Mettre à jour le cas d'utilisation d'entreprise

La mise à jour du 9 octobre 2024 du cas d'utilisation SCC Enterprise – Orchestration et correction dans le cloud est désormais disponible. Mettez à jour le cas d'utilisation dès que possible.

Ce cas d'utilisation fournit des informations sur les fonctionnalités d'opérations de sécurité du niveau Enterprise de Security Command Center. Pour appliquer les mises à jour, suivez les procédures décrites sur cette page.

La procédure de mise à jour comprend les étapes générales suivantes:

  1. Préparez le système à la mise à jour en désactivant un connecteur et en supprimant certains playbooks existants.
  2. Installez la dernière version du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation (Orchestration et correction dans le cloud).
  3. Validez l'installation et exécutez les playbooks mis à jour.

Vérifier que vous disposez des rôles requis

Pour effectuer cette procédure, vous devez disposer de l'un des rôles SOC suivants dans la console Security Operations:

  • Administrateur
  • Gestionnaire des failles
  • Gestionnaire de menaces

Pour en savoir plus sur les rôles du SOC dans la console Security Operations et les autorisations requises pour les utilisateurs, consultez la section Contrôler l'accès aux fonctionnalités de la console Security Operations.

Préparer le système à la mise à jour

Avant de mettre à jour le cas d'utilisation, vous devez désactiver le connecteur SCC Enterprise – Urgent Posture Findings et supprimer les playbooks fournis par la version actuelle du cas d'utilisation.

Désactiver le connecteur

Pour éviter d'avoir des alertes sans playbooks associés, désactivez le connecteur SCC Enterprise – Urgent Posture Findings Connector avant de supprimer les playbooks. Security Command Center ingère les résultats collectés lorsque le connecteur est désactivé lorsque vous le mettez à jour et l'activez.

Pour désactiver le connecteur, procédez comme suit:

  1. Dans la console Security Operations, accédez à Settings > SOAR Settings > Ingestion > Connectors (Paramètres > Paramètres SOAR > Ingestion > Connecteurs).
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Posture Findings Connector (SCC Enterprise – Connecteur Urgent Posture Findings).
  3. Désactivez le connecteur.
  4. Cliquez sur Enregistrer.

Supprimer des playbooks

Pour éviter la duplication de playbooks, supprimez les playbooks par défaut que vous utilisez dans la version actuelle de votre cas d'utilisation. La suppression des playbooks avant la mise à niveau du cas d'utilisation n'a aucun impact sur la gestion des demandes.

Pour supprimer les playbooks par défaut, procédez comme suit:

  1. Dans la console Security Operations, accédez à Réponse > Playbooks. Par défaut, le filtre déroulant est défini sur Tout afficher.

  2. Sélectionnez le dossier Siemplify Use Cases (Cas d'utilisation de Siemplify). Ce dossier contient les playbooks par défaut suivants:

    • Guide de réponse aux menaces AWS
    • Playbook de réponse aux menaces dans GCP
    • Réponse de l'outil de recommandation IAM
    • Observations sur la posture - Générique
    • Résultats de la posture - Générique - VM Manager
    • Résultats de la recherche de stratégies avec Jira
    • Résultats de l'évaluation de la posture avec ServiceNow
    • Google Cloud : exécution - Cryptomining
    • Google Cloud - Execution – Binary or Library Loaded executed
    • Google Cloud - Execution – Malicious URL Script or Shell Procedure
    • Google Cloud – Persistence – Suspicious Behaviour
    • Google Cloud : persistance - autorisation anormale IAM
    • Posture : playbook sur la combinaison toxique
    • Aperçu : Playbook Azure Threat Response

  3. Dans la navigation de la page Playbooks (Playbooks), cliquez sur Modifier pour sélectionner plusieurs éléments.

  4. À côté de Siemplify Use Cases (Simplifier les cas d'utilisation), cliquez sur done_all (Tout sélectionner) pour sélectionner tous les playbooks et les blocs du dossier.

  5. Dans la page de navigation Playbooks (Playbooks), cliquez sur le menu List (Liste) > Delete (Supprimer). Une fenêtre s'affiche pour vous demander de confirmer ou d'annuler la suppression des playbooks sélectionnés.

  6. Cliquez sur Confirmer.

    Vous pouvez maintenant mettre à jour la version de votre cas d'utilisation.

Installer le cas d'utilisation Security Command Center Enterprise

Pour installer la dernière version du cas d'utilisation SCC Enterprise et vérifier que toutes les intégrations fournies dans le cas d'utilisation sont à jour.

Installer le dernier cas d'utilisation

Pour installer la dernière version du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation (SCC Enterprise – Orchestration et correction dans le cloud), procédez comme suit:

  1. Dans la console Security Operations, accédez à Marketplace > Cas d'utilisation.
  2. Ouvrez la boîte de dialogue Filtrer par catégorie en cliquant sur l'icône Filtre .
  3. Dans la boîte de dialogue Filtrer par catégorie, saisissez SCC Enterprise. Le cas d'utilisation apparaît dans la section Cas d'utilisation.

  4. Dans la description du cas d'utilisation SCC Enterprise : orchestration et correction dans le cloud, recherchez une date.

    • Si la date est antérieure au 10 juillet 2024 ou si aucune date n'est indiquée dans la description, supprimez le cas d'utilisation. Le dernier cas d'utilisation apparaît automatiquement à la place du cas d'utilisation supprimé.

    • Si la date du cas d'utilisation SCC Enterprise : orchestration et correction dans le cloud est le 10 juillet 2024 ou une date ultérieure, vérifiez que les playbooks du dernier cas d'utilisation sont installés en procédant comme suit :

      1. Cliquez sur le cas d'utilisation pour ouvrir l'assistant d'installation.
      2. Développez la catégorie "Playbooks" et notez les playbooks nouveaux ou mis à jour.
      3. Sur la page Réponse > Playbooks de la console Security Operations, recherchez le playbook nouveau ou mis à jour. Si vous trouvez le playbook nouveau ou mis à jour, l'installation du cas d'utilisation est déjà terminée.

  5. Pour terminer l'installation du cas d'utilisation, cliquez sur le cas d'utilisation SCC Enterprise – Orchestration et correction dans le cloud, puis suivez les instructions de l'assistant d'installation.

Appliquer et valider les configurations du nouveau cas d'utilisation

Vous devez vérifier que les différentes fonctionnalités incluses dans le dernier cas d'utilisation sont correctement mises à jour. Pour certaines fonctionnalités, vous devez appliquer manuellement les mises à jour du nouveau cas d'utilisation.

Valider les versions d'intégration dans le cas d'utilisation

Les nouvelles versions des intégrations incluses dans le cas d'utilisation sont disponibles chaque semaine. Mettez à jour les intégrations vers leurs dernières versions dès que possible.

Les nouvelles versions des intégrations incluent des mises à jour, y compris, mais sans s'y limiter, des corrections de problèmes, de nouveaux widgets et actions, des modifications apportées aux widgets et actions existants, des améliorations de la gestion des alertes, ainsi que des améliorations de la logique de traitement de la détection et de la cartographie des workflows.

Pour appliquer les mises à jour des intégrations, procédez comme suit:

  1. Dans la console Security Operations, accédez à Marketplace > Integrations (Place de marché > Intégrations).
  2. Dans le champ Type, sélectionnez Toutes les intégrations.
  3. Dans le champ État, sélectionnez Mise à niveau disponible. Toutes les intégrations nécessitant une mise à niveau s'affichent.
  4. Pour mettre à niveau une intégration, cliquez sur Mettre à niveau vers la version VERSION dans la fiche de l'intégration.
  5. Si la boîte de dialogue Mise à jour de INTEGRATION s'affiche, cliquez sur Confirmer.
  6. Si la boîte de dialogue Confirmation s'affiche, cliquez sur Approuver.
  7. Dans la boîte de dialogue Confirmer le remplacement du mappage, sélectionnez l'option suivante : Installer la nouvelle configuration de l'ontologie et remplacer l'existante, puis cliquez sur Confirmer.

Vous devez mettre à niveau l'intégration SCC Enterprise et installer la nouvelle configuration d'ontologie pour toutes les intégrations mises à niveau.

Configurer l'intégration de Cloud Storage

Pour corriger les résultats des LCA de bucket publics, la mise à jour du 9 octobre 2024 du cas d'utilisation SCC Enterprise : orchestration et correction dans le cloud introduit une intégration supplémentaire, l'intégration Cloud Storage.

Pour permettre aux playbooks d'enrichir et de corriger le type de résultat PUBLIC BUCKET ACL, configurez l'intégration de Cloud Storage en procédant comme suit:

  1. Configurez les paramètres d'intégration.
  2. Activez la correction des buckets publics pour les playbooks.
Configurer les paramètres d'intégration

Pour configurer les paramètres d'intégration de Cloud Storage, procédez comme suit:

  1. Dans la console Security Operations, accédez à Marketplace > Integrations (Place de marché > Intégrations).
  2. Dans le champ Rechercher, saisissez Storage. La fiche d'intégration Cloud Storage s'affiche.
  3. Sur la fiche d'intégration, cliquez sur Configurer. La boîte de dialogue de configuration s'ouvre.
  4. Configurez les paramètres Workload Identity Email (Adresse e-mail Workload Identity), Project ID (ID de projet) et Quota Project ID (ID de projet de quota). Vous pouvez copier les valeurs de paramètre à partir de n'importe quelle autre intégration Google Cloud, telle que l'intégration de inventaire des éléments cloud.
  5. Cliquez sur Enregistrer.
  6. Cliquez sur Tester pour tester la configuration.
Activer la correction des buckets publics pour les playbooks

Pour activer la correction des buckets publics pour les playbooks de résultats d'évaluation, consultez la section Activer la correction des buckets publics.

Modifier les widgets de la vue des demandes

  1. Dans la console Security Operations, accédez à Settings > SOAR Settings > Case Data > Views (Paramètres > Paramètres SOAR > Données de demande > Vues).
  2. Sélectionnez Vue des demandes par défaut.
  3. Sélectionnez l'onglet Prédéfini.

  4. Faites glisser les widgets de l'onglet Prédéfini vers la vue des demandes par défaut dans l'ordre recommandé suivant:

    1. Résumé de la demande
    2. Chemin d'attaque de la combinaison toxique
    3. Résultats
    4. Investigation de l'IA/Résumé Gemini
    5. Récapitulatif des résultats
    6. SCC – Finding State
    7. Éléments concernés
    8. Informations sur le billet
    9. Actions en attente
    10. Graphique des entités
    11. Champs des entités mis en avant

  5. Cliquez sur Enregistrer la vue.

Valider les widgets

Pour vous assurer d'obtenir les bonnes informations, vérifiez que les widgets suivants contiennent la bonne condition:

  • Chemin d'attaque de la combinaison toxique
  • Recherche
  • Graphique des entités
  • Résumé de l'enquête sur l'IA/Gemini
  • Résumé des résultats
  • Ressources concernées
  • SCC – Finding State
  • Composants concernés
  • Composants AWS concernés

Pour valider les widgets, procédez comme suit:

  1. Dans la console Security Operations, accédez à Settings > SOAR Settings > Case Data > Views (Paramètres > Paramètres SOAR > Données de demande > Vues).

  2. Sélectionnez Vue des demandes par défaut.

  3. Pour les widgets Chemin d'attaque de la combinaison toxique et Recherche, cliquez sur Paramètres > Configuration.

    Sous Paramètres avancés, dans la section Conditions, la condition doit être la suivante: [Case.Tags] () Toxic Combination. Si ce n'est pas le cas, modifiez la condition, puis cliquez sur Enregistrer.

  4. Pour les widgets Graphique des entités et Enquête AI/Récapitulatif Gemini, cliquez sur Paramètres > Configuration.

    Sous Paramètres avancés, dans la section Conditions, la condition doit être la suivante: [Case.Tags] !() Toxic Combination. Si ce n'est pas le cas, modifiez la condition, puis cliquez sur Enregistrer.

  5. Pour le widget Récapitulatif de la recherche, cliquez sur Paramètres > Configuration.

    Sous Paramètres avancés, dans la section Conditions, les conditions doivent être les suivantes:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    Si ce n'est pas le cas, modifiez les conditions, puis cliquez sur Enregistrer.

  6. Pour le widget Ressources concernées, cliquez sur Paramètres Configuration.

    Sous Paramètres avancés, dans la section Conditions, la condition doit être la suivante: [Case.Tags] () Toxic Combination. Si ce n'est pas le cas, modifiez la condition, puis cliquez sur Enregistrer.

  7. Pour le widget État de la recherche dans le SCC, cliquez sur Supprimer. Lorsque la boîte de dialogue de confirmation s'ouvre, cliquez sur Oui.

    Pour installer le widget SCC – Finding State configuré pour la dernière version du cas d'utilisation, faites glisser le widget SCC – Finding State depuis l'onglet Predefined (Prédéfini) vers la Default Case View (Vue des demandes par défaut).

  8. Pour le widget Éléments concernés, cliquez sur Supprimer. Lorsque la boîte de dialogue de confirmation s'ouvre, cliquez sur Oui.

    Pour installer le widget Composants concernés configuré pour la dernière version du cas d'utilisation, faites glisser le widget Composants concernés depuis l'onglet Prédéfini vers la Vue par défaut du cas.

  9. Pour le widget Éléments AWS concernés, cliquez sur Supprimer. Lorsque la boîte de dialogue de confirmation s'ouvre, cliquez sur Oui.

  10. Cliquez sur Enregistrer la vue.

Activer les playbooks

Pour activer les playbooks pour le traitement des failles et des erreurs de configuration, procédez comme suit:

  1. Dans la console Security Operations, accédez à Réponse > Playbooks.

  2. Sélectionnez le dossier Siemplify Use Cases (Cas d'utilisation de Siemplify).

    Si vous n'avez pas intégré de systèmes de gestion des tickets, assurez-vous que l'option Résultats de l'analyse de la posture - Générique est activée. L'activation du playbook Résultats de l'analyse de la posture - Générique - VM Manager est facultative.

    Si vous avez intégré des systèmes de billetterie, procédez comme suit:

    1. Sélectionnez le playbook Résultats de l'analyse de la posture - Générique.
    2. Désactivez cette fonctionnalité à l'aide du bouton bascule.
    3. Cliquez sur Enregistrer.
    4. Sélectionnez le playbook Posture Findings – Generic – VM Manager (Résultats de l'évaluation de la posture - Générique - Gestionnaire de VM).
    5. Désactivez cette fonctionnalité à l'aide du bouton bascule.
    6. Cliquez sur Enregistrer.
    7. Si vous avez effectué l'intégration avec Jira, sélectionnez le playbook Déterminer la posture avec Jira.
      1. Activez le bouton bascule pour activer le playbook.
      2. Cliquez sur Enregistrer.
    8. Si vous avez effectué l'intégration avec ServiceNow, sélectionnez le playbook Résultats de l'analyse de la posture avec ServiceNow.
      1. Activez le bouton bascule pour activer le playbook.
      2. Cliquez sur Enregistrer.

Mettre à jour les connecteurs

La mise à jour du cas d'utilisation ne met pas automatiquement à jour les connecteurs existants. Pour vous assurer que l'ingestion de données fonctionne comme prévu après la mise à jour du cas d'utilisation, mettez à jour les connecteurs SCC Enterprise – Urgent Posture Findings Connector (Connecteur SCC Enterprise – Résultats de la posture urgente) et Google Chronicle – Chronicle Alerts Connector (Connecteur Google Chronicle – Connecteur Chronicle Alerts).

Pour mettre à jour le connecteur SCC Enterprise – Urgent Posture Findings Connector, procédez comme suit:

  1. Dans la console Security Operations, accédez à Settings > SOAR Settings > Ingestion > Connectors (Paramètres > Paramètres SOAR > Ingestion > Connecteurs).
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Posture Findings Connector (SCC Enterprise – Connecteur pour les résultats urgents sur la posture). La page de configuration des paramètres du connecteur s'ouvre.
  3. Cliquez sur cached (mise en cache) Update (Mettre à jour).
  4. Définissez le paramètre Exécuter toutes les sur 1 minute.
  5. Activez le bouton bascule pour activer le connecteur.
  6. Cliquez sur Enregistrer.

Pour mettre à jour le connecteur Google Chronicle – Connecteur d'alertes Chronicle, procédez comme suit:

  1. Dans la console Security Operations, accédez à Settings > SOAR Settings > Ingestion > Connectors (Paramètres > Paramètres SOAR > Ingestion > Connecteurs).
  2. Sous Google Chronicle, sélectionnez Google Chronicle – Connecteur Chronicle Alerts. La page de configuration des paramètres du connecteur s'ouvre.
  3. Cliquez sur cached (mise en cache) Update (Mettre à jour).
  4. Définissez le paramètre Exécuter toutes les sur 1 minute.
  5. Dans le champ de paramètre Product Field Name (Nom du champ du produit), saisissez SCCE.
  6. Activez le bouton bascule pour activer le connecteur.
  7. Cliquez sur Enregistrer.

Vérifier la configuration de la mise à jour

Pour vous assurer que tous les composants du cas d'utilisation sont correctement mis à jour, testez le connecteur et la tâche.

Tester le connecteur

  1. Dans la console Security Operations, accédez à Settings > SOAR Settings > Ingestion > Connectors (Paramètres > Paramètres SOAR > Ingestion > Connecteurs).
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Posture Findings Connector (SCC Enterprise – Connecteur Urgent Posture Findings).
  3. Accédez à l'onglet Test.
  4. Cliquez sur Exécuter le connecteur une fois. Si la configuration du connecteur est correcte, la coche s'affiche.

Tester la tâche

  1. Dans la console Security Operations, accédez à Réponse > Planificateur de tâches.
  2. Sous Google Security Command Center (Centre de commande de sécurité Google), sélectionnez Sync SCC Data (Synchroniser les données du SCC).
  3. Cliquez sur Exécuter maintenant. Si la tâche fonctionne comme prévu, son état est Success.

Dépannage

  • La tâche Sync SCC Data (Synchroniser les données du SCC) affiche l'erreur suivante:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Patientez dix minutes, puis cliquez sur Exécuter maintenant. Si l'erreur persiste, procédez comme suit:

    1. Dans la section Paramètres de la tâche, supprimez la valeur du paramètre ID de l'organisation.
    2. Saisissez la valeur du paramètre ID de l'organisation.
    3. Cliquez sur Enregistrer.
    4. Cliquez sur Exécuter maintenant.

  • La tâche Sync SCC Data (Synchroniser les données du SCC) affiche une erreur d'authentification lorsqu'elle n'a pas pu être mise à jour automatiquement lors de la mise à jour du cas d'utilisation. Pour résoudre le problème de tâche de synchronisation, saisissez manuellement les valeurs des paramètres ID de projet et ID de projet de quota.

    Pour spécifier les valeurs de paramètre correctes, procédez comme suit:

    1. Accédez à Settings > SOAR Settings > Ingestion > Connectors (Paramètres > Paramètres SOAR > Ingestion > Connecteurs).
    2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Posture Findings Connector (SCC Enterprise – Connecteur Urgent Posture Findings).
    3. Dans la section Paramètres, copiez la valeur du paramètre ID de projet de quota.
    4. Accédez à Réponse > Planificateur de tâches.
    5. Sous SCC Enterprise, sélectionnez Synchroniser les données SCC.
    6. Dans la section Paramètres de la tâche Sync SCC Data (Synchroniser les données SCC), saisissez la valeur copiée dans les champs Project ID (ID de projet) et Quota Project ID (ID du projet de quota).
    7. Cliquez sur Enregistrer.

  • Après la mise à jour du cas d'utilisation, les nouveaux playbooks ne s'appliquent pas aux alertes existantes.

    Pour appliquer les nouveaux playbooks aux alertes existantes et afficher à nouveau le widget Alerte, fermez une demande et attendez que le connecteur ingère à nouveau les alertes avec les nouveaux playbooks associés.