Anwendungsfall für Unternehmen aktualisieren

Das Update vom 18. Dezember 2024 für den Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation ist jetzt verfügbar. Aktualisieren Sie den Anwendungsfall so bald wie möglich.

In diesem Anwendungsfall werden die Funktionen für Sicherheitsvorgänge der Enterprise-Stufe von Security Command Center aktualisiert. Folgen Sie der Anleitung auf dieser Seite, um die Updates anzuwenden.

Das Updateverfahren umfasst die folgenden allgemeinen Schritte:

  1. Bereiten Sie das System auf das Update vor, indem Sie einen Connector deaktivieren und bestimmte vorhandene Playbooks löschen.
  2. Installieren Sie die aktuelle Version des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation.
  3. Überprüfen Sie die Installation und führen Sie die aktualisierten Playbooks aus.

Diese Schritte werden auf der Seite Einstellungen > SOAR-Einstellungen der Security Operations Console ausgeführt.

Prüfen, ob Sie die erforderlichen Rollen haben

Für dieses Verfahren benötigen Sie eine der folgenden SOC-Rollen in der Security Operations Console:

  • Administrator
  • Vulnerability Manager
  • Threat Manager

Weitere Informationen zu SOC-Rollen und Berechtigungen, die Nutzer für den Zugriff auf Seiten der Security Operations Console benötigen, finden Sie unter Zugriff auf Funktionen auf Seiten der Security Operations Console steuern.

System für das Update vorbereiten

Bevor Sie den Anwendungsfall aktualisieren, müssen Sie den SCC Enterprise – Urgent Posture Findings Connector deaktivieren und die Playbooks löschen, die von der aktuellen Version des Anwendungsfalls bereitgestellt werden.

Connector deaktivieren

Um zu vermeiden, dass Warnungen ohne angehängte Playbooks vorhanden sind, deaktivieren Sie den Connector SCC Enterprise – Urgent Posture Findings Connector, bevor Sie Playbooks löschen. Security Command Center übernimmt Ergebnisse, die während der Deaktivierung des Connectors erfasst wurden, wenn Sie den Connector aktualisieren und aktivieren.

So deaktivieren Sie den Connector:

  1. Klicken Sie in der Navigationsleiste der Security Operations Console auf Einstellungen > SOAR-Einstellungen > Aufnahme > Connectors.
  2. Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Urgent Posture Findings Connector aus.
  3. Stellen Sie den Schalter auf „Aus“, um den Connector zu deaktivieren.
  4. Klicken Sie auf Speichern.

Playbooks löschen

Um doppelte Playbooks zu vermeiden, löschen Sie Standard-Playbooks, die Sie in der aktuellen Version Ihres Anwendungsfalls verwenden. Das Löschen von Playbooks vor dem Upgrade des Anwendungsfalls hat keine Auswirkungen auf die Fallverwaltung.

So löschen Sie Standard-Playbooks:

  1. Klicken Sie in der Navigationsleiste der Security Operations Console auf Response > Playbooks. Der Drop-down-Filter ist standardmäßig auf Alle anzeigen festgelegt.

  2. Wählen Sie den Ordner Siemplify Use Cases aus. Dieser Ordner enthält die folgenden Standard-Playbooks:

    • AWS Threat Response Playbook
    • GCP Threat Response Playbook
    • IAM Recommender-Antwort
    • Ergebnisse zur Körperhaltung – Allgemein
    • Posture Findings – Generic – VM Manager
    • Sicherheitsstatusergebnisse mit Jira
    • Posture Findings With ServiceNow
    • Google Cloud – Ausführung – Kryptomining
    • Google Cloud – Ausführung – Binärdatei oder Bibliothek geladen Ausgeführt
    • Google Cloud – Ausführung – Schädliches URL-Skript oder Shell-Prozess
    • Google Cloud – Persistenz – Verdächtiges Verhalten
    • Google Cloud – Persistenz – Anomalous Grant (IAM)
    • Posture – Toxic Combination Playbook
    • Vorschau: Azure Threat Response Playbook

  3. Klicken Sie in der Navigation der Seite Playbooks auf Bearbeiten, um mehrere Elemente auszuwählen.

  4. Klicken Sie neben Siemplify Use Cases auf done_all Alle auswählen, um alle Playbooks und Blöcke im Ordner auszuwählen.

  5. Klicken Sie in der Seitenleiste auf Playbooks und dann auf das Listenmenü > Löschen. Ein Fenster wird angezeigt, in dem Sie das Löschen der ausgewählten Playbooks bestätigen oder abbrechen müssen.

  6. Klicken Sie auf Bestätigen.

    Jetzt können Sie Ihre Version des Anwendungsfalls aktualisieren.

Security Command Center Enterprise-Anwendungsfall installieren

Installieren Sie die neueste Version des SCC Enterprise-Anwendungsfalls und prüfen Sie, ob alle im Anwendungsfall enthaltenen Integrationen auf dem neuesten Stand sind.

Neuesten Anwendungsfall installieren

So installieren Sie die aktuelle Version des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation:

  1. Klicken Sie in der Navigationsleiste der Security Operations Console auf Marketplace > Anwendungsfälle.
  2. Öffnen Sie das Dialogfeld Nach Kategorien filtern, indem Sie auf das Filtersymbol  klicken.
  3. Geben Sie im Dialogfeld Nach Kategorien filtern SCC Enterprise ein. Der Anwendungsfall wird im Bereich Anwendungsfälle angezeigt.

  4. Suchen Sie in der Beschreibung des Anwendungsfalls SCC Enterprise – Cloud Orchestration and Remediation nach einem Datum.

    • Wenn das Datum vor dem 10. Juli 2024 liegt oder kein Datum in der Beschreibung angegeben ist, löschen Sie den Anwendungsfall. Der neueste Anwendungsfall wird automatisch anstelle des gelöschten Anwendungsfalls angezeigt.

    • Wenn das Datum im Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation der 10. Juli 2024 oder später ist, prüfen Sie, ob die Playbooks im neuesten Anwendungsfall installiert sind. Gehen Sie dazu so vor:

      1. Klicken Sie auf den Anwendungsfall, um den Installationsassistenten zu öffnen.
      2. Erweitern Sie die Kategorie „Playbooks“ und sehen Sie sich neue oder aktualisierte Playbooks an.
      3. Suchen Sie in der Security Operations Console auf der Seite Antwort > Playbooks nach dem neuen oder aktualisierten Playbook. Wenn Sie das neue oder aktualisierte Playbook finden, ist die Installation des Anwendungsfalls bereits abgeschlossen.

  5. Klicken Sie auf den Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation und folgen Sie der Anleitung im Installationsassistenten, um die Installation abzuschließen.

Konfigurationen aus dem neuen Anwendungsfall anwenden und validieren

Sie müssen prüfen, ob die verschiedenen Funktionen, die im neuesten Anwendungsfall enthalten sind, richtig aktualisiert wurden. Bei bestimmten Funktionen müssen Sie die Aktualisierungen aus dem neuen Anwendungsfall manuell anwenden.

Integrationsversionen im Anwendungsfall validieren

Die neuen Versionen der im Anwendungsfall enthaltenen Integrationen sind jede Woche verfügbar. Aktualisieren Sie die Integrationen so bald wie möglich auf die neuesten Versionen.

Die neuen Versionen von Integrationen enthalten Updates wie Fehlerkorrekturen, neue Widgets und Aktionen, Änderungen an vorhandenen Widgets und Aktionen, Verbesserungen bei der Verarbeitung von Benachrichtigungen sowie Verbesserungen bei der Logik für die Verarbeitung von Erkennungen und der Workflowzuordnung.

So wenden Sie die Updates für Integrationen an:

  1. Klicken Sie in der Navigationsleiste der Security Operations Console auf Marketplace > Integrationen.
  2. Wählen Sie im Feld Typ die Option Alle Integrationen aus.
  3. Wählen Sie im Feld Status die Option Verfügbares Upgrade aus. Alle Integrationen, die ein Upgrade erfordern, werden angezeigt.
  4. Klicken Sie zum Aktualisieren einer Integration auf der Integrationskarte auf  Auf Version VERSION aktualisieren.
  5. Wenn das Dialogfeld INTEGRATION wird aktualisiert angezeigt wird, klicken Sie auf Bestätigen.
  6. Wenn das Dialogfeld Bestätigung angezeigt wird, klicken Sie auf Genehmigen.
  7. Wählen Sie im Dialogfeld Überschreibungszuordnung bestätigen die folgende Option aus: Install the new ontology configuration and override the existing one (Neue Ontologiekonfiguration installieren und die vorhandene überschreiben) und klicken Sie dann auf Confirm (Bestätigen).

Sie müssen die SCC Enterprise-Integration aktualisieren und die neue Ontologiekonfiguration für alle aktualisierten Integrationen installieren.

Cloud Storage-Integration konfigurieren

Um die Ergebnisse der öffentlichen Bucket-ACL zu beheben, enthält der Anwendungsfall SCC Enterprise – Cloud Orchestration and Remediation eine zusätzliche Integration, nämlich die Cloud Storage-Integration.

Damit die Playbooks den PUBLIC BUCKET ACL-Befundtyp anreichern und beheben können, konfigurieren Sie die Cloud Storage-Integration so:

  1. Konfigurieren Sie die Integrationsparameter.
  2. Aktivieren Sie die Korrektur öffentlicher Buckets für Playbooks.
Integrationsparameter konfigurieren

Führen Sie die folgenden Schritte aus, um die Parameter für die Cloud Storage-Einbindung zu konfigurieren:

  1. Klicken Sie in der Navigationsleiste der Security Operations Console auf Marketplace > Integrationen.
  2. Geben Sie im Feld Suchen Storage ein. Die Karte für die Cloud Storage-Integration wird angezeigt.
  3. Klicken Sie auf der Integrationskarte auf Konfigurieren. Das Konfigurationsdialogfeld wird geöffnet.
  4. Konfigurieren Sie die Parameter Workload Identity Email, Project ID und Quota Project ID. Sie können die Parameterwerte aus einer anderen Google Cloud -Integration kopieren, z. B. aus der Cloud Asset Inventory-Integration.
  5. Klicken Sie auf Speichern.
  6. Klicken Sie auf Testen, um die Konfiguration zu testen.
Öffentliche Bucket-Abhilfemaßnahmen für Playbooks aktivieren

Informationen zum Aktivieren der Korrektur öffentlicher Buckets für die Playbooks für die Behebung von Sicherheitsrisiken finden Sie unter Korrektur öffentlicher Buckets aktivieren.

Widgets in der Fallansicht aktualisieren

  1. Klicken Sie in der Navigationsleiste der Security Operations Console auf Einstellungen > SOAR-Einstellungen > Falldaten > Ansichten.
  2. Wählen Sie Standardansicht für Kundenservicetickets aus.
  3. Wählen Sie den Tab Vordefiniert aus.

  4. Ziehen Sie die Widgets vom Tab Vordefiniert in die Standardfallansicht. Wir empfehlen die folgende Reihenfolge:

    1. Zusammenfassung der Anfrage
    2. Angriffspfad zu schädlichen Kombinationen
    3. Ergebnisse
    4. KI-Untersuchung/Gemini-Zusammenfassung
    5. Ergebniszusammenfassung
    6. SCC – Ergebnisstatus
    7. Betroffene Assets
    8. Ticketinformationen
    9. Ausstehende Aktionen
    10. Entitätendiagramm
    11. Wichtige Felder der Entitäten

  5. Klicken Sie auf Ansicht speichern.

Widgets validieren

Prüfen Sie, ob die folgenden Widgets die richtige Bedingung enthalten, damit Sie die richtigen Informationen erhalten:

  • Angriffspfad zu schädlichen Kombinationen
  • Ergebnis
  • Entitätendiagramm
  • KI-Untersuchung/Gemini-Zusammenfassung
  • Zusammenfassung der Ergebnisse
  • Betroffene Ressourcen
  • SCC – Finding State
  • Betroffene Assets
  • Betroffene AWS-Assets

So validieren Sie die Widgets:

  1. Klicken Sie in der Navigationsleiste der Security Operations Console auf Einstellungen > SOAR-Einstellungen > Falldaten > Ansichten.

  2. Wählen Sie Standardansicht für Kundenservicetickets aus.

  3. Klicken Sie sowohl für das Widget Angriffspfad zu schädlichen Kombinationen als auch für das Widget Ergebnis auf Einstellungen Konfiguration.

    Unter Erweiterte Einstellungen sollte die Bedingung im Abschnitt Bedingungen so aussehen: [Case.Tags] () Toxic Combination. Ist dies nicht der Fall, aktualisieren Sie die Bedingung und klicken Sie dann auf Speichern.

  4. Klicken Sie für die Widgets Entities Graph (Entitätengrafik) und AI Investigation/Gemini Summary (KI-Analyse/Gemini-Zusammenfassung) auf die Einstellungen.

    Unter Erweiterte Einstellungen sollte die Bedingung im Abschnitt Bedingungen so aussehen: [Case.Tags] !() Toxic Combination. Ist dies nicht der Fall, aktualisieren Sie die Bedingung und klicken Sie dann auf Speichern.

  5. Klicken Sie für das Widget Zusammenfassung der Ergebnisse auf EinstellungenKonfiguration.

    Unter Erweiterte Einstellungen sollten die Bedingungen im Abschnitt Bedingungen so aussehen:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    Falls nicht, aktualisieren Sie die Bedingungen und klicken Sie auf Speichern.

  6. Klicken Sie im Widget Betroffene Ressourcen auf Einstellungen Konfiguration.

    Unter Erweiterte Einstellungen sollte die Bedingung im Abschnitt Bedingungen so aussehen: [Case.Tags] () Toxic Combination. Ist dies nicht der Fall, aktualisieren Sie die Bedingung und klicken Sie dann auf Speichern.

  7. Klicken Sie im Widget SCC – Finding State (SCC – Status der Ergebnisse) auf Delete (Löschen). Klicken Sie im Bestätigungsdialogfeld auf Ja.

    Wenn Sie das Widget SCC – Finding State für die aktuelle Version des Anwendungsfalls installieren möchten, ziehen Sie es auf dem Tab Vordefiniert in die Standardansicht für Anfragen.

  8. Klicken Sie im Widget Betroffene Assets auf Löschen. Klicken Sie im Bestätigungsdialogfeld auf Ja.

    Wenn Sie das Widget Betroffene Assets installieren möchten, das für die neueste Version des Anwendungsfalls konfiguriert ist, ziehen Sie es vom Tab Vordefiniert in die Standardansicht für Anfragen.

  9. Klicken Sie im Widget Betroffene AWS-Assets auf Löschen. Klicken Sie im Bestätigungsdialogfeld auf Ja.

  10. Klicken Sie auf Ansicht speichern.

Playbooks aktivieren

So aktivieren Sie Playbooks für die Verarbeitung von Sicherheitslücken und Fehlkonfigurationen:

  1. Klicken Sie in der Navigationsleiste der Security Operations Console auf Response > Playbooks.

  2. Wählen Sie den Ordner Siemplify Use Cases aus.

    Wenn Sie keine Integration mit Ticketsystemen eingerichtet haben, muss Posture Findings – Generic aktiviert sein. Die Aktivierung des Playbooks Posture Findings – Generic – VM Manager ist optional.

    Wenn Sie eine Integration mit Ticketsystemen eingerichtet haben, führen Sie die folgenden Schritte aus:

    1. Wählen Sie das Playbook Posture Findings – Generic (Ergebnisse zur Körperhaltung – Allgemein) aus.
    2. Stellen Sie den Schalter auf „Aus“, um die Funktion zu deaktivieren.
    3. Klicken Sie auf Speichern.
    4. Wählen Sie das Playbook Posture Findings – Generic – VM Manager aus.
    5. Stellen Sie den Schalter auf „Aus“, um die Funktion zu deaktivieren.
    6. Klicken Sie auf Speichern.
    7. Wenn Sie Jira integriert haben, wählen Sie das Playbook Posture Findings With Jira aus.
      1. Stellen Sie den Schalter um, um das Playbook zu aktivieren.
      2. Klicken Sie auf Speichern.
    8. Wenn Sie ServiceNow integriert haben, wählen Sie das Playbook Posture Findings with SNOW aus.
      1. Stellen Sie den Schalter um, um das Playbook zu aktivieren.
      2. Klicken Sie auf Speichern.

Connectors aktualisieren

Wenn Sie den Anwendungsfall aktualisieren, werden vorhandene Connectors nicht automatisch aktualisiert. Damit die Datenaufnahme nach der Aktualisierung des Anwendungsfalls wie erwartet funktioniert, müssen Sie die Connectors SCC Enterprise – Urgent Posture Findings Connector und Google Chronicle – Chronicle Alerts Connector aktualisieren.

So aktualisieren Sie den Connector SCC Enterprise – Urgent Posture Findings Connector:

  1. Klicken Sie in der Security Operations-Konsole im Navigationsbereich auf Einstellungen > SOAR-Einstellungen > Aufnahme > Connectors.
  2. Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Urgent Posture Findings Connector aus. Die Konfigurationsseite für die Connectorparameter wird geöffnet.
  3. Klicken Sie auf Im Cache Aktualisieren.
  4. Legen Sie für den Parameter Run Every (Ausführen alle) den Wert „1 Minute“ fest.
  5. Stellen Sie den Schalter um, um den Connector zu aktivieren.
  6. Klicken Sie auf Speichern.

Führen Sie die folgenden Schritte aus, um den Connector Google Chronicle – Chronicle Alerts Connector zu aktualisieren:

  1. Klicken Sie in der Security Operations-Konsole im Navigationsbereich auf Einstellungen > SOAR-Einstellungen > Aufnahme > Connectors.
  2. Wählen Sie unter GoogleChronicle die Option Google Chronicle – Chronicle Alerts Connector aus. Die Konfigurationsseite für Connector-Parameter wird geöffnet.
  3. Klicken Sie auf Im Cache Aktualisieren.
  4. Legen Sie für den Parameter Run Every (Ausführen alle) den Wert „1 Minute“ fest.
  5. Geben Sie im Parameterfeld Product Field Name (Produktfeldname) SCCE ein.
  6. Stellen Sie den Schalter um, um den Connector zu aktivieren.
  7. Klicken Sie auf Speichern.

Aktualisierungskonfiguration prüfen

Um sicherzustellen, dass alle Komponenten des Anwendungsfalls erfolgreich aktualisiert werden, testen Sie den Connector und den Job.

Connector testen

  1. Klicken Sie in der Navigationsleiste der Security Operations Console auf Einstellungen > SOAR-Einstellungen > Aufnahme > Connectors.
  2. Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Urgent Posture Findings Connector aus.
  3. Rufen Sie den Tab Testen auf.
  4. Klicken Sie auf Connector einmal ausführen. Wenn die Connector-Konfiguration korrekt ist, wird das Häkchen angezeigt.

Job testen

  1. Klicken Sie in der Navigationsleiste der Security Operations Console auf Response > Job Scheduler.
  2. Wählen Sie unter GoogleSecurityCommandCenter die Option SCC-Daten synchronisieren aus.
  3. Klicken Sie auf Jetzt ausführen. Wenn der Job wie erwartet funktioniert, ist der Jobstatus Success.

Fehlerbehebung

  • Für den Job SCC-Daten synchronisieren wird der folgende Fehler angezeigt:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Warten Sie zehn Minuten und klicken Sie auf Jetzt ausführen. Wenn der Fehler weiterhin auftritt, führen Sie die folgenden Schritte aus:

    1. Löschen Sie im Abschnitt Parameter des Jobs den Parameterwert Organisations-ID.
    2. Geben Sie den Parameterwert für Organisations-ID ein.
    3. Klicken Sie auf Speichern.
    4. Klicken Sie auf Jetzt ausführen.

  • Beim Job Sync SCC Data (SCC-Daten synchronisieren) wird ein Authentifizierungsfehler angezeigt, wenn er während der Aktualisierung des Anwendungsfalls nicht automatisch aktualisiert wurde. Um das Problem mit dem Synchronisierungsjob zu beheben, geben Sie die Werte für die Parameter Projekt-ID und Kontingentprojekt-ID manuell ein.

    Führen Sie die folgenden Schritte aus, um die richtigen Parameterwerte anzugeben:

    1. Rufen Sie die Einstellungen>SOAR-Einstellungen> Aufnahme> Connectors auf.
    2. Wählen Sie unter SCCEnterprise die Option SCC Enterprise – Urgent Posture Findings Connector aus.
    3. Kopieren Sie im Bereich Parameter den Wert des Parameters Quota Project ID (Projekt-ID für Kontingent).
    4. Klicken Sie auf Antwort > Job Scheduler.
    5. Wählen Sie unter SCCEnterprise die Option SCC-Daten synchronisieren aus.
    6. Geben Sie im Abschnitt Parameter des Jobs SCC-Daten synchronisieren den kopierten Wert in die Felder Projekt-ID und Kontingent-Projekt-ID ein.
    7. Klicken Sie auf Speichern.

  • Nach der Aktualisierung des Anwendungsfalls werden neue Playbooks nicht auf vorhandene Benachrichtigungen angewendet.

    Wenn Sie die neuen Playbooks auf vorhandene Benachrichtigungen anwenden und das Widget Benachrichtigung neu rendern möchten, schließen Sie einen Fall und warten Sie, bis der Connector Benachrichtigungen mit den neuen Playbooks wieder aufnimmt.