Mettre à jour le cas d'utilisation d'entreprise

La mise à jour du 18 décembre 2024 du cas d'utilisation SCC Enterprise – Orchestration et correction dans le cloud est désormais disponible. Veuillez mettre à jour le cas d'utilisation dès que possible.

Ce cas d'utilisation fournit des informations sur les fonctionnalités d'opérations de sécurité du niveau Enterprise de Security Command Center. Pour appliquer les mises à jour, suivez les procédures décrites sur cette page.

La procédure de mise à jour comprend les étapes générales suivantes :

  1. Préparez le système à la mise à jour en désactivant un connecteur et en supprimant certains playbooks existants.
  2. Installez la dernière version du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation.
  3. Validez l'installation et exécutez les playbooks mis à jour.

Ces étapes sont effectuées à l'aide de la page de la console Security Operations Paramètres> Paramètres SOAR.

Vérifiez que vous disposez des rôles requis.

Pour effectuer cette procédure, vous devez disposer de l'un des rôles SOC suivants dans la console Security Operations :

  • Administrateur
  • Gestionnaire de failles
  • Gestionnaire de menaces

Pour en savoir plus sur les rôles et les autorisations SOC requis pour que les utilisateurs puissent accéder aux pages de la console Security Operations, consultez Contrôler l'accès aux fonctionnalités des pages de la console Security Operations.

Préparer le système pour la mise à jour

Avant de mettre à jour le cas d'utilisation, vous devez désactiver le connecteur SCC Enterprise – Urgent Posture Findings et supprimer les playbooks fournis par la version actuelle du cas d'utilisation.

Désactiver le connecteur

Pour éviter d'avoir des alertes sans playbook associé, désactivez le connecteur SCC Enterprise – Urgent Posture Findings avant de supprimer les playbooks. Lorsque vous mettez à jour et activez le connecteur, Security Command Center ingère les résultats collectés lorsque le connecteur est désactivé.

Pour désactiver le connecteur, procédez comme suit :

  1. Dans le panneau de navigation de la console Security Operations, accédez à Paramètres > Paramètres SOAR > Ingestion > Connecteurs.
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Posture Findings Connector.
  3. Désactivez le bouton bascule pour désactiver le connecteur.
  4. Cliquez sur Enregistrer.

Supprimer des playbooks

Pour éviter la duplication des playbooks, supprimez les playbooks par défaut que vous utilisez dans la version actuelle de votre cas d'utilisation. La suppression de playbooks avant la mise à niveau du cas d'utilisation n'a aucune incidence sur la gestion des demandes.

Pour supprimer les playbooks par défaut, procédez comme suit :

  1. Dans la console Security Operations, accédez à Réponse > Playbooks. Par défaut, le filtre déroulant est défini sur Tout afficher.

  2. Sélectionnez le dossier Cas d'utilisation Siemplify. Ce dossier contient les playbooks par défaut suivants :

    • Playbook de réponse aux menaces AWS
    • Playbook de réponse aux menaces GCP
    • Réponse de l'outil de recommandation IAM
    • Résultats de la posture : générique
    • Résultats de posture – Générique – VM Manager
    • Résultats de la recherche de stratégies avec Jira
    • Résultats de l'analyse de la posture avec ServiceNow
    • Google Cloud – Exécution – Minage de cryptomonnaie
    • Google Cloud – Exécution – Binaire ou bibliothèque chargés Exécuté
    • Google Cloud – Exécution – Script ou processus shell d'URL malveillante
    • Google Cloud – Persistance – Comportement suspect
    • Google Cloud – Persistance – Attribution IAM anormale
    • Playbook sur la combinaison toxique
    • Aperçu : Playbook de réponse aux menaces Azure

  3. Dans la navigation sur la page Playbooks, cliquez sur Modifier pour sélectionner plusieurs éléments.

  4. À côté de Cas d'utilisation Siemplify, cliquez sur done_all Tout sélectionner pour sélectionner tous les playbooks et blocs du dossier.

  5. Dans la navigation sur la page Playbooks, cliquez sur list Menu> Supprimer. Une fenêtre s'affiche pour vous demander de confirmer ou d'annuler la suppression des playbooks sélectionnés.

  6. Cliquez sur Confirmer.

    Vous pouvez maintenant mettre à jour la version de votre cas d'utilisation.

Installer le cas d'utilisation Security Command Center Enterprise

Installez la dernière version du cas d'utilisation SCC Enterprise et vérifiez que toutes les intégrations fournies dans le cas d'utilisation sont à jour.

Installer le dernier cas d'utilisation

Pour installer la dernière version du cas d'utilisation SCC Enterprise – Orchestration et correction dans le cloud, procédez comme suit :

  1. Dans le menu de navigation de la console Security Operations, accédez à Marketplace > Cas d'utilisation.
  2. Ouvrez la boîte de dialogue Filtrer par catégorie en cliquant sur l'icône de filtre .
  3. Dans la boîte de dialogue Filtrer par catégories, saisissez SCC Enterprise. Le cas d'utilisation apparaît dans la section Cas d'utilisation.

  4. Dans la description du cas d'utilisation SCC Enterprise – Orchestration et correction dans le cloud, recherchez une date.

    • Si la date est antérieure au 10 juillet 2024 ou si aucune date n'est indiquée dans la description, supprimez le cas d'utilisation. Le dernier cas d'utilisation apparaît automatiquement à la place de celui qui a été supprimé.

    • Si la date du cas d'utilisation SCC Enterprise – Orchestration et correction dans le cloud est le 10 juillet 2024 ou une date ultérieure, vérifiez que les playbooks du dernier cas d'utilisation sont installés en procédant comme suit :

      1. Cliquez sur le cas d'utilisation pour ouvrir l'assistant d'installation.
      2. Développez la catégorie "Playbooks" et notez les playbooks nouveaux ou mis à jour.
      3. Sur la page Réponse > Playbooks de la console Security Operations, recherchez le playbook nouveau ou modifié. Si vous trouvez le playbook nouveau ou mis à jour, l'installation du cas d'utilisation est déjà terminée.

  5. Pour terminer l'installation du cas d'utilisation, cliquez sur le cas d'utilisation SCC Enterprise – Orchestration et correction dans le cloud, puis suivez les instructions de l'assistant d'installation.

Appliquer et valider les configurations du nouveau cas d'utilisation

Vous devez vérifier que les différentes fonctionnalités incluses dans le dernier cas d'utilisation sont correctement mises à jour. Pour certaines fonctionnalités, vous devez appliquer manuellement les mises à jour du nouveau cas d'utilisation.

Valider les versions d'intégration dans le cas d'utilisation

Les nouvelles versions des intégrations incluses dans le cas d'utilisation sont disponibles chaque semaine. Mettez à jour les intégrations vers leur dernière version dès que possible.

Les nouvelles versions des intégrations incluent des mises à jour, y compris, mais sans s'y limiter, des corrections, de nouveaux widgets et de nouvelles actions, des modifications apportées aux widgets et actions existants, des améliorations apportées à la gestion des alertes, ainsi que des améliorations apportées à la logique de traitement de la détection et au mappage des workflows.

Pour appliquer les mises à jour des intégrations, procédez comme suit :

  1. Dans le menu de navigation de la console Security Operations, accédez à Marketplace > Intégrations.
  2. Dans le champ Type, sélectionnez Toutes les intégrations.
  3. Dans le champ État, sélectionnez Mise à niveau disponible. Toutes les intégrations qui nécessitent une mise à niveau sont affichées.
  4. Pour mettre à niveau une intégration, cliquez sur Mettre à niveau vers la version VERSION dans la fiche de l'intégration.
  5. Si la boîte de dialogue Mise à jour INTEGRATION s'affiche, cliquez sur Confirmer.
  6. Si la boîte de dialogue Confirmation s'affiche, cliquez sur Approuver.
  7. Dans la boîte de dialogue Confirmer le remplacement du mappage, sélectionnez l'option suivante : Installer la nouvelle configuration de l'ontologie et remplacer celle existante, puis cliquez sur Confirmer.

Vous devez mettre à niveau l'intégration SCC Enterprise et installer la nouvelle configuration d'ontologie pour toutes les intégrations mises à niveau.

Configurer l'intégration de Cloud Storage

Pour corriger les résultats concernant les ACL de buckets publics, le cas d'utilisation SCC Enterprise – Orchestration et correction dans le cloud inclut une intégration supplémentaire, l'intégration Cloud Storage.

Pour permettre aux playbooks d'enrichir et de corriger le type de résultat PUBLIC BUCKET ACL, configurez l'intégration Cloud Storage en procédant comme suit :

  1. Configurez les paramètres d'intégration.
  2. Activez la correction des buckets publics pour les playbooks.
Configurer les paramètres d'intégration

Pour configurer les paramètres d'intégration Cloud Storage, procédez comme suit :

  1. Dans le menu de navigation de la console Security Operations, accédez à Marketplace > Intégrations.
  2. Dans le champ Rechercher, saisissez Storage. La fiche d'intégration Cloud Storage s'affiche.
  3. Sur la fiche d'intégration, cliquez sur Configurer. La boîte de dialogue de configuration s'ouvre.
  4. Configurez les paramètres Adresse e-mail Workload Identity, ID du projet et ID du projet de quota. Vous pouvez copier les valeurs des paramètres à partir de n'importe quelle autre intégration Google Cloud , comme l'intégration inventaire des éléments cloud.
  5. Cliquez sur Enregistrer.
  6. Cliquez sur Tester pour tester la configuration.
Activer la correction des buckets publics pour les playbooks

Pour activer la correction des buckets publics pour les playbooks de résultats de posture, consultez Activer la correction des buckets publics.

Mettre à jour les widgets de la vue des demandes

  1. Dans le panneau de navigation de la console Security Operations, accédez à Paramètres> Paramètres SOAR> Données des demandes> Vues.
  2. Sélectionnez Vue par défaut des demandes.
  3. Sélectionnez l'onglet Prédéfini.

  4. Faites glisser les widgets de l'onglet Prédéfini vers la Vue par défaut des demandes dans l'ordre recommandé suivant :

    1. Résumé de la demande
    2. Chemin d'attaque de la combinaison toxique
    3. Résultats
    4. Enquête de l'IA/Résumé Gemini
    5. Récapitulatif des résultats
    6. SCC – État du résultat
    7. Composants concernés
    8. Informations sur les billets
    9. Actions en attente
    10. Graphique des entités
    11. Champs des entités mis en avant

  5. Cliquez sur Enregistrer la vue.

Valider les widgets

Pour vous assurer d'obtenir les bonnes informations, vérifiez que les widgets suivants contiennent la bonne condition :

  • Chemin d'attaque de la combinaison toxique
  • Résultat
  • Graphique des entités
  • Enquête de l'IA/Résumé Gemini
  • Récapitulatif des résultats
  • Ressources concernées
  • État des résultats des CCT
  • Composants concernés
  • Ressources AWS concernées

Pour valider les widgets, procédez comme suit :

  1. Dans le panneau de navigation de la console Security Operations, accédez à Paramètres> Paramètres SOAR> Données des requêtes> Vues.

  2. Sélectionnez Vue par défaut des demandes.

  3. Pour les widgets Chemin d'attaque de la combinaison toxique et Résultat, cliquez sur Paramètres Configuration.

    Sous Paramètres avancés, dans la section Conditions, la condition doit être la suivante : [Case.Tags] () Toxic Combination. Si ce n'est pas le cas, modifiez la condition, puis cliquez sur Enregistrer.

  4. Pour les widgets Graphique des entités et Enquête IA/Résumé Gemini, cliquez sur Paramètres Configuration.

    Sous Paramètres avancés, dans la section Conditions, la condition doit être la suivante : [Case.Tags] !() Toxic Combination. Si ce n'est pas le cas, modifiez la condition, puis cliquez sur Enregistrer.

  5. Pour le widget Récapitulatif des résultats, cliquez sur Paramètres > Configuration.

    Sous Paramètres avancés, dans la section Conditions, les conditions doivent être les suivantes :

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    Si ce n'est pas le cas, modifiez les conditions, puis cliquez sur Enregistrer.

  6. Pour le widget Ressources concernées, cliquez sur Paramètres Configuration.

    Sous Paramètres avancés, dans la section Conditions, la condition doit être la suivante : [Case.Tags] () Toxic Combination. Si ce n'est pas le cas, modifiez la condition, puis cliquez sur Enregistrer.

  7. Pour le widget SCC – État de la recherche, cliquez sur Supprimer. Lorsque la boîte de dialogue de confirmation s'ouvre, cliquez sur Oui.

    Pour installer le widget SCC – État des résultats configuré pour la dernière version du cas d'utilisation, faites glisser le widget SCC – État des résultats de l'onglet Prédéfini vers la vue par défaut des demandes.

  8. Dans le widget Composants concernés, cliquez sur Supprimer. Lorsque la boîte de dialogue de confirmation s'ouvre, cliquez sur Oui.

    Pour installer le widget Composants concernés configuré pour la dernière version du cas d'utilisation, faites-le glisser depuis l'onglet Prédéfini vers la vue par défaut des demandes.

  9. Dans le widget Ressources AWS concernées, cliquez sur Supprimer. Lorsque la boîte de dialogue de confirmation s'ouvre, cliquez sur Oui.

  10. Cliquez sur Enregistrer la vue.

Activer les playbooks

Pour activer les playbooks de traitement des failles et des erreurs de configuration, procédez comme suit :

  1. Dans la console Security Operations, accédez à Réponse > Playbooks.

  2. Sélectionnez le dossier Cas d'utilisation Siemplify.

    Si vous n'avez pas intégré de système de billetterie, assurez-vous que l'option Résultats sur la posture – Général est activée. L'activation du playbook Posture Findings – Generic – VM Manager est facultative.

    Si vous avez intégré des systèmes de billetterie, procédez comme suit :

    1. Sélectionnez le playbook Posture Findings – Generic (Résultats de posture – Générique).
    2. Désactivez-la à l'aide du bouton bascule.
    3. Cliquez sur Enregistrer.
    4. Sélectionnez le playbook Posture Findings – Generic – VM Manager.
    5. Désactivez-la à l'aide du bouton bascule.
    6. Cliquez sur Enregistrer.
    7. Si vous avez intégré Jira, sélectionnez le playbook Posture Findings With Jira (Résultats de posture avec Jira).
      1. Cliquez sur le bouton bascule pour activer le playbook.
      2. Cliquez sur Enregistrer.
    8. Si vous avez intégré ServiceNow, sélectionnez le playbook Posture Findings with SNOW (Résultats de posture avec SNOW).
      1. Cliquez sur le bouton bascule pour activer le playbook.
      2. Cliquez sur Enregistrer.

Mettre à jour les connecteurs

La mise à jour du cas d'utilisation n'entraîne pas la mise à jour automatique des connecteurs existants. Pour vous assurer que l'ingestion de données fonctionne comme prévu après la mise à jour du cas d'utilisation, mettez à jour les connecteurs SCC Enterprise – Urgent Posture Findings et Google Chronicle – Chronicle Alerts.

Pour mettre à jour le connecteur SCC Enterprise – Urgent Posture Findings, procédez comme suit :

  1. Dans la console Security Operations, accédez à Paramètres> Paramètres SOAR> Ingestion> Connecteurs.
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Posture Findings Connector. La page de configuration des paramètres du connecteur s'ouvre.
  3. Cliquez sur Mise en cache Mettre à jour.
  4. Définissez le paramètre Exécuter toutes les sur "1 minute".
  5. Cliquez sur le bouton bascule pour activer le connecteur.
  6. Cliquez sur Enregistrer.

Pour mettre à jour le connecteur Google Chronicle – Chronicle Alerts, procédez comme suit :

  1. Dans la console Security Operations, accédez à Paramètres> Paramètres SOAR> Ingestion> Connecteurs.
  2. Sous GoogleChronicle, sélectionnez Google Chronicle – Chronicle Alerts Connector. La page de configuration des paramètres du connecteur s'ouvre.
  3. Cliquez sur Mise en cache Mettre à jour.
  4. Définissez le paramètre Exécuter toutes les sur "1 minute".
  5. Dans le champ du paramètre Nom du champ produit, saisissez SCCE.
  6. Cliquez sur le bouton bascule pour activer le connecteur.
  7. Cliquez sur Enregistrer.

Vérifier la configuration de la mise à jour

Pour vous assurer que tous les composants du cas d'utilisation sont correctement mis à jour, testez le connecteur et le job.

Tester le connecteur

  1. Dans le panneau de navigation de la console Security Operations, accédez à Paramètres> Paramètres SOAR> Ingestion> Connecteurs.
  2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Posture Findings Connector.
  3. Accédez à l'onglet Test.
  4. Cliquez sur Exécuter le connecteur une fois. Si la configuration du connecteur est correcte, la coche s'affiche.

Tester le job

  1. Dans la console Security Operations, accédez à Réponse> Planificateur de tâches.
  2. Sous GoogleSecurityCommandCenter, sélectionnez Synchroniser les données SCC.
  3. Cliquez sur Exécuter maintenant. Si la tâche fonctionne comme prévu, son état est Success.

Dépannage

  • Le job Synchroniser les données SCC affiche l'erreur suivante :

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Patientez dix minutes, puis cliquez sur Exécuter maintenant. Si l'erreur persiste, procédez comme suit :

    1. Dans la section Paramètres du job, supprimez la valeur du paramètre ID de l'organisation.
    2. Saisissez la valeur du paramètre ID de l'organisation.
    3. Cliquez sur Enregistrer.
    4. Cliquez sur Exécuter maintenant.

  • Le job Synchroniser les données SCC affiche une erreur d'authentification lorsqu'il n'a pas réussi à se mettre à jour automatiquement lors de la mise à jour du cas d'utilisation. Pour résoudre le problème lié au job de synchronisation, saisissez manuellement les valeurs des paramètres ID du projet et ID du projet de quota.

    Pour spécifier les valeurs de paramètres correctes, procédez comme suit :

    1. Accédez à Settings> SOAR Settings> Ingestion> Connectors.
    2. Sous SCCEnterprise, sélectionnez SCC Enterprise – Urgent Posture Findings Connector.
    3. Dans la section Paramètres, copiez la valeur du paramètre ID du projet de quota.
    4. Accédez à Réponse > Planificateur de tâches.
    5. Sous SCCEnterprise, sélectionnez Synchroniser les données SCC.
    6. Dans la section Paramètres de la tâche Synchroniser les données SCC, saisissez la valeur copiée dans les champs ID du projet et ID du projet de quota.
    7. Cliquez sur Enregistrer.

  • Après la mise à jour des cas d'utilisation, les nouveaux playbooks ne s'appliquent pas aux alertes existantes.

    Pour appliquer les nouveaux playbooks aux alertes existantes et réafficher le widget Alerte, fermez une demande et attendez que le connecteur ingère à nouveau les alertes avec les nouveaux playbooks associés.