Actualiza el caso de uso empresarial

Ya está disponible la actualización del 18 de diciembre de 2024 del caso de uso de SCC Enterprise: Cloud Orchestration and Remediation. Actualiza el caso de uso lo antes posible.

Este caso de uso proporciona actualizaciones sobre las funciones de operaciones de seguridad del nivel Enterprise de Security Command Center. Para aplicar las actualizaciones, sigue los procedimientos que se indican en esta página.

El procedimiento de actualización incluye los siguientes pasos de alto nivel:

  1. Prepara el sistema para la actualización inhabilitando un conector y borrando ciertos manuales existentes.
  2. Instala la versión más reciente del caso de uso de SCC Enterprise: Cloud Orchestration and Remediation.
  3. Valida la instalación y ejecuta los libros de jugadas actualizados.

Estos pasos se realizan con la página de la consola de Operaciones de seguridad Configuración > Configuración de SOAR.

Confirma que tienes los roles necesarios

Para completar este procedimiento, debes tener asignado uno de los siguientes roles de SOC en la consola de Operaciones de seguridad:

  • Administrador
  • Administrador de vulnerabilidades
  • Administrador de amenazas

Para obtener más detalles sobre los roles y permisos del SOC que se requieren para que los usuarios accedan a las páginas de la consola de Security Operations, consulta Controla el acceso a las funciones en las páginas de la consola de Security Operations.

Prepara el sistema para la actualización

Antes de actualizar el caso de uso, debes inhabilitar el conector de SCC Enterprise Urgent Posture Findings y borrar los playbooks que proporciona la versión actual del caso de uso.

Inhabilita el conector

Para evitar tener alertas sin guías adjuntas, inhabilita el conector SCC Enterprise – Urgent Posture Findings Connector antes de borrar las guías. Security Command Center incorpora los resultados recopilados mientras el conector está inhabilitado cuando actualizas y habilitas el conector.

Para inhabilitar el conector, completa los siguientes pasos:

  1. En la navegación de la consola de Operaciones de seguridad, ve a Configuración > Configuración de SOAR > Ingestión > Conectores.
  2. En SCCEnterprise, selecciona SCC Enterprise – Urgent Posture Findings Connector.
  3. Mueve el interruptor para inhabilitar el conector.
  4. Haz clic en Guardar.

Borra guías

Para evitar la duplicación de guías, borra las guías predeterminadas que usas en la versión actual de tu caso de uso. Borrar los playbooks antes de actualizar el caso de uso no tiene ningún impacto en la administración de casos.

Para borrar las guías predeterminadas, completa los siguientes pasos:

  1. En la navegación de la consola de Operaciones de seguridad, ve a Respuesta > Guiones. De forma predeterminada, el filtro desplegable está configurado en Mostrar todo.

  2. Selecciona la carpeta Siemplify Use Cases. Esta carpeta contiene los siguientes manuales predeterminados:

    • Manual de respuesta ante amenazas de AWS
    • Manual de respuesta ante amenazas de GCP
    • Respuesta del Recomendador de IAM
    • Hallazgos de postura: genéricos
    • Resultados de la postura: genéricos – VM Manager
    • Resultados de postura con Jira
    • Hallazgos de postura con ServiceNow
    • Google Cloud: Ejecución: Criptominería
    • Google Cloud – Execution – Binary or Library Loaded Executed
    • Google Cloud: Ejecución: Proceso de shell o secuencia de comandos de URL maliciosa
    • Google Cloud: Persistencia: Comportamiento sospechoso
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Postura: Guía de Combinación tóxica
    • Versión preliminar: Guía de respuesta ante amenazas de Azure

  3. En la navegación de la página Playbooks, haz clic en Editar para seleccionar varios elementos.

  4. Junto a Siemplify Use Cases, haz clic en done_all Seleccionar todo para seleccionar todos los playbooks y bloques de la carpeta.

  5. En la navegación de la página Playbooks, haz clic en list Menú > Borrar. Aparecerá una ventana en la que deberás confirmar o cancelar la eliminación de los manuales seleccionados.

  6. Haz clic en Confirmar.

    Ahora puedes actualizar la versión de tu caso de uso.

Instala el caso de uso de Security Command Center Enterprise

Para instalar la versión más reciente del caso de uso de SCC Enterprise y verificar que todas las integraciones proporcionadas en el caso de uso estén actualizadas.

Instala el caso de uso más reciente

Para instalar la versión más reciente del caso de uso de SCC Enterprise: Cloud Orchestration and Remediation, completa los siguientes pasos:

  1. En la navegación de la consola de Operaciones de seguridad, ve a Marketplace > Casos de uso.
  2. Haz clic en el ícono de filtro, , para abrir el diálogo Filtrar por categorías.
  3. En el diálogo Filtrar por categorías, escribe SCC Enterprise. El caso de uso aparece en la sección Casos de uso.

  4. En la descripción del caso de uso SCC Enterprise – Cloud Orchestration and Remediation, busca una fecha.

    • Si la fecha es anterior al 10 de julio de 2024 o no hay fecha en la descripción, borra el caso de uso. El caso de uso más reciente aparece automáticamente en lugar del caso de uso borrado.

    • Si la fecha del caso de uso SCC Enterprise – Cloud Orchestration and Remediation es el 10 de julio de 2024 o posterior, completa los siguientes pasos para confirmar que los manuales de estrategias del caso de uso más reciente estén instalados:

      1. Haz clic en el caso de uso para abrir el asistente de instalación.
      2. Expande la categoría de guías y toma nota de las guías nuevas o actualizadas.
      3. En la página Respuesta > Guías de la consola de Operaciones de seguridad, busca la guía nueva o actualizada. Si encuentras el manual actualizado o nuevo, la instalación del caso de uso ya se completó.

  5. Para completar la instalación del caso de uso, haz clic en el caso de uso SCC Enterprise – Cloud Orchestration and Remediation y sigue las instrucciones del asistente de instalación.

Aplica y valida la configuración del nuevo caso de uso

Debes validar que las diversas funciones incluidas en el caso de uso más reciente se hayan actualizado correctamente. En el caso de ciertas funciones, debes aplicar las actualizaciones del nuevo caso de uso de forma manual.

Valida las versiones de integración en el caso de uso

Las nuevas versiones de las integraciones incluidas en el caso de uso están disponibles todas las semanas. Actualiza las integraciones a sus versiones más recientes lo antes posible.

Las nuevas versiones de las integraciones incluyen actualizaciones, como correcciones, widgets y acciones nuevos, cambios en los widgets y las acciones existentes, mejoras en el manejo de alertas y mejoras en la lógica de procesamiento de detección y la asignación de flujo de trabajo.

Para aplicar las actualizaciones de las integraciones, completa los siguientes pasos:

  1. En la navegación de la consola de Operaciones de seguridad, ve a Marketplace > Integraciones.
  2. En el campo Tipo, selecciona Todas las integraciones.
  3. En el campo Estado, selecciona Actualización disponible. Se muestran todas las integraciones que requieren una actualización.
  4. Para actualizar una integración, haz clic en Actualizar a la versión VERSION en la tarjeta de integración.
  5. Si aparece el cuadro de diálogo Actualizando INTEGRATION, haz clic en Confirmar.
  6. Si aparece el diálogo de Confirmación, haz clic en Aprobar.
  7. En el diálogo Confirm Overwrite Mapping, selecciona la siguiente opción: Install the new ontology configuration and override the existing one y, luego, haz clic en Confirm.

Se requiere actualizar la integración de SCC Enterprise y, luego, instalar la nueva configuración de la ontología para todas las integraciones actualizadas.

Configura la integración de Cloud Storage

Para corregir los hallazgos de la ACL del bucket público, el caso de uso SCC Enterprise: Cloud Orchestration and Remediation incluye una integración adicional, la integración de Cloud Storage.

Para permitir que los playbooks enriquezcan y solucionen el tipo de hallazgo PUBLIC BUCKET ACL, configura la integración de Cloud Storage completando los siguientes pasos:

  1. Configura los parámetros de integración.
  2. Habilita la corrección de bucket públicos para las guías.
Configura los parámetros de integración

Para configurar los parámetros de integración de Cloud Storage, completa los siguientes pasos:

  1. En la navegación de la consola de Operaciones de seguridad, ve a Marketplace > Integraciones.
  2. En el campo Buscar, ingresa Storage. Aparecerá la tarjeta de integración de Cloud Storage.
  3. En la tarjeta de integración, haz clic en Configurar. Se abrirá el cuadro de diálogo de configuración.
  4. Configura los parámetros Correo electrónico de Workload Identity, ID del proyecto y ID del proyecto de cuota. Puedes copiar los valores de los parámetros de cualquier otra integración de Google Cloud , como la integración de Cloud Asset Inventory.
  5. Haz clic en Guardar.
  6. Haz clic en Probar para probar la configuración.
Habilita la corrección de bucket públicos para las guías

Para habilitar la corrección de bucket públicos en las guías de corrección de la postura, consulta Habilita la bucket públicos.

Actualiza los widgets de la vista de casos

  1. En la navegación de la consola de Operaciones de seguridad, ve a Configuración > Configuración de SOAR > Datos del caso > Vistas.
  2. Selecciona Default Case View.
  3. Selecciona la pestaña Predefinido.

  4. Arrastra los widgets de la pestaña Predefinido a la Vista predeterminada del caso en el siguiente orden recomendado:

    1. Resumen del caso
    2. Ruta de ataque de combinación tóxica
    3. Resultados
    4. Investigación de IA/Resumen de Gemini
    5. Resumen de resultados
    6. SCC: Estado del hallazgo
    7. Recursos afectados
    8. Información del boleto
    9. Acciones pendientes
    10. Gráfico de entidades
    11. Lo más destacado de las entidades

  5. Haz clic en Guardar vista.

Cómo validar widgets

Para asegurarte de obtener la información correcta, valida que los siguientes widgets contengan la condición correcta:

  • Ruta de ataque de combinación tóxica
  • Hallazgo
  • Gráfico de entidades
  • Investigación de IA/Resumen de Gemini
  • Resumen de resultados
  • Recursos afectados
  • SCC – Estado del hallazgo
  • Recursos afectados
  • Activos de AWS afectados

Para validar los widgets, completa los siguientes pasos:

  1. En la navegación de la consola de Operaciones de seguridad, ve a Configuración > Configuración de SOAR > Datos del caso > Vistas.

  2. Selecciona Default Case View.

  3. En los widgets Ruta de ataque de combinación tóxica y Hallazgo, haz clic en settings Configuración.

    En Configuración avanzada, en la sección Condiciones, la condición debe ser la siguiente: [Case.Tags] () Toxic Combination. De lo contrario, actualiza la condición y haz clic en Guardar.

  4. En los widgets Gráfico de entidades y Investigación con IA/Resumen de Gemini, haz clic en Configuración de configuración.

    En Configuración avanzada, en la sección Condiciones, la condición debe ser la siguiente: [Case.Tags] !() Toxic Combination. Si no es así, actualiza la condición y, luego, haz clic en Guardar.

  5. En el widget Resumen de hallazgos, haz clic en Configuración.

    En Configuración avanzada, en la sección Condiciones, las condiciones deben ser las siguientes:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    Si no es así, actualiza las condiciones y, luego, haz clic en Guardar.

  6. En el widget Recursos Afectados, haz clic en Configuraciónsettings.

    En Configuración avanzada, en la sección Condiciones, la condición debe ser la siguiente: [Case.Tags] () Toxic Combination. Si no es así, actualiza la condición y, luego, haz clic en Guardar.

  7. En el widget SCC – Finding State, haz clic en Borrar. Cuando se abra el diálogo de confirmación, haz clic en .

    Para instalar el widget SCC – Finding State configurado para la versión de caso de uso más reciente, arrastra el widget SCC – Finding State desde la pestaña Predefined hasta la Default Case View.

  8. En el widget Recursos Afectados, haz clic en Borrar. Cuando se abra el diálogo de confirmación, haz clic en .

    Para instalar el widget Activos afectados configurado para la versión de caso de uso más reciente, arrastra el widget Activos afectados desde la pestaña Predeterminada hasta la Vista de caso predeterminada.

  9. En el widget Recursos de AWS afectados, haz clic en Borrar. Cuando se abra el diálogo de confirmación, haz clic en .

  10. Haz clic en Guardar vista.

Habilitar guías

Para habilitar las guías para procesar vulnerabilidades y errores de configuración, completa los siguientes pasos:

  1. En la navegación de la consola de Operaciones de seguridad, ve a Respuesta > Guiones.

  2. Selecciona la carpeta Siemplify Use Cases.

    Si no realizaste la integración con sistemas de emisión de boletos, asegúrate de que la opción Posture Findings – Generic esté habilitada. Habilitar el playbook Posture Findings – Generic – VM Manager es opcional.

    Si realizaste la integración con sistemas de tickets, completa los siguientes pasos:

    1. Selecciona el manual Posture Findings – Generic.
    2. Cambia el botón de activación para inhabilitarla.
    3. Haz clic en Guardar.
    4. Selecciona el playbook Posture Findings – Generic – VM Manager.
    5. Cambia el botón de activación para inhabilitarla.
    6. Haz clic en Guardar.
    7. Si realizaste la integración con Jira, selecciona el manual Hallazgos de postura con Jira.
      1. Activa el botón de activación para habilitar la guía.
      2. Haz clic en Guardar.
    8. Si realizaste la integración con ServiceNow, selecciona el playbook Hallazgos de la postura con SNOW.
      1. Activa el botón de activación para habilitar la guía.
      2. Haz clic en Guardar.

Actualizar conectores

La actualización del caso de uso no actualiza los conectores existentes de forma automática. Para asegurarte de que la transferencia de datos funcione según lo previsto después de la actualización del caso de uso, actualiza los conectores SCC Enterprise – Urgent Posture Findings Connector y Google Chronicle – Chronicle Alerts Connector.

Para actualizar el conector SCC Enterprise - Urgent Posture Findings Connector, completa los siguientes pasos:

  1. En la navegación de la consola de Operaciones de seguridad, ve a Configuración > Configuración de SOAR > Ingestión > Conectores.
  2. En SCCEnterprise, selecciona SCC Enterprise – Urgent Posture Findings Connector. Se abrirá la página de configuración de los parámetros del conector.
  3. Haz clic en cached Actualizar.
  4. Establece el parámetro Ejecutar cada en 1 minuto.
  5. Mueve el interruptor para habilitar el conector.
  6. Haz clic en Guardar.

Para actualizar el conector Google Chronicle – Chronicle Alerts Connector, completa los siguientes pasos:

  1. En la navegación de la consola de Operaciones de seguridad, ve a Configuración > Configuración de SOAR > Ingestión > Conectores.
  2. En GoogleChronicle, selecciona Google Chronicle – Chronicle Alerts Connector. Se abrirá la página de configuración de los parámetros del conector.
  3. Haz clic en cached Actualizar.
  4. Establece el parámetro Ejecutar cada en 1 minuto.
  5. En el campo de parámetros Nombre del campo del producto, ingresa SCCE.
  6. Mueve el interruptor para habilitar el conector.
  7. Haz clic en Guardar.

Verifica la configuración de actualización

Para asegurarte de que todos los componentes del caso de uso se actualicen correctamente, prueba el conector y el trabajo.

Prueba el conector

  1. En la navegación de la consola de Operaciones de seguridad, ve a Configuración > Configuración de SOAR > Ingestion > Connectors.
  2. En SCCEnterprise, selecciona SCC Enterprise – Urgent Posture Findings Connector.
  3. Ve a la pestaña Pruebas.
  4. Haz clic en Ejecutar el conector una vez. Si la configuración del conector es correcta, aparecerá la marca de verificación.

Prueba el trabajo

  1. En la navegación de la consola de Operaciones de seguridad, ve a Respuesta > Programador de trabajos.
  2. En GoogleSecurityCommandCenter, selecciona Sync SCC Data.
  3. Haz clic en Ejecutar ahora. Si el trabajo funciona según lo previsto, su estado es Success.

Soluciona problemas

  • El trabajo Sync SCC Data muestra el siguiente error:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Espera diez minutos y haz clic en Ejecutar ahora. Si el error persiste, completa los siguientes pasos:

    1. En la sección Parámetros del trabajo, borra el valor del parámetro ID de organización.
    2. Ingresa el valor del parámetro ID de organización.
    3. Haz clic en Guardar.
    4. Haz clic en Ejecutar ahora.

  • El trabajo Sync SCC Data muestra un error de autenticación cuando no se pudo actualizar automáticamente durante la actualización del caso de uso. Para solucionar el problema del trabajo de sincronización, ingresa manualmente los valores de los parámetros ID del proyecto y ID del proyecto de cuota.

    Para especificar los valores de parámetros correctos, completa los siguientes pasos:

    1. Ve a Configuración > Configuración de SOAR > Ingestión > Conectores.
    2. En SCCEnterprise, selecciona SCC Enterprise – Urgent Posture Findings Connector.
    3. En la sección Parameters, copia el valor del parámetro Quota Project ID.
    4. Ve a Response > Job Scheduler.
    5. En SCCEnterprise, selecciona Sync SCC Data.
    6. En la sección Parámetros del trabajo Sincronizar datos de SCC, ingresa el valor copiado en los campos ID del proyecto y ID del proyecto de cuota.
    7. Haz clic en Guardar.

  • Después de la actualización del caso de uso, los nuevos cuadernos de estrategias no se aplican a las alertas existentes.

    Para aplicar las nuevas guías a las alertas existentes y volver a renderizar el widget de Alert, cierra un caso y espera hasta que el conector vuelva a ingerir alertas con las nuevas guías adjuntas.