Este documento explica como integrar o nível Enterprise do Security Command Center aos sistemas de emissão de tíquetes após configurar a orquestração, automação e resposta de segurança (SOAR).
A integração com sistemas de emissão de tíquetes é opcional e requer configuração manual. Se você usa a configuração padrão do Security Command Center Enterprise, não precisa realizar esse procedimento. É possível integrar com um sistema de emissão de tíquetes mais tarde, a qualquer momento.
Visão geral
É possível acompanhar as descobertas usando o console e as APIs com a configuração padrão do Security Command Center Enterprise. Se sua organização usa sistemas de emissão de tíquetes para acompanhar problemas, faça a integração com o Jira ou o ServiceNow depois de configurar a instância do Google Security Operations.
Ao receber descobertas de recursos, o conector de descobertas de postura urgentes do SCC Enterprise as analisa e as agrupa em casos novos ou atuais, dependendo do tipo de descoberta.
Se você fizer a integração com um sistema de emissão de tíquetes, o Security Command Center vai criar um novo tíquete sempre que criar um novo caso de descobertas. O Security Command Center atualiza automaticamente o tíquete relacionado sempre que um caso é atualizado.
Um único caso pode conter várias descobertas. O Security Command Center cria um tíquete para cada caso e sincroniza o conteúdo e as informações do caso com o tíquete correspondente para que os responsáveis pelo tíquete saibam o que corrigir.
A sincronização entre um caso e o tíquete funciona das duas maneiras:
As mudanças em um caso, como uma atualização de status ou um novo comentário, são refletidas automaticamente no tíquete associado.
Da mesma forma, os detalhes do tíquete são sincronizados de volta para o caso, enriquecendo-o com informações do sistema de emissão de tíquetes.
Antes de começar
Antes de configurar o Jira ou o ServiceNow, forneça um endereço de e-mail válido para o parâmetro Proprietário de fallback no conector de descobertas de postura urgentes do SCC Enterprise e verifique se esse e-mail pode ser atribuído no sistema de emissão de tíquetes.
Integrar com o Jira
Conclua todas as etapas de integração para sincronizar as atualizações de casos com problemas do Jira e garantir o fluxo correto do playbook.
Uma prioridade de caso é refletida na gravidade do problema do Jira.
Criar um projeto no Jira
Para criar um projeto no Jira para os problemas do Security Command Center Enterprise chamado SCC Enterprise Project (SCCE), execute uma ação manual no caso. Você pode usar qualquer caso atual ou simular um. Para mais informações sobre como simular casos, consulte a página Simular casos na documentação do Google SecOps.
A criação de um novo projeto do Jira requer credenciais de administrador do Jira.
Para criar um projeto do Jira, siga estas etapas:
- No Google Cloud console do, acesse Risco > Casos.
- Selecione um caso atual ou o que você simulou.
- Na guia Visão geral do caso, clique em Ação manual.
- No campo Pesquisar de ação manual, insira
Create SCC Enterprise. - Nos resultados da pesquisa na integração SCCEnterprise, selecione a ação Criar tíquete de postura de nuvem do SCC Enterprise Jira. A janela de diálogo será aberta.
Para configurar o parâmetro Raiz da API, insira a raiz da API da instância do Jira, como
https://YOUR_DOMAIN_NAME.atlassian.netPara configurar o parâmetro Nome de usuário, insira o nome de usuário que você usa para fazer login no Jira como administrador.
Para configurar o parâmetro Senha, insira a senha que você usa para fazer login no Jira como administrador.
Para configurar o parâmetro Token da API, insira o token da API da sua conta de administrador do Atlassian que foi gerado no console do Jira.
Clique em Executar. Aguarde até que a ação seja concluída.
Opcional: configurar o layout de problemas personalizados do Jira
- Faça login no Jira como administrador.
- Acesse Projetos > SCC Enterprise Project (SCCE).
- Ajuste e reordene os campos de problemas. Para mais detalhes sobre como gerenciar campos de problemas, consulte Configurar o layout do campo de problemas na documentação do Jira.
Configurar a integração do Jira
- No Google Cloud console do, acesse Resposta > Playbooks para abrir a navegação do console de operações de segurança.
- Na navegação do console de operações de segurança, acesse Resposta > Configuração de integrações.
- Selecione o ambiente padrão.
- No campo Pesquisar da integração, insira
Jira. A integração Jira é retornada como um resultado da pesquisa. - Clique em Configurar instância. A janela de diálogo será aberta.
Para configurar o parâmetro Raiz da API, insira a raiz da API da instância do Jira, como
https://YOUR_DOMAIN_NAME.atlassian.netPara configurar o parâmetro Nome de usuário, insira o nome de usuário que você usa para fazer login no Jira. Não use suas credenciais de administrador.
Para configurar o parâmetro Token da API, insira o token da API da sua conta do Atlassian não administrativa que foi gerado no console do Jira.
Clique em Salvar.
Para testar sua configuração, clique em Testar.
Ativar o playbook de descobertas de postura com o Jira
- No Google Cloud console do, acesse Resposta > Playbooks para abrir a página Playbooks do console de operações de segurança.
- Na barra Pesquisar do playbook, insira
Generic. - Selecione o playbook Descobertas de postura – genérico. Esse playbook é ativado por padrão.
- Mude a opção para desativar o playbook.
- Clique em Salvar.
- Na barra Pesquisar do playbook, insira
Jira. - Selecione o playbook Descobertas de postura com o Jira. Esse playbook é desativado por padrão.
- Mude a opção para ativar o playbook.
- Clique em Salvar.
Integrar com o ServiceNow
Conclua todas as etapas de integração para sincronizar as atualizações de casos do Google SecOps com tíquetes do ServiceNow e garantir o fluxo correto do playbook.
Criar e configurar o tipo de tíquete personalizado do ServiceNow
Crie e configure o tipo de tíquete personalizado do ServiceNow para ativar a guia "Atividades" na interface do ServiceNow e evitar o uso do layout de tíquete incorreto.
Criar o tipo de tíquete personalizado do ServiceNow
A criação de um tipo de tíquete personalizado do ServiceNow requer credenciais de administrador do ServiceNow.
Para criar um tipo de tíquete personalizado, siga estas etapas:
- No Google Cloud console do, acesse Risco > Casos.
- Selecione um caso atual ou o que você simulou.
- Na guia Visão geral do caso, clique em Ação manual.
- No campo Pesquisar de ação manual, insira
Create SCC Enterprise. - Nos resultados da pesquisa na integração SCCEnterprise, selecione a ação Criar tipo de tíquete de postura de nuvem do SCC Enterprise SNOW. A janela de diálogo será aberta.
Para configurar o parâmetro Raiz da API, insira a raiz da API da sua instância do ServiceNow, como
https://INSTANCE_NAME.service-now.com/api/now/v1/Para configurar o parâmetro Nome de usuário, insira o nome de usuário que você usa para fazer login no ServiceNow como administrador.
Para configurar o parâmetro Senha, insira a senha que você usa para fazer login no ServiceNow como administrador.
Para configurar o parâmetro Função da tabela, deixe o campo vazio ou forneça um valor se tiver um. Esse parâmetro aceita apenas um valor de função.
Por padrão, o campo Função da tabela está vazio. É necessário criar uma nova função personalizada no ServiceNow para gerenciar especificamente os tíquetes do Security Command Center Enterprise. Somente os usuários do ServiceNow que receberam essa nova função personalizada têm acesso aos tíquetes do Security Command Center Enterprise.
Se você já tiver um papel dedicado para usuários que gerenciam incidentes no ServiceNow e quiser usar esse papel para gerenciar as descobertas do Security Command Center Enterprise, insira o nome do papel do ServiceNow no campo Função da tabela. Por exemplo, se você fornecer o valor
incident_handler_role, todos os usuários que receberem o papelincident_handler_roleno ServiceNow poderão acessar os tíquetes do Security Command Center Enterprise.Clique em Executar. Aguarde até que a ação seja concluída.
Configurar o layout de tíquetes personalizados do ServiceNow
Para garantir que a interface da Web do ServiceNow mostre com precisão as atualizações relacionadas a casos e comentários de casos, siga estas etapas:
- Na sua conta de administrador do ServiceNow, acesse a guia Todos.
- No campo Pesquisar, insira
SCC Enterprise. - Na lista suspensa, selecione o tíquete de postura de nuvem do SCC Enterprise e execute uma pesquisa.
- Selecione o tíquete de teste de postura. A página de layout de tíquetes do ServiceNow será aberta.
- Na página de layout de tíquetes do ServiceNow, acesse Ações adicionais > Configurar > Layout do formulário.
- Acesse a seção Visualização e seção do formulário.
- No campo Seção, selecione u_scc_enterprise_cloud_posture_ticket.
- Clique em Salvar. Depois que a página for atualizada, o modelo de tíquete terá campos distribuídos em duas colunas.
- Acesse Ações adicionais > Configurar > Layout do formulário.
- Acesse a seção Visualização e seção do formulário.
- No campo Seção, selecione Resumo.
- Clique em Salvar. Depois que a página for atualizada, o modelo de tíquete vai mostrar a nova estrutura de resumo.
Configurar a integração do ServiceNow
- No Google Cloud console do, acesse Resposta > Playbooks para abrir a navegação do console de operações de segurança.
- Na navegação do console de operações de segurança, acesse Resposta > Configuração de integrações.
- Selecione o ambiente padrão.
- No campo Pesquisar da integração, insira
ServiceNow. A integração ServiceNow é retornada como um resultado da pesquisa. - Clique em Configurar instância. A janela de diálogo será aberta.
Para configurar o parâmetro Raiz da API, insira a raiz da API da sua instância do ServiceNow, como
https://INSTANCE_NAME.service-now.com/api/now/v1/Para configurar o parâmetro Nome de usuário, insira o nome de usuário que você usa para fazer login no ServiceNow. Não use suas credenciais de administrador.
Para configurar o parâmetro Senha, insira a senha que você usa para fazer login no ServiceNow. Não use suas credenciais de administrador.
Clique em Salvar.
Para testar sua configuração, clique em Testar.
Ativar o playbook de descobertas de postura com o SNOW
- No Google Cloud console do, acesse Resposta > Playbooks.
- Na barra Pesquisar do playbook, insira
Generic. - Selecione o playbook Descobertas de postura – genérico. Esse playbook é ativado por padrão.
- Mude a opção para desativar o playbook.
- Clique em Salvar.
- Na barra Pesquisar do playbook, insira
SNOW. - Selecione o playbook Descobertas de postura com o SNOW. Esse playbook é desativado por padrão.
- Mude a opção para ativar o playbook.
- Clique em Salvar.
Ativar a sincronização de dados de casos
O Security Command Center sincroniza automaticamente as informações entre um caso e o tíquete correspondente, garantindo a mesma prioridade, status, comentários e outros dados relevantes entre um caso e o tíquete.
Para sincronizar dados de casos, o Security Command Center usa processos automáticos internos chamados jobs de sincronização. Os jobs Sincronizar tíquetes do SCC-Jira e Sincronizar tíquetes do SCC-ServiceNow sincronizam dados de casos entre o Security Command Center e os sistemas de emissão de tíquetes integrados. Os dois jobs são desativados inicialmente e exigem que você os ative para iniciar a sincronização automática de dados de casos.
O encerramento de um caso resolve automaticamente o tíquete correspondente. A resolução de um tíquete no Jira ou no ServiceNow aciona os jobs de sincronização para fechar o caso também.
Antes de começar
Para ativar a sincronização de casos, você precisa receber um dos seguintes papéis do SOC na página Configurações do SOAR:
- Administrador
- Gerente de vulnerabilidades
- Gerente de ameaças
Para mais detalhes sobre os papéis e permissões do SOC necessários para os usuários, consulte Controlar o acesso a recursos nas páginas do console de operações de segurança.
Ativar a sincronização para sistemas de emissão de tíquetes
Para garantir que as informações em casos e tíquetes sejam sincronizadas automaticamente, ative o job de sincronização relevante para o sistema de emissão de tíquetes com que você fez a integração.
Para ativar o job de sincronização, siga estas etapas:
No Google Cloud console do, acesse o Security Command Center.
No menu de navegação, clique em Resposta > Playbooks. A página Playbooks será aberta no console de operações de segurança.
Clique em Resposta > JobScheduler.
Escolha o job de sincronização correto:
Se você fez a integração com o Jira, selecione o job Sincronizar tíquetes do SCC-Jira.
Se você fez a integração com o ServiceNow, selecione o job Sincronizar tíquetes do SCC-ServiceNow.
Mude a opção para ativar o job selecionado.
Clique em Salvar para ativar o Security Command Center e sincronizar automaticamente os dados de casos com um sistema de emissão de tíquetes.
Criar tíquetes para casos atuais
O Security Command Center cria tíquetes automaticamente apenas para casos abertos depois que você fez a integração com um sistema de emissão de tíquetes e não anexa retroativamente novos playbooks a alertas atuais. Para criar tíquetes para casos abertos antes da integração com um sistema de emissão de tíquetes, use uma das seguintes abordagens:
Feche um caso que não tenha tíquete e aguarde até que o SCC ingira novamente as descobertas e atribua um novo playbook aos alertas de caso.
Adicione manualmente um playbook a qualquer alerta em um caso aberto antes da integração com um sistema de emissão de tíquetes.
Fechar um caso sem tíquete
Para fechar um caso que não tenha tíquete, siga estas etapas:
No Google Cloud console do, acesse o Security Command Center.
Na navegação, clique em Risco > Casos. A página Casos será aberta no console de operações de segurança.
Clique em
Abrir filtro. O painel Filtro da fila de casos será aberto.No Filtro da fila de casos, especifique o seguinte:
- No campo Período, especifique o período dos casos abertos.
- Defina o operador lógico como AND.
- Para o primeiro valor em Operador lógico, selecione Tags.
- Defina a condição como IS.
- Para o segundo valor, selecione Internal-SCC-Ticket-Info.
- Clique em Aplicar para atualizar os casos na fila de casos e mostrar apenas os casos que correspondem ao filtro especificado.
Na fila de casos, selecione o caso.
Na visualização de caso, selecione
Fechar caso. A janela Fechar caso será aberta.Na janela Fechar caso, especifique o seguinte:
Selecione um valor para o campo Motivo para indicar o motivo do encerramento do caso.
Selecione um valor para o campo Causa raiz para indicar o motivo do encerramento do caso.
Opcional: adicione um comentário.
Clique em Fechar para encerrar o caso. O Security Command Center ingere novamente as descobertas em um novo caso e anexa automaticamente um playbook correto a elas.
Adicionar um playbook manualmente a um alerta
Para anexar manualmente um playbook a um alerta em um caso atual, siga estas etapas:
No Google Cloud console do, acesse o Security Command Center.
Clique em Risco > Casos. A página Casos será aberta no console de operações de segurança.
Clique em
Abrir filtro. O painel Filtro da fila de casos será aberto.No Filtro da fila de casos, especifique o seguinte:
- No campo Período, especifique o período dos casos abertos.
- Defina o operador lógico como AND.
- Para o primeiro valor em Operador lógico, selecione Tags.
- Defina a condição como IS.
- Para o segundo valor, selecione Internal-SCC-Ticket-Info.
- Clique em Aplicar para atualizar os casos na fila de casos e mostrar apenas os casos que correspondem ao filtro especificado.
Na fila de casos, selecione o caso.
Selecione qualquer alerta contido em um caso.
Em uma visualização de alerta, acesse a guia Playbooks.
Clique em add Adicionar playbook. A janela Adicionar um playbook com uma lista de playbooks disponíveis será exibida.
No campo de pesquisa da janela Adicionar um playbook, insira
Posture Findings.- Se você fez a integração com o Jira, selecione o playbook Descobertas de postura com o Jira.
- Se você fez a integração com o ServiceNow, selecione o playbook Descobertas de postura com o SNOW.
Clique em Adicionar para adicionar um playbook a um alerta.
Após a conclusão, o playbook cria um tíquete para um caso e preenche automaticamente o tíquete com informações do caso.
A adição de um playbook a um único alerta em um caso é suficiente para criar um tíquete e acionar a sincronização de dados.
A seguir
Saiba como determinar a propriedade das descobertas de postura.
Saiba como agrupar descobertas em casos.
Saiba como atribuir tíquetes com base em casos de postura.