Actualiza el caso de uso de Enterprise

La actualización del 4 de septiembre de 2024 de SCC Enterprise – Cloud Orchestration y solución ya está disponible. Actualiza el caso de uso lo antes posible.

Este caso de uso proporciona actualizaciones a las funciones de operaciones de seguridad de la Nivel empresarial de Security Command Center. Para aplicar las actualizaciones, sigue los procedimientos de esta página.

El procedimiento de actualización incluye los siguientes pasos de alto nivel:

  1. Prepara el sistema para la actualización inhabilitando un conector y borrando ciertas guías existentes.
  2. Instala la última versión del SCC Enterprise – Cloud de organización y corrección.
  3. Valida la instalación y ejecuta las guías actualizadas.

Confirma que tienes los roles necesarios

Para completar el procedimiento, se te debe otorgar cualquiera de los siguientes SOC roles en la consola de operaciones de seguridad:

  • Administrador
  • Administrador de vulnerabilidades
  • Administrador de amenazas

Para más detalles sobre los roles del SOC en la consola de operaciones de seguridad y los permisos necesarios para los usuarios, consulta Controla el acceso a las funciones en la consola de operaciones de seguridad.

Prepara el sistema para la actualización

Antes de actualizar el caso de uso, debes inhabilitar el SCC Enterprise: Conector de hallazgos urgentes de la postura y puede borrar las guías proporcionadas por la versión del caso de uso actual.

Inhabilitar el conector

Para evitar tener alertas sin playbooks adjuntos, inhabilita el conector SCC Enterprise – Urgent Posture Findings Connector antes de borrar los playbooks. Security Command Center transfiere los resultados recopilados mientras el conector está inhabilitado cuando actualizas y habilitas el conector.

Para inhabilitar el conector, completa los siguientes pasos:

  1. En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
  2. En SCCEnterprise, selecciona SCC Enterprise: conector de Urgent Posture Findings.
  3. Mueve el interruptor para inhabilitar el conector.
  4. Haz clic en Guardar.

Cómo borrar guías

Para evitar la duplicación de la guía, borra las guías predeterminadas que usas. en la versión actual de tu caso de uso. Borra las guías antes de actualizar el caso de uso no afecta su administración.

Para borrar las guías predeterminadas, completa los siguientes pasos:

  1. En la consola de operaciones de seguridad, ve a Respuesta > Guías. El filtro desplegable está configurado en Mostrar todo de forma predeterminada.

  2. Selecciona la carpeta Casos de uso de Siemplify. Esta carpeta contiene los siguientes elementos: guías predeterminadas:

    • Guía de respuesta a amenazas de AWS
    • Guía de respuesta ante amenazas de GCP
    • Respuesta del recomendador de IAM
    • Hallazgos de la postura: genéricos
    • Hallazgos de la postura: genéricos – VM Manager
    • Hallazgos de la postura con Jira
    • Hallazgos de la postura con ServiceNow
    • Google Cloud – Ejecución: Criptominería
    • Google Cloud: Ejecución: Se cargó o ejecutó un objeto binario o una biblioteca
    • Google Cloud – Ejecución – Shell o secuencia de comandos de URL maliciosa Procesos
    • Google Cloud – Persistencia – Comportamiento sospechoso
    • Google Cloud – Persistencia – Otorgamiento anómalo de IAM
    • Postura: Guía de combinaciones tóxicas
    • Vista previa: Guía de respuesta ante amenazas de Azure

  3. En la navegación de la página Playbooks, haz clic en Editar para seleccionar varios elementos.

  4. Junto a Casos de uso de Siemplify, haz clic en done_all Seleccionar todo para seleccionar todas las guías y los bloques en la carpeta.

  5. En la navegación de la página Guías, haz clic en list Menú > Borrar Aparecerá una ventana en la que deberás confirmar o cancelar la eliminación de los libros de jugadas seleccionados.

  6. Haz clic en Confirmar.

    Ahora puedes actualizar la versión de tu caso de uso.

Instala el caso de uso de Security Command Center Enterprise

Para instalar la versión más reciente del caso de uso de SCC Enterprise, sigue estos pasos: y compruebe que todas las integraciones proporcionadas en el caso de uso estén funcionando hasta la fecha.

Instala el caso de uso más reciente

Para instalar la última versión del SCC Enterprise – Cloud de organización y corrección, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Marketplace > Casos de uso.
  2. Haz clic en el ícono de filtro, , para abrir el diálogo Filtrar por categorías.
  3. En el diálogo Filtrar por categorías, escribe SCC Enterprise. El caso de uso en la sección Casos de uso.

  4. En la descripción del caso de uso de SCC Enterprise: orquestación y solución de problemas en la nube, busca una fecha.

    • Si la fecha es anterior al 10 de julio de 2024 no hay fecha en la descripción, borra el caso de uso. El caso de uso más reciente aparece automáticamente en lugar del caso de uso borrado.

    • Si la fecha en la página SCC Enterprise – Cloud El caso de uso de organización y corrección es el 10 de julio de 2024 o después. confirmar que las guías en el último caso de uso se instalan siguiendo estos pasos:

      1. Haz clic en el caso de uso para abrir el asistente de instalación.
      2. Expande la categoría de las guías y toma nota de las novedades o actualizaciones. y manuales de tácticas.
      3. En la página Response > Playbooks de la consola de Security Operations, busca la guía de respuesta nueva o actualizada. Si encuentras la guía de prácticas nueva o actualizada, significa que la instalación del caso de uso ya está completa.

  5. Para completar la instalación del caso de uso, haz clic en el vínculo SCC Enterprise – de Google Cloud Orchestration and Remediation y sigue las instrucciones del asistente de instalación.

Aplica y valida las configuraciones del nuevo caso de uso

Debes validar que los distintos atributos que se incluyen en el el caso de uso más reciente se actualicen correctamente. Para ciertas funciones, debes aplicar las actualizaciones de un caso de uso nuevo de forma manual.

Valida las versiones de integración en el caso de uso

Las nuevas versiones de integraciones incluidas en el caso de uso están disponibles cada semana. Actualiza las integraciones a las versiones más recientes lo antes posible para tu comodidad.

Las nuevas versiones de las integraciones presentan actualizaciones que incluyen, sin limitaciones, correcciones de problemas, widgets y acciones nuevos, cambios en widgets y acciones existentes, mejoras en el manejo de alertas y mejoras en la lógica de procesamiento de detección y la asignación de flujos de trabajo.

Para aplicar las actualizaciones de las integraciones, completa los siguientes pasos:

  1. En la consola de operaciones de seguridad, ve a Marketplace >. Integraciones.
  2. En el campo Tipo, selecciona Todas las integraciones.
  3. En el campo Estado, selecciona Actualización disponible. Se muestran todas las integraciones que requieren una actualización.
  4. Para actualizar una integración, haz clic en Actualizar a la versión VERSION en la tarjeta de integración.
  5. Si aparece el diálogo Refresh INTEGRATION haz clic en Confirmar.
  6. Si aparece el diálogo Confirmación, haz clic en Aprobar.
  7. En el diálogo Confirm Overwrite Mapping, selecciona la siguiente opción: Instalar la nueva configuración de ontología y anular la existente Luego, haz clic en Confirmar.

Actualizar la integración de SCC Enterprise e instalar la nueva ontología configuración para todas las integraciones actualizadas.

Configura la integración de Cloud Storage

Para corregir los resultados de las LCA de bucket público, la actualización del 4 de septiembre de 2024 del caso de uso de SCC Enterprise: Orquestación y solución de problemas en la nube presenta una integración adicional, la integración de Cloud Storage.

Para permitir que las guías enriquezcan y corrijan el tipo de hallazgo PUBLIC BUCKET ACL, configura la integración de Cloud Storage completando los siguientes pasos: pasos:

  1. Configura los parámetros de integración.
  2. Habilitar la solución de bucket públicos para las guías.
Configura los parámetros de integración

Para configurar los parámetros de integración de Cloud Storage, completa la los siguientes pasos:

  1. En la consola de operaciones de seguridad, ve a Marketplace >. Integraciones.
  2. En el campo Buscar, ingresa Storage. Aparecerá la tarjeta de integración de Cloud Storage.
  3. En la tarjeta de integración, haz clic en Configurar. El diálogo de configuración se abre.
  4. Configura el correo electrónico de Workload Identity, el ID del proyecto y Parámetros de Quota Project ID Puedes copiar los valores de los parámetros de cualquier otra integración de Google Cloud, como la integración de Cloud Asset Inventory.
  5. Haz clic en Guardar.
  6. Haz clic en Probar para probar la configuración.
Habilitar la corrección de bucket públicos para las guías

Si quieres habilitar la solución de bucket públicos para las guías de resultados de la postura, consulta Habilitar bucket público y solucionar problemas.

Actualiza los widgets de vista de casos

  1. En la consola de Security Operations, ve a Configuración > Configuración de SOAR > Datos de casos > Vistas.
  2. Selecciona Default Case View.
  3. Selecciona la pestaña Predefinidos.

  4. Arrastra los widgets de la pestaña Predefinido a la vista de casos predeterminados. en el siguiente orden recomendado:

    1. Resumen del caso
    2. Ruta de ataque de combinación tóxica
    3. Resultados
    4. Investigación de IA/Resumen de Gemini
    5. Resumen de resultados
    6. SCC: Estado del hallazgo
    7. Recursos afectados
    8. Información de boleto
    9. Acciones pendientes
    10. Gráfico de entidades
    11. Lo más destacado de las entidades

  5. Haz clic en Guardar vista.

Validar widgets

Para asegurarte de obtener la información correcta, valida lo siguiente: los widgets contienen la condición correcta:

  • Ruta de ataque de combinación tóxica
  • Hallazgo
  • Gráfico de entidades
  • Investigación de IA/Resumen de Gemini
  • Resumen de resultados
  • SCC: Estado del hallazgo
  • Recursos afectados
  • Recursos de AWS afectados

Para validar los widgets, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Configuración > Configuración de SOAR > Datos de casos > Vistas.

  2. Selecciona Vista de caso predeterminada.

  3. En los widgets Ruta de ataque de combinación tóxica y Resultado, haz clic en Configuración Configuración.

    En Configuración avanzada, en la sección Condiciones, selecciona la condición debe ser la siguiente: [Case.Tags] () Toxic Combination. Si no es así, actualízala la condición y, luego, haz clic en Guardar.

  4. Para el Gráfico de entidades y el Resumen de la investigación de IA/Gemini widgets, haz clic en Configuración. Configuración.

    En Configuración avanzada, en la sección Condiciones, el ícono debe ser la siguiente: [Case.Tags] !() Toxic Combination. De lo contrario, actualiza la condición y, luego, haz clic en Guardar.

  5. Para el widget Finding Summary, haz clic en settingsConfiguration.

    En Configuración avanzada, en la sección Condiciones, el ícono de condiciones debería ser la siguiente:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    De lo contrario, actualiza las condiciones y haz clic en Guardar.

  6. En el widget SCC – Finding State, haz clic en Borrar. Cuando cuando se abra el diálogo de confirmación, haz clic en .

    Para instalar el widget SCC – Finding State configurado para usar la última versión de caso de uso, arrastra el widget SCC – Finding State desde la Predefinido a la vista Default Case.

  7. En el widget Elementos afectados, haz clic en Borrar. Cuando cuando se abra el diálogo de confirmación, haz clic en .

    Para instalar el widget de Elementos afectados configurado para la versión más reciente, sigue estos pasos: versión de caso de uso, arrastra el widget Elementos afectados desde la Predefinido a la vista Default Case.

  8. En el widget Elementos afectados de AWS, haz clic en Borrar. Cuando cuando se abra el diálogo de confirmación, haz clic en .

  9. Haz clic en Guardar vista.

Habilitar guías

Para habilitar las guías para procesar vulnerabilidades y configuraciones incorrectas, completa los siguientes pasos:

  1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.

  2. Selecciona la carpeta Casos de uso de Siemplify.

    Si no realizaste la integración con los sistemas de tickets, asegúrate de que Hallazgos de la postura: Genérico está habilitado. Habilitación de la postura La guía Findings – Generic – VM Manager es opcional.

    Si integraste los sistemas de tickets, completa los siguientes pasos:

    1. Selecciona la guía Posture Findings – Generic.
    2. Mueve el botón de activación para inhabilitarlo.
    3. Haz clic en Guardar.
    4. Selecciona Posture Findings – Generic – VM Manager. de Google Cloud.
    5. Mueve el botón de activación para inhabilitarlo.
    6. Haz clic en Guardar.
    7. Si realizaste la integración con Jira, selecciona la guía Posture Findings With Jira.
      1. Mueve el botón de activación para habilitar la guía.
      2. Haz clic en Guardar.
    8. Si realizaste la integración con ServiceNow, selecciona la guía de Resultados de la postura con ServiceNow.
      1. Mueve el botón de activación para habilitar la guía.
      2. Haz clic en Guardar.

Actualizar conectores

La actualización del caso de uso no actualiza automáticamente los conectores existentes. Para garantizar de que la transferencia de datos funcione como se espera después de la actualización del caso de uso actualizar el conector de SCC Enterprise – Urgent Posture Findings y Google Chronicle: Conector de alertas de Chronicle.

Actualizar el conector de hallazgos de postura urgente de SCC Enterprise completa los siguientes pasos:

  1. En la consola de operaciones de seguridad, ve a Configuración > SOAR Configuración > Transferencia > Conectores.
  2. En SCCEnterprise, selecciona SCC Enterprise – Conector de Hallazgos de Postura Urgentes. El conector se abrirá la página de configuración de parámetros.
  3. Haz clic en almacenada en caché Actualizar.
  4. Establece el parámetro Run Every en 1 minuto.
  5. Activa el interruptor para habilitar el conector.
  6. Haz clic en Guardar.

Actualizar el conector de alertas de Chronicle de Google Chronicle completa los siguientes pasos:

  1. En la consola de operaciones de seguridad, ve a Configuración > SOAR Configuración > Transferencia > Conectores.
  2. En GoogleChronicle, selecciona Google Chronicle: Alertas de Chronicle de línea de comandos. Se abrirá la página de configuración de parámetros del conector.
  3. Haz clic en almacenada en caché Actualizar.
  4. Establece el parámetro Run Every en 1 minuto.
  5. En el campo de parámetro Product Field Name, ingresa SCCE.
  6. Mueve el botón de activación para habilitar el conector.
  7. Haz clic en Guardar.

Verifica la configuración de actualización

Para asegurarte de que todos los componentes del caso de uso se actualicen correctamente, prueba el que el conector y el trabajo.

Prueba el conector

  1. En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
  2. En SCCEnterprise, selecciona SCC Enterprise – Urgent. Conector de hallazgos de postura.
  3. Ve a la pestaña Pruebas.
  4. Haz clic en Ejecutar conector una vez. Si la configuración del conector es correcta, aparecerá la marca de verificación.

Prueba el trabajo

  1. En la consola de Security Operations, ve a Response > Job Scheduler.
  2. En GoogleSecurityCommandCenter, selecciona Sync SCC Data.
  3. Haz clic en Ejecutar ahora. Si el trabajo funciona como se espera, su estado es Success.

Soluciona problemas

  • El trabajo Sync SCC Data muestra el siguiente error:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Espera diez minutos y haz clic en Run Now. Si el error persiste, completa sigue estos pasos:

    1. En la sección Parámetros del trabajo, borra el ID de organización. valor del parámetro.
    2. Ingresa el valor del parámetro ID de organización.
    3. Haz clic en Guardar.
    4. Haz clic en Ejecutar ahora.

  • El trabajo Sync SCC Data muestra un error de autenticación cuando no pudo automáticamente durante la actualización del caso de uso. Para corregir la sincronización problema con el trabajo, ingresa manualmente los valores para el ID del proyecto y la cuota Parámetros de Project ID

    Para especificar los valores de parámetro correctos, completa los siguientes pasos:

    1. Ve a Configuración > Configuración de SOAR > Transferencia > Conectores.
    2. En SCCEnterprise, selecciona SCC Enterprise – Urgent. Conector de hallazgos de postura.
    3. En la sección Parámetros, copia el valor del ID del proyecto de cuota. parámetro.
    4. Ve a Respuesta > Programador de trabajos.
    5. En SCCEnterprise, selecciona Sincronizar los datos de SCC.
    6. En la sección Parameters del trabajo Sync SCC Data, ingresa el valor copiado en los campos Project ID y Quota Project ID.
    7. Haz clic en Guardar.

  • Después de la actualización del caso de uso, las guías nuevas no se aplicarán a las alertas existentes.

    Para aplicar las nuevas guías a las alertas existentes y volver a renderizar la Alert , cierra un caso y espera hasta que el conector transfiera alertas nuevamente con las nuevas guías adjuntas.