch für das Widget Ergebnis auf Einstellungen Konfiguration.

    Unter Erweiterte Einstellungen sollte die Bedingung im Abschnitt Bedingungen so aussehen: [Case.Tags] () Toxic Combination. Wenn nicht, aktualisieren Sie die Bedingung und klicken Sie dann auf Speichern.

  4. Klicken Sie sowohl für das Widget Entitätendiagramm als auch für das Widget KI-Prüfung/Gemini-Zusammenfassung auf Einstellungen Konfiguration.

    Unter Erweiterte Einstellungen sollte die Bedingung im Abschnitt Bedingungen so aussehen: [Case.Tags] !() Toxic Combination. Wenn nicht, aktualisieren Sie die Bedingung und klicken Sie dann auf Speichern.

  5. Klicken Sie für das Widget Ergebniszusammenfassung auf EinstellungenKonfiguration.

    Unter Erweiterte Einstellungen sollten die Bedingungen im Abschnitt Bedingungen so aussehen:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    Wenn nicht, aktualisieren Sie die Bedingungen und klicken Sie dann auf Speichern.

  6. Klicken Sie für das Betroffene Ressourcen-Widget auf Einstellungen Konfiguration.

    Unter Erweiterte Einstellungen sollte die Bedingung im Abschnitt Bedingungen so aussehen: [Case.Tags] () Toxic Combination. Wenn nicht, aktualisieren Sie die Bedingung und klicken Sie dann auf Speichern.

  7. Klicken Sie für das Widget SCC – Ergebnisstatus auf Löschen. Klicken Sie im Bestätigungsdialogfeld auf Ja.

    Wenn Sie das Widget SCC – Ergebnisstatus installieren möchten, das für die aktuelle Anwendungsfallversion konfiguriert ist, ziehen Sie das Widget SCC – Ergebnisstatus vom Tab Vordefiniert in die Standardfallansicht.

  8. Klicken Sie für das Widget Betroffene Assets auf Löschen. Klicken Sie im Bestätigungsdialogfeld auf Ja.

    Wenn Sie das Widget Betroffene Assets installieren möchten, das für die aktuelle Anwendungsfallversion konfiguriert ist, ziehen Sie das Widget Betroffene Assets vom Tab Vordefiniert in die Standardfallansicht.

  9. Klicken Sie für das Widget Betroffene AWS-Assets auf Löschen. Klicken Sie im Bestätigungsdialogfeld auf Ja.

  10. Klicken Sie auf Ansicht speichern.

Playbooks aktivieren

So aktivieren Sie Playbooks für die Verarbeitung von Schwachstellen und Fehlkonfigurationen:

  1. Rufen Sie in der Security Operations-Konsole Antwort > Playbooks auf.

  2. Wählen Sie den Ordner Siemplify Use Cases aus.

    Wenn Sie keine Integration mit Ticketsystemen eingerichtet haben, muss Posture Findings – Generic aktiviert sein. Die Aktivierung des Playbooks Posture Findings – Generic – VM Manager ist optional.

    Wenn Sie eine Integration mit Ticketsystemen eingerichtet haben, führen Sie die folgenden Schritte aus:

    1. Wählen Sie das Playbook Posture Findings – Generic aus.
    2. Deaktivieren Sie es.
    3. Klicken Sie auf Speichern.
    4. Wählen Sie das Playbook Posture Findings – Generic – VM Manager aus.
    5. Deaktivieren Sie es.
    6. Klicken Sie auf Speichern.
    7. Wenn Sie eine Integration mit Jira eingerichtet haben, wählen Sie das Playbook Posture Findings With Jira aus.
      1. Aktivieren Sie das Playbook.
      2. Klicken Sie auf Speichern.
    8. Wenn Sie eine Integration mit ServiceNow eingerichtet haben, wählen Sie das Playbook Posture Findings with SNOW aus.
      1. Aktivieren Sie das Playbook.
      2. Klicken Sie auf Speichern.

Connectors aktualisieren

Durch das Aktualisieren des Anwendungsfalls werden vorhandene Connectors nicht automatisch aktualisiert. Damit die Datenaufnahme nach dem Update des Anwendungsfalls wie erwartet funktioniert, aktualisieren Sie die Connectors SCC Enterprise – Urgent Posture Findings Connector und Google Chronicle – Chronicle Alerts Connector.

So aktualisieren Sie den Connector SCC Enterprise – Urgent Posture Findings Connector:

  1. Rufen Sie in der Security Operations-Konsole Einstellungen > SOAR Einstellungen > Erfassung > Connectors auf.
  2. Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Urgent Posture Findings Connector aus. Die Konfigurationsseite für die Connectorparameter wird geöffnet.
  3. Klicken Sie auf zwischengespeichertes Update.
  4. Legen Sie den Parameter Alle auf 1 Minute fest.
  5. Aktivieren Sie den Connector.
  6. Klicken Sie auf Speichern.

So aktualisieren Sie den Connector Google Chronicle – Chronicle Alerts Connector:

  1. Rufen Sie in der Security Operations-Konsole Einstellungen > SOAR Einstellungen > Erfassung > Connectors auf.
  2. Wählen Sie unter GoogleChronicle die Option Google Chronicle – Chronicle Alerts Connector aus. Die Konfigurationsseite für die Connectorparameter wird geöffnet.
  3. Klicken Sie auf zwischengespeichertes Update.
  4. Legen Sie den Parameter Alle auf 1 Minute fest.
  5. Geben Sie im Parameterfeld Produktfeldname SCCE ein.
  6. Aktivieren Sie den Connector.
  7. Klicken Sie auf Speichern.

Updatekonfiguration prüfen

Um sicherzustellen, dass alle Anwendungsfallkomponenten erfolgreich aktualisiert wurden, testen Sie den Connector und den Job.

Connector testen

  1. Rufen Sie in der Security Operations-Konsole Einstellungen > SOAR-Einstellungen > Erfassung > Connectors auf.
  2. Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Urgent Posture Findings Connector aus.
  3. Rufen Sie den Tab Testen auf.
  4. Klicken Sie auf Connector einmal ausführen. Wenn die Connector-Konfiguration korrekt ist, wird das Häkchen angezeigt.

Job testen

  1. Rufen Sie in der Security Operations-Konsole Antwort > Job Scheduler auf.
  2. Wählen Sie unter GoogleSecurityCommandCenter die Option SCC-Daten synchronisieren aus.
  3. Klicken Sie auf Jetzt ausführen. Wenn der Job wie erwartet funktioniert, ist der Jobstatus Success.

Fehlerbehebung

  • Für den Job SCC-Daten synchronisieren wird der folgende Fehler angezeigt:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Warten Sie zehn Minuten und klicken Sie auf Jetzt ausführen. Wenn der Fehler weiterhin auftritt, führen Sie die folgenden Schritte aus:

    1. Löschen Sie im Abschnitt Parameter des Jobs den Parameterwert Organisations-ID.
    2. Geben Sie den Parameterwert Organisations-ID ein.
    3. Klicken Sie auf Speichern.
    4. Klicken Sie auf Jetzt ausführen.

  • Für den Job SCC-Daten synchronisieren wird ein Authentifizierungsfehler angezeigt, wenn er während des Updates des Anwendungsfalls nicht automatisch aktualisiert werden konnte. Um das Problem mit dem Synchronisierungsjob zu beheben, geben Sie die Werte für die Parameter Projekt-ID und Kontingentprojekt-ID manuell ein.

    So geben Sie die richtigen Parameterwerte an:

    1. Rufen Sie Einstellungen > SOAR-Einstellungen > Erfassung > Connectors auf.
    2. Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Urgent Posture Findings Connector aus.
    3. Kopieren Sie im Abschnitt Parameter den Wert des Parameters Kontingentprojekt-ID.
    4. Rufen Sie Antwort > Job Scheduler auf.
    5. Wählen Sie unter SCCEnterprise die Option SCC-Daten synchronisieren aus.
    6. Geben Sie im Abschnitt Parameter des Jobs SCC-Daten synchronisieren den kopierten Wert in die Felder Projekt-ID und Kontingentprojekt-ID ein.
    7. Klicken Sie auf Speichern.

  • Nach dem Update des Anwendungsfalls werden neue Playbooks nicht auf vorhandene Benachrichtigungen angewendet.

    Wenn Sie die neuen Playbooks auf vorhandene Benachrichtigungen anwenden und das Widget Benachrichtigung neu rendern möchten, schließen Sie einen Fall und warten Sie, bis der Connector Benachrichtigungen mit den neuen angehängten Playbooks wieder erfasst.