Integra Security Command Center Enterprise con i sistemi di gestione dei ticket

Questo documento spiega come integrare il livello Enterprise di Security Command Center con i sistemi di gestione dei ticket dopo aver configurato l'orchestrazione, l'automazione e la risposta di sicurezza (SOAR).

L'integrazione con i sistemi di gestione dei ticket è facoltativa e richiede una configurazione manuale. Se utilizzi la configurazione predefinita di Security Command Center Enterprise, non devi eseguire questa procedura. Puoi integrare un sistema di gestione dei ticket in un secondo momento in qualsiasi momento.

Panoramica

Puoi monitorare i risultati utilizzando la console e le API con la configurazione predefinita di Security Command Center Enterprise. Se la tua organizzazione utilizza sistemi di gestione dei ticket per monitorare i problemi, esegui l'integrazione con Jira o ServiceNow dopo aver configurato l'istanza di Google Security Operations.

Dopo aver ricevuto i risultati per le risorse, il connettore SCC Enterprise - Urgent Posture Findings li analizza e li raggruppa in richieste nuove o esistenti, a seconda del tipo di risultato.

Se esegui l'integrazione con un sistema di gestione dei ticket, Security Command Center crea un nuovo ticket ogni volta che crea una nuova richiesta per i risultati. Security Command Center aggiorna automaticamente il ticket correlato ogni volta che viene aggiornata una richiesta.

Una singola richiesta può contenere più risultati. Security Command Center crea un ticket per ogni richiesta e sincronizza i contenuti e le informazioni della richiesta con il ticket corrispondente per informare gli assegnatari del ticket su cosa correggere.

La sincronizzazione tra una richiesta e il relativo ticket funziona in entrambi i modi:

• Le modifiche apportate a una richiesta, come un aggiornamento dello stato o un nuovo commento, vengono automaticamente riportate nel ticket associato.

• Allo stesso modo, i dettagli del ticket vengono sincronizzati con la richiesta, arricchendola con le informazioni del sistema di gestione dei ticket.

Prima di iniziare

Prima di configurare Jira o ServiceNow, fornisci un indirizzo email valido per il parametro Fallback Owner (Proprietario di fallback) nel connettore SCC Enterprise – Urgent Posture Findings e assicurati che questo indirizzo email sia assegnabile nel tuo sistema di gestione dei ticket.

Eseguire l'integrazione con Jira

Assicurati di completare tutti i passaggi di integrazione per sincronizzare gli aggiornamenti delle richieste con i problemi di Jira e garantire il corretto flusso del playbook.

Una priorità della richiesta si riflette nella gravità del problema di Jira.

Creare un nuovo progetto in Jira

Per creare un nuovo progetto in Jira per i problemi di Security Command Center Enterprise denominato SCC Enterprise Project (SCCE), esegui un'azione manuale nella richiesta. Puoi utilizzare qualsiasi richiesta esistente o simularne una. Per ulteriori informazioni sulla simulazione delle richieste, consulta la pagina Simulare le richieste nella documentazione di Google SecOps.

La creazione di un nuovo progetto Jira richiede le credenziali di amministratore di Jira.

Per creare un nuovo progetto Jira, completa i seguenti passaggi:

1. Nella Google Cloud console, vai a Rischio > Richieste.
2. Seleziona una richiesta esistente o quella che hai simulato.
3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
4. Nel campo Cerca dell'azione manuale, inserisci Create SCC Enterprise.
5. Nei risultati di ricerca sotto l'integrazione SCCEnterprise, seleziona l'azione Create SCC Enterprise Cloud Posture Ticket Type Jira (Crea tipo di ticket per la postura cloud di SCC Enterprise Jira). Si apre la finestra di dialogo.

6. Per configurare il parametro API Root (Radice API), inserisci la radice API dell'istanza di Jira, ad esempio https://YOUR_DOMAIN_NAME.atlassian.net

7. Per configurare il parametro Username (Nome utente), inserisci il nome utente che utilizzi per accedere a Jira come amministratore.

8. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a Jira come amministratore.

9. Per configurare il parametro API Token (Token API), inserisci il token API del tuo account di amministratore Atlassian generato nella console Jira.

10. Fai clic su Esegui. Attendi il completamento dell'azione.

(Facoltativo) Configurare il layout dei problemi personalizzato di Jira

1. Accedi a Jira come amministratore.
2. Vai a Progetti > SCC Enterprise Project (SCCE).
3. Modifica e riordina i campi dei problemi. Per maggiori dettagli sulla gestione dei campi dei problemi, consulta la sezione Configuring issue field layout nella documentazione di Jira.

Configurare l'integrazione Jira

1. Nella Google Cloud console, vai a Risposta > Playbook per aprire la navigazione della console Security Operations.
2. Nella navigazione della console Security Operations, vai a Risposta > Configurazione integrazioni.
3. Seleziona l'ambiente predefinito.
4. Nel campo Cerca dell'integrazione, inserisci Jira. L'integrazione Jira viene restituita come risultato di ricerca.
5. Fai clic su settings Configura istanza. Si apre la finestra di dialogo.

6. Per configurare il parametro API Root (Radice API), inserisci la radice API dell'istanza di Jira, ad esempio https://YOUR_DOMAIN_NAME.atlassian.net

7. Per configurare il parametro Username (Nome utente), inserisci il nome utente che utilizzi per accedere a Jira. Non utilizzare le credenziali di amministratore.

8. Per configurare il parametro API Token (Token API), inserisci il token API del tuo account Atlassian non amministratore generato nella console Jira.

9. Fai clic su Salva.

10. Per testare la configurazione, fai clic su Test.

Attivare il playbook Posture Findings With Jira

1. Nella Google Cloud console, vai a Risposta > Playbook per aprire la pagina Playbook della console Security Operations.
2. Nella barra Cerca del playbook, inserisci Generic.
3. Seleziona il playbook Posture Findings - Generic (Risultati della postura - Generico). Questo playbook è attivo per impostazione predefinita.
4. Imposta l'opzione su Disattiva il playbook.
5. Fai clic su Salva.
6. Nella barra Cerca del playbook, inserisci Jira.
7. Seleziona il playbook Posture Findings With Jira (Risultati della postura con Jira). Questo playbook è disattivato per impostazione predefinita.
8. Imposta l'opzione su Attiva il playbook.
9. Fai clic su Salva.

Eseguire l'integrazione con ServiceNow

Assicurati di completare tutti i passaggi di integrazione per sincronizzare gli aggiornamenti delle richieste di Google SecOps con i ticket di ServiceNow e garantire il corretto flusso del playbook.

Creare e configurare il tipo di ticket personalizzato di ServiceNow

Assicurati di creare e configurare il tipo di ticket personalizzato di ServiceNow per attivare la scheda Attività nell'interfaccia utente di ServiceNow ed evitare di utilizzare il layout dei ticket errato.

Creare il tipo di ticket personalizzato di ServiceNow

La creazione di un tipo di ticket personalizzato di ServiceNow richiede le credenziali di amministratore di ServiceNow.

Per creare un tipo di ticket personalizzato, completa i seguenti passaggi:

1. Nella Google Cloud console, vai a Rischio > Richieste.
2. Seleziona una richiesta esistente o quella che hai simulato.
3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
4. Nel campo Cerca dell'azione manuale, inserisci Create SCC Enterprise.
5. Nei risultati di ricerca sotto l'integrazione SCCEnterprise, seleziona l'azione Create SCC Enterprise Cloud Posture Ticket Type SNOW (Crea tipo di ticket per la postura cloud di SCC Enterprise SNOW). Si apre la finestra di dialogo.

6. Per configurare il parametro API Root (Radice API), inserisci la radice API dell'istanza di ServiceNow, ad esempio https://INSTANCE_NAME.service-now.com/api/now/v1/

7. Per configurare il parametro Username (Nome utente), inserisci il nome utente che utilizzi per accedere a ServiceNow come amministratore.

8. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a ServiceNow come amministratore.

9. Per configurare il parametro Table Role (Ruolo tabella), lascia il campo vuoto o fornisci un valore, se ne hai uno. Questo parametro accetta un solo valore di ruolo.

   Per impostazione predefinita, il campo Table Role (Ruolo tabella) è vuoto. Devi creare un nuovo ruolo personalizzato in ServiceNow per gestire in modo specifico i ticket di Security Command Center Enterprise. Solo gli utenti di ServiceNow a cui è stato concesso questo nuovo ruolo personalizzato hanno accesso ai ticket di Security Command Center Enterprise.

   Se hai già un ruolo dedicato per gli utenti che gestiscono gli incidenti in ServiceNow e vuoi utilizzare questo ruolo per gestire i risultati di Security Command Center Enterprise, inserisci il nome del ruolo ServiceNow esistente nel campo Table Role (Ruolo tabella). Ad esempio, se fornisci il valore incident_handler_role esistente, tutti gli utenti a cui è stato concesso il ruolo incident_handler_role in ServiceNow possono accedere ai ticket di Security Command Center Enterprise.

10. Fai clic su Esegui. Attendi il completamento dell'azione.

Configurare il layout dei ticket personalizzato di ServiceNow

Per assicurarti che l'interfaccia web di ServiceNow visualizzi correttamente gli aggiornamenti relativi alle richieste e ai commenti delle richieste, completa i seguenti passaggi:

1. Nel tuo account di amministratore di ServiceNow, vai alla scheda Tutti.
2. Nel campo Cerca, inserisci SCC Enterprise.
3. Nell'elenco a discesa, seleziona SCC Enterprise Cloud Posture Ticket (Ticket per la postura cloud di SCC Enterprise) ed esegui una ricerca.
4. Seleziona Posture Test Ticket (Ticket di test della postura). Si apre la pagina del layout dei ticket di ServiceNow.
5. Nella pagina del layout dei ticket di ServiceNow, vai a Azioni aggiuntive > Configura > Layout del modulo.
6. Vai alla sezione Visualizzazione e sezione del modulo.
7. Nel campo Sezione, seleziona u_scc_enterprise_cloud_posture_ticket.
8. Fai clic su Salva. Dopo l'aggiornamento della pagina, il modello di ticket contiene campi distribuiti in due colonne.
9. Vai a Azioni aggiuntive > Configura > Layout del modulo.
10. Vai alla sezione Visualizzazione e sezione del modulo.
11. Nel campo Sezione, seleziona Riepilogo.
12. Fai clic su Salva. Dopo l'aggiornamento della pagina, il modello di ticket mostra la nuova struttura del riepilogo.

Configurare l'integrazione ServiceNow

1. Nella Google Cloud console, vai a Risposta > Playbook per aprire la navigazione della console Security Operations.
2. Nella navigazione della console Security Operations, vai a Risposta > Configurazione integrazioni.
3. Seleziona l'ambiente predefinito.
4. Nel campo Cerca dell'integrazione, inserisci ServiceNow. L'integrazione ServiceNow viene restituita come risultato di ricerca.
5. Fai clic su settings Configura istanza. Si apre la finestra di dialogo.

6. Per configurare il parametro API Root (Radice API), inserisci la radice API dell'istanza di ServiceNow, ad esempio https://INSTANCE_NAME.service-now.com/api/now/v1/

7. Per configurare il parametro Username (Nome utente), inserisci il nome utente che utilizzi per accedere a ServiceNow. Non utilizzare le credenziali di amministratore.

8. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a ServiceNow. Non utilizzare le credenziali di amministratore.

9. Fai clic su Salva.

10. Per testare la configurazione, fai clic su Test.

Attivare il playbook Posture Findings With SNOW

1. Nella Google Cloud console, vai a Risposta > Playbook.
2. Nella barra Cerca del playbook, inserisci Generic.
3. Seleziona il playbook Posture Findings - Generic (Risultati della postura - Generico). Questo playbook è attivo per impostazione predefinita.
4. Imposta l'opzione su Disattiva il playbook.
5. Fai clic su Salva.
6. Nella barra Cerca del playbook, inserisci SNOW.
7. Seleziona il playbook Posture Findings With SNOW (Risultati della postura con SNOW). Questo playbook è disattivato per impostazione predefinita.
8. Imposta l'opzione su Attiva il playbook.
9. Fai clic su Salva.

Attivare la sincronizzazione dei dati delle richieste

Security Command Center sincronizza automaticamente le informazioni tra una richiesta e il relativo ticket, garantendo la corrispondenza di priorità, stato, commenti e altri dati pertinenti tra una richiesta e il relativo ticket.

Per sincronizzare i dati delle richieste, Security Command Center utilizza processi automatici interni chiamati job di sincronizzazione. I job Sync SCC-Jira Tickets (Sincronizza ticket SCC-Jira) e Sync SCC-ServiceNow Tickets (Sincronizza ticket SCC-ServiceNow) sincronizzano i dati delle richieste tra Security Command Center e i sistemi di gestione dei ticket integrati. Entrambi i job sono inizialmente disattivati e devi attivarli per avviare la sincronizzazione automatica dei dati delle richieste.

La chiusura di una richiesta risolve automaticamente il ticket corrispondente. La risoluzione di un ticket in Jira o ServiceNow attiva i job di sincronizzazione per chiudere anche la richiesta.

Prima di iniziare

Per attivare la sincronizzazione delle richieste, devi disporre di uno dei seguenti ruoli SOC nella pagina Impostazioni SOAR:

• Amministratore
• Gestore delle vulnerabilità
• Gestore delle minacce

Per maggiori dettagli sui ruoli e sulle autorizzazioni SOC richiesti per gli utenti, consulta Controllare l'accesso alle funzionalità nelle pagine della console Security Operations.

Attivare la sincronizzazione per i sistemi di gestione dei ticket

Per assicurarti che le informazioni nelle richieste e nei ticket vengano sincronizzate automaticamente, attiva il job di sincronizzazione pertinente al sistema di gestione dei ticket con cui hai eseguito l'integrazione.

Per attivare il job di sincronizzazione, completa i seguenti passaggi:

1. Nella Google Cloud console, vai a Security Command Center.

   Vai a Security Command Center

2. Nel menu di navigazione, fai clic su Risposta > Playbook. La pagina Playbook si apre nella console Security Operations.

3. Fai clic su Risposta > JobScheduler.

4. Scegli il job di sincronizzazione corretto:

   • Se hai eseguito l'integrazione con Jira, seleziona il job Sync SCC-Jira Tickets (Sincronizza ticket SCC-Jira).

   • Se hai eseguito l'integrazione con ServiceNow, seleziona il job Sync SCC-ServiceNow Tickets (Sincronizza ticket SCC-ServiceNow).

5. Imposta l'opzione per attivare il job selezionato.

6. Fai clic su Salva per consentire a Security Command Center di sincronizzare automaticamente i dati delle richieste con un sistema di gestione dei ticket.

Creare ticket per le richieste esistenti

Security Command Center crea automaticamente i ticket solo per le richieste aperte dopo l'integrazione con un sistema di gestione dei ticket e non collega retroattivamente i nuovi playbook agli avvisi esistenti. Per creare ticket per le richieste aperte prima dell'integrazione con un sistema di gestione dei ticket, utilizza uno dei seguenti approcci:

• Chiudi una richiesta senza ticket e attendi che SCC esegua nuovamente l'importazione dei risultati e assegni un nuovo playbook agli avvisi della richiesta.

• Aggiungi manualmente un playbook a qualsiasi avviso in una richiesta aperta prima dell'integrazione con un sistema di gestione dei ticket.

Chiudere una richiesta senza ticket

Per chiudere una richiesta senza ticket, completa i seguenti passaggi:

1. Nella Google Cloud console, vai a Security Command Center.

   Vai a Security Command Center

2. Nel menu di navigazione, fai clic su Rischio > Richieste. La pagina Richieste si apre nella console Security Operations.

3. Fai clic su Apri filtro. Si apre il riquadro Filtro coda di richieste.

4. Nel Filtro coda di richieste, specifica quanto segue:

   1. Nel campo Intervallo di tempo, specifica il periodo di tempo per le richieste aperte.
   2. Imposta Operatore logico su AND.
   3. Per il primo valore in Operatore logico, seleziona Tag.
   4. Imposta la condizione su È.
   5. Per il secondo valore, seleziona Internal-SCC-Ticket-Info.
   6. Fai clic su Applica per aggiornare le richieste nella coda di richieste e mostrare solo le richieste che corrispondono al filtro specificato.

5. Seleziona la richiesta dalla coda di richieste.

6. Nella Visualizzazione richiesta, seleziona Chiudi richiesta. Si apre la finestra Chiudi richiesta.

7. Nella finestra Chiudi richiesta, specifica quanto segue:

   1. Seleziona un valore per il campo Motivo per indicare il motivo della chiusura della richiesta.

   2. Seleziona un valore per il campo Causa principale per indicare il motivo della chiusura della richiesta.

   3. (Facoltativo) Aggiungi un commento.

   4. Fai clic su Chiudi per chiudere la richiesta. Security Command Center esegue nuovamente l'importazione dei risultati in una nuova richiesta e collega automaticamente un playbook corretto.

Aggiungere manualmente un playbook a un avviso

Per collegare manualmente un playbook a un avviso in una richiesta esistente, completa i seguenti passaggi:

1. Nella Google Cloud console, vai a Security Command Center.

   Vai a Security Command Center

2. Fai clic su Rischio > Richieste. La pagina Richieste si apre nella console Security Operations.

3. Fai clic su Apri filtro. Si apre il riquadro Filtro coda di richieste.

4. Nel Filtro coda di richieste, specifica quanto segue:

   1. Nel campo Intervallo di tempo, specifica il periodo di tempo per le richieste aperte.
   2. Imposta Operatore logico su AND.
   3. Per il primo valore in Operatore logico, seleziona Tag.
   4. Imposta la condizione su È.
   5. Per il secondo valore, seleziona Internal-SCC-Ticket-Info.
   6. Fai clic su Applica per aggiornare le richieste nella coda di richieste e mostrare solo le richieste che corrispondono al filtro specificato.

5. Seleziona la richiesta dalla coda di richieste.

6. Seleziona un avviso contenuto in una richiesta.

7. In una visualizzazione degli avvisi, vai alla scheda Playbook.

8. Fai clic su Aggiungi playbook. Viene visualizzata la finestra Aggiungi un playbook con un elenco dei playbook disponibili.

9. Nel campo di ricerca della finestra Aggiungi un playbook, inserisci Posture Findings.

   • Se hai eseguito l'integrazione con Jira, seleziona il playbook Posture Findings With Jira (Risultati della postura con Jira).
   • Se hai eseguito l'integrazione con ServiceNow, seleziona il playbook Posture Findings With SNOW (Risultati della postura con SNOW).

10. Fai clic su Aggiungi per aggiungere un playbook a un avviso.

Al termine, il playbook crea un ticket per una richiesta e lo compila automaticamente con le informazioni della richiesta.

È sufficiente aggiungere un playbook a un singolo avviso all'interno di una richiesta per creare un ticket e attivare la sincronizzazione dei dati.

Passaggi successivi

• Scopri come determinare la proprietà dei risultati della postura.

• Scopri come raggruppare i risultati nelle richieste.

• Scopri come assegnare i ticket in base alle richieste di postura.