Atualizar o caso de uso empresarial

A atualização de 18 de dezembro de 2024 do caso de uso SCC Enterprise – Cloud Orchestration and Remediation já está disponível. Atualize o caso de uso assim que possível.

Esse caso de uso oferece atualizações para os recursos de operações de segurança do nível Enterprise do Security Command Center. Para aplicar as atualizações, siga os procedimentos nesta página.

O procedimento de atualização inclui as seguintes etapas de alto nível:

  1. Prepare o sistema para atualização desativando um conector e excluindo alguns playbooks atuais.
  2. Instale a versão mais recente do caso de uso SCC Enterprise – Cloud Orchestration and Remediation.
  3. Valide a instalação e execute os playbooks atualizados.

Essas etapas são realizadas usando a página do console de operações de segurança Configurações > Configurações do SOAR.

Confirme se você tem os papéis necessários

Para concluir esse procedimento, você precisa receber um dos seguintes papéis do SOC no console de operações de segurança:

  • Administrador
  • Gerente de vulnerabilidades
  • Gerente de ameaças

Para mais detalhes sobre os papéis e permissões do SOC necessários para que os usuários acessem as páginas do console de operações de segurança, consulte Controlar o acesso aos recursos nas páginas do console de operações de segurança.

Preparar o sistema para a atualização

Antes de atualizar o caso de uso, é necessário desativar o SCC Enterprise – Urgent Posture Findings Connector e excluir os playbooks fornecidos pela versão atual do caso de uso.

Desativar o conector

Para evitar alertas sem playbooks anexados, desative o conector SCC Enterprise – Urgent Posture Findings Connector antes de excluir os playbooks. O Security Command Center ingere as descobertas coletadas enquanto o conector está desativado quando você o atualiza e ativa.

Para desativar o conector, siga estas etapas:

  1. Na navegação do console de operações de segurança, acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise – Urgent Posture Findings Connector.
  3. Mude a opção para desativar o conector.
  4. Clique em Salvar.

Excluir playbooks

Para evitar a duplicação de playbooks, exclua os playbooks padrão usados na versão atual do caso de uso. A exclusão de playbooks antes de fazer upgrade do caso de uso não tem impacto no gerenciamento de casos.

Para excluir playbooks padrão, siga estas etapas:

  1. Na navegação do console de operações de segurança, acesse Resposta > Playbooks. O filtro suspenso é definido como Mostrar tudo por padrão.

  2. Selecione a pasta Siemplify Use Cases. Essa pasta contém os seguintes playbooks padrão:

    • AWS Threat Response Playbook
    • GCP Threat Response Playbook
    • IAM Recommender Response
    • Posture Findings – Generic
    • Posture Findings – Generic – VM Manager
    • Posture Findings With Jira
    • Posture Findings With ServiceNow
    • Google Cloud – Execution – Cryptomining
    • Google Cloud – Execution – Binary or Library Loaded Executed
    • Google Cloud – Execution – Malicious URL Script or Shell Process
    • Google Cloud – Persistence – Suspicious Behaviour
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Posture – Toxic Combination Playbook
    • Preview – Azure Threat Response Playbook

  3. Na navegação nas páginas Playbooks, clique em Editar para selecionar vários itens.

  4. Ao lado de Siemplify Use Cases, clique em done_all Selecionar tudo para selecionar todos os playbooks e blocos na pasta.

  5. Na navegação nas páginas Playbooks, clique em list Menu > Excluir. Uma janela aparece solicitando que você confirme ou cancele a exclusão dos playbooks selecionados.

  6. Clique em Confirmar.

    Agora você pode atualizar a versão do caso de uso.

Instalar o caso de uso do Security Command Center Enterprise

Para instalar a versão mais recente do caso de uso do SCC Enterprise e verificar se todas as integrações fornecidas no caso de uso estão atualizadas.

Instalar o caso de uso mais recente

Para instalar a versão mais recente do caso de uso SCC Enterprise – Cloud Orchestration and Remediation, siga estas etapas:

  1. Na navegação do console de operações de segurança, acesse Marketplace > Casos de uso.
  2. Abra a caixa de diálogo Filtrar por categorias clicando no ícone de filtro, .
  3. Na caixa de diálogo Filtrar por categorias, digite SCC Enterprise. O caso de uso aparece na seção Casos de uso.

  4. Na descrição do caso de uso SCC Enterprise – Cloud Orchestration and Remediation, procure uma data.

    • Se a data for anterior a 10 de julho de 2024 ou não houver data na descrição, exclua o caso de uso. O caso de uso mais recente aparece automaticamente no lugar do caso de uso excluído.

    • Se a data no caso de uso SCC Enterprise – Cloud Orchestration and Remediation for 10 de julho de 2024 ou posterior, confirme se os playbooks no caso de uso mais recente estão instalados seguindo estas etapas:

      1. Clique no caso de uso para abrir o assistente de instalação.
      2. Expanda a categoria de playbooks e anote os playbooks novos ou atualizados.
      3. Na página Resposta > Playbooks no console de operações de segurança, pesquise o playbook novo ou atualizado. Se você encontrar o playbook novo ou atualizado, a instalação do caso de uso já estará concluída.

  5. Para concluir a instalação do caso de uso, clique no caso de uso SCC Enterprise – Cloud Orchestration and Remediation e siga as instruções no assistente de instalação.

Aplicar e validar configurações do novo caso de uso

É necessário validar se os vários recursos incluídos no caso de uso mais recente foram atualizados corretamente. Para alguns recursos, é necessário aplicar as atualizações do novo caso de uso manualmente.

Validar versões de integração no caso de uso

As novas versões de integrações incluídas no caso de uso estão disponíveis todas as semanas. Atualize as integrações para as versões mais recentes assim que possível.

As novas versões de integrações introduzem atualizações, incluindo, entre outras, correções, novos widgets e ações, mudanças em widgets e ações atuais, melhorias no tratamento de alertas e melhorias na lógica de processamento de detecção e no mapeamento de fluxo de trabalho.

Para aplicar as atualizações das integrações, siga estas etapas:

  1. Na navegação do console de operações de segurança, acesse Marketplace > Integrações.
  2. No campo Tipo, selecione Todas as integrações.
  3. No campo Status, selecione Upgrade disponível. Todas as integrações que exigem um upgrade são mostradas.
  4. Para fazer upgrade de uma integração, clique em Fazer upgrade para a versão VERSION no card de integração.
  5. Se a caixa de diálogo Atualizando INTEGRATION aparecer, clique em Confirmar.
  6. Se a caixa de diálogo Confirmação aparecer, clique em Aprovar.
  7. Na caixa de diálogo Confirmar substituição do mapeamento , selecione a seguinte opção: Instalar a nova configuração de ontologia e substituir a atual e clique em Confirmar.

É necessário fazer upgrade da integração do SCC Enterprise e instalar a nova configuração de ontologia para todas as integrações atualizadas.

Configurar a integração do Cloud Storage

Para corrigir as descobertas de ACL de bucket público, o caso de uso SCC Enterprise – Cloud Orchestration and Remediation inclui uma integração adicional, a integração do Cloud Storage.

Para permitir que os playbooks enriqueçam e corrijam o tipo de descoberta PUBLIC BUCKET ACL, configure a integração do Cloud Storage seguindo estas etapas:

  1. Configure os parâmetros de integração.
  2. Ative a correção de bucket público para playbooks.
Configurar os parâmetros de integração

Para configurar os parâmetros de integração do Cloud Storage, siga estas etapas:

  1. Na navegação do console de operações de segurança, acesse Marketplace > Integrações.
  2. No campo Pesquisar, digite Storage. O card de integração do Cloud Storage aparece.
  3. No card de integração, clique em Configurar. A caixa de diálogo de configuração é aberta.
  4. Configure os parâmetros E-mail da Identidade da carga de trabalho, ID do projeto e ID do projeto de cota. É possível copiar os valores de parâmetros de qualquer outra Google Cloud integração, como a integração do Inventário de recursos do Cloud.
  5. Clique em Salvar.
  6. Clique em Testar para testar a configuração.
Ativar a correção de bucket público para playbooks

Para ativar a correção de bucket público para os playbooks de descobertas de postura, consulte Ativar a correção de bucket público.

Atualizar widgets de visualização de casos

  1. Na navegação do console de operações de segurança, acesse Configurações > Configurações do SOAR > Dados de casos > Visualizações.
  2. Selecione Visualização de caso padrão.
  3. Selecione a guia Predefinido.

  4. Arraste os widgets da guia Predefinido para a Visualização de caso padrão na seguinte ordem recomendada:

    1. Resumo do caso
    2. Caminho do ataque de combinação tóxica
    3. Descobertas
    4. Resumo da investigação de IA/Gemini
    5. Resumo das descobertas
    6. SCC – Estado da descoberta
    7. Recursos afetados
    8. Informações sobre passagens
    9. Ações pendentes
    10. Gráfico de entidades
    11. Destaques das entidades

  5. Clique em Salvar visualização.

Validar widgets

Para garantir que você receba as informações corretas, valide se os seguintes widgets contêm a condição correta:

  • Caminho do ataque de combinação tóxica
  • Descoberta
  • Gráfico de entidades
  • Resumo da investigação de IA/Gemini
  • Resumo das descobertas
  • Recursos afetados
  • SCC – Estado da descoberta
  • Recursos afetados
  • Recursos afetados da AWS

Para validar os widgets, siga estas etapas:

  1. Na navegação do console de operações de segurança, acesse Configurações > Configurações do SOAR > Dados de casos > Visualizações.

  2. Selecione Visualização de caso padrão.

  3. Para os widgets Caminho do ataque de combinação tóxica e Descoberta, clique em settings Configuração.

    Em Configurações avançadas, na seção Condições, a condição precisa ser a seguinte: [Case.Tags] () Toxic Combination. Se não for, atualize a condição e clique em Salvar.

  4. Para os widgets Gráfico de entidades e Resumo da investigação de IA/Gemini, clique em settings Configuração.

    Em Configurações avançadas, na seção Condições, a condição precisa ser a seguinte: [Case.Tags] !() Toxic Combination. Se não for, atualize a condição e clique em Salvar.

  5. Para o widget Resumo dos resultados, clique em settingsConfiguração.

    Em Configurações avançadas, na seção Condições, as condições precisam ser as seguintes:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    Se não for, atualize as condições e clique em Salvar.

  6. Para o widget Recursos afetados, clique em settings Configuração.

    Em Configurações avançadas, na seção Condições, a condição precisa ser a seguinte: [Case.Tags] () Toxic Combination. Se não for, atualize a condição e clique em Salvar.

  7. Para o widget SCC – Estado da descoberta, clique em Excluir. Quando a caixa de diálogo de confirmação for aberta, clique em Sim.

    Para instalar o widget SCC – Estado da descoberta configurado para a versão mais recente do caso de uso, arraste o widget SCC – Estado da descoberta da guia Predefinido para a Visualização de caso padrão.

  8. Para o widget Recursos afetados, clique em Excluir. Quando a caixa de diálogo de confirmação for aberta, clique em Sim.

    Para instalar o widget Recursos afetados configurado para a versão mais recente do caso de uso, arraste o widget Recursos afetados da guia Predefinido para a Visualização de caso padrão.

  9. Para o widget Recursos afetados da AWS, clique em Excluir. Quando a caixa de diálogo de confirmação for aberta, clique em Sim.

  10. Clique em Salvar visualização.

Ativar playbooks

Para ativar playbooks para processar vulnerabilidades e configurações incorretas, siga estas etapas:

  1. Na navegação do console de operações de segurança, acesse Resposta > Playbooks.

  2. Selecione a pasta Siemplify Use Cases.

    Se você não fez a integração com sistemas de emissão de tickets, verifique se a opção Posture Findings – Generic está ativada. A ativação do playbook Posture Findings – Generic – VM Manager é opcional.

    Se você fez a integração com sistemas de emissão de tickets, siga estas etapas:

    1. Selecione o playbook Posture Findings – Generic.
    2. Mude a opção para desativá-lo.
    3. Clique em Salvar.
    4. Selecione o playbook Posture Findings – Generic – VM Manager.
    5. Mude a opção para desativá-lo.
    6. Clique em Salvar.
    7. Se você fez a integração com o Jira, selecione o playbook Posture Findings With Jira.
      1. Mude a opção para ativar o playbook.
      2. Clique em Salvar.
    8. Se você fez a integração com o ServiceNow, selecione o playbook Posture Findings with SNOW.
      1. Mude a opção para ativar o playbook.
      2. Clique em Salvar.

Atualizar conectores

A atualização do caso de uso não atualiza os conectores atuais automaticamente. Para garantir que a ingestão de dados funcione conforme o esperado após a atualização do caso de uso, atualize os conectores SCC Enterprise – Urgent Posture Findings Connector e Google Chronicle – Chronicle Alerts Connector.

Para atualizar o conector SCC Enterprise – Urgent Posture Findings Connector, siga estas etapas:

  1. Na navegação do console de operações de segurança, acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise – Urgent Posture Findings Connector. A página de configuração de parâmetros do conector é aberta.
  3. Clique em em cache Atualizar.
  4. Defina o parâmetro Executar a cada como 1 minuto.
  5. Mude a opção para ativar o conector.
  6. Clique em Salvar.

Para atualizar o conector Google Chronicle – Chronicle Alerts Connector, siga estas etapas:

  1. Na navegação do console de operações de segurança, acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
  2. Em GoogleChronicle, selecione Google Chronicle – Chronicle Alerts Connector. A página de configuração de parâmetros do conector é aberta.
  3. Clique em em cache Atualizar.
  4. Defina o parâmetro Executar a cada como 1 minuto.
  5. No campo de parâmetro Nome do campo do produto, insira SCCE.
  6. Mude a opção para ativar o conector.
  7. Clique em Salvar.

Verificar a configuração de atualização

Para garantir que todos os componentes do caso de uso sejam atualizados corretamente, teste o conector e o job.

Testar o conector

  1. Na navegação do console de operações de segurança, acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise – Urgent Posture Findings Connector.
  3. Acesse a guia Testes.
  4. Clique em Executar o conector uma vez. Se a configuração do conector estiver correta, a marca de seleção vai aparecer.

Testar o job

  1. Na navegação do console de operações de segurança, acesse Resposta > Agendador de jobs.
  2. Em GoogleSecurityCommandCenter, selecione Sincronizar dados do SCC.
  3. Clique em Executar agora. Se o job funcionar conforme o esperado, o status dele será Success.

Solução de problemas

  • O job Sincronizar dados do SCC mostra o seguinte erro:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Aguarde dez minutos e clique em Executar agora. Se o erro persistir, siga estas etapas:

    1. Na seção Parâmetros do job, exclua o valor do parâmetro ID da organização.
    2. Insira o valor do parâmetro ID da organização.
    3. Clique em Salvar.
    4. Clique em Executar agora.

  • O job Sincronizar dados do SCC mostra um erro de autenticação quando não é possível atualizar automaticamente durante a atualização do caso de uso. Para corrigir o problema do job de sincronização, insira manualmente os valores dos parâmetros ID do projeto e ID do projeto de cota.

    Para especificar os valores de parâmetro corretos, siga estas etapas:

    1. Acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
    2. Em SCCEnterprise, selecione SCC Enterprise – Urgent Posture Findings Connector.
    3. Na seção Parâmetros, copie o valor do parâmetro ID do projeto de cota.
    4. Acesse Resposta > Agendador de jobs.
    5. Em SCCEnterprise, selecione Sincronizar dados do SCC.
    6. Na seção Parâmetros do job Sincronizar dados do SCC, insira o valor copiado nos campos ID do projeto e ID do projeto de cota.
    7. Clique em Salvar.

  • Após a atualização do caso de uso, os novos playbooks não são aplicados aos alertas atuais.

    Para aplicar os novos playbooks aos alertas atuais e renderizar novamente o widget Alerta, feche um caso e aguarde até que o conector ingira alertas novamente com os novos playbooks anexados.