Memperbarui kasus penggunaan Enterprise

Update 18 Desember 2024 untuk kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation kini tersedia. Perbarui kasus penggunaan sesegera mungkin.

Kasus penggunaan ini memberikan update pada fitur operasi keamanan dari paket Enterprise Security Command Center. Untuk menerapkan update, ikuti prosedur di halaman ini.

Prosedur update mencakup langkah-langkah tingkat tinggi berikut:

  1. Siapkan sistem untuk update dengan menonaktifkan konektor dan menghapus playbook yang ada.
  2. Instal versi terbaru kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation.
  3. Validasi penginstalan dan jalankan playbook yang diperbarui.

Langkah-langkah ini dilakukan menggunakan halaman konsol Operasi Keamanan Setelan > Setelan SOAR.

Pastikan Anda memiliki peran yang diperlukan

Untuk menyelesaikan prosedur ini, Anda harus diberi salah satu peran SOC berikut di konsol Operasi Keamanan:

  • Administrator
  • Pengelola Kerentanan
  • Threat Manager

Untuk mengetahui detail selengkapnya tentang peran dan izin SOC yang diperlukan agar pengguna dapat mengakses halaman konsol Operasi Keamanan, lihat Mengontrol akses ke fitur di halaman konsol Operasi Keamanan.

Menyiapkan sistem untuk update

Sebelum memperbarui kasus penggunaan, Anda harus menonaktifkan SCC Enterprise – Urgent Posture Findings Connector dan menghapus playbook yang disediakan oleh versi kasus penggunaan saat ini.

Nonaktifkan konektor

Untuk menghindari notifikasi tanpa playbook terlampir, nonaktifkan konektor SCC Enterprise – Urgent Posture Findings Connector sebelum menghapus playbook. Security Command Center menyerap temuan yang dikumpulkan saat konektor dinonaktifkan ketika Anda memperbarui dan mengaktifkan konektor.

Untuk menonaktifkan konektor, selesaikan langkah-langkah berikut:

  1. Di navigasi konsol Security Operations, buka Settings > SOAR Settings > Ingestion > Connectors.
  2. Di bagian SCCEnterprise, pilih SCC Enterprise – Urgent Posture Findings Connector.
  3. Alihkan tombol untuk menonaktifkan konektor.
  4. Klik Simpan.

Menghapus playbook

Untuk menghindari duplikasi playbook, hapus playbook default yang Anda gunakan dalam versi kasus penggunaan Anda saat ini. Menghapus playbook sebelum mengupgrade kasus penggunaan tidak akan memengaruhi pengelolaan kasus.

Untuk menghapus playbook default, selesaikan langkah-langkah berikut:

  1. Di navigasi konsol Operasi Keamanan, buka Response > Playbooks. Filter drop-down disetel ke Tampilkan Semua secara default.

  2. Pilih folder Siemplify Use Cases. Folder ini berisi playbook default berikut:

    • Playbook Respons Terhadap Ancaman AWS
    • Playbook Respons Terhadap Ancaman GCP
    • Respons Pemberi Rekomendasi IAM
    • Temuan Postur – Umum
    • Temuan Postur – Umum – VM Manager
    • Temuan Postur dengan Jira
    • Temuan Postur dengan ServiceNow
    • Google Cloud – Eksekusi – Penambangan kripto
    • Google Cloud – Eksekusi – Biner atau Library Dimuat Dieksekusi
    • Google Cloud – Execution – Malicious URL Script or Shell Process
    • Google Cloud – Persistensi – Perilaku Mencurigakan
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Postur – Playbook Kombinasi Toksik
    • Pratinjau – Playbook Respons Terhadap Ancaman Azure

  3. Di navigasi halaman Playbook, klik Edit untuk memilih beberapa item.

  4. Di samping Siemplify Use Cases, klik done_all Pilih semua untuk memilih semua playbook dan blok dalam folder.

  5. Di navigasi halaman Playbook, klik list Menu > Hapus. Jendela akan muncul dan meminta Anda mengonfirmasi atau membatalkan penghapusan playbook yang dipilih.

  6. Klik Konfirmasi.

    Sekarang Anda dapat mengupdate versi kasus penggunaan.

Menginstal kasus penggunaan Security Command Center Enterprise

Untuk menginstal kasus penggunaan SCC Enterprise versi terbaru ke versi terbaru dan memeriksa apakah semua integrasi yang disediakan dalam kasus penggunaan sudah terbaru.

Menginstal kasus penggunaan terbaru

Untuk menginstal kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation versi terbaru, selesaikan langkah-langkah berikut:

  1. Di navigasi konsol Operasi Keamanan, buka Marketplace > Use Cases.
  2. Buka dialog Filter menurut kategori dengan mengklik ikon filter, .
  3. Pada dialog Filter menurut kategori, ketik SCC Enterprise. Kasus penggunaan akan muncul di bagian Use Cases.

  4. Dalam deskripsi kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation, periksa tanggalnya.

    • Jika tanggalnya lebih awal dari 10 Juli 2024, atau tidak ada tanggal dalam deskripsi, hapus kasus penggunaan. Kasus penggunaan terbaru akan otomatis muncul menggantikan kasus penggunaan yang dihapus.

    • Jika tanggal dalam kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation adalah 10 Juli 2024 atau yang lebih baru, konfirmasi bahwa playbook dalam kasus penggunaan terbaru telah diinstal dengan menyelesaikan langkah-langkah berikut:

      1. Klik kasus penggunaan untuk membuka wizard penginstalan.
      2. Luaskan kategori playbook dan catat playbook baru atau yang diperbarui.
      3. Di halaman Response > Playbooks di konsol Operasi Keamanan, cari playbook baru atau yang telah diupdate. Jika Anda menemukan playbook baru atau yang diupdate, penginstalan kasus penggunaan sudah selesai.

  5. Untuk menyelesaikan penginstalan kasus penggunaan, klik kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation, lalu ikuti petunjuk di wizard penginstalan.

Menerapkan dan memvalidasi konfigurasi dari kasus penggunaan baru

Anda perlu memvalidasi bahwa berbagai fitur yang disertakan dalam kasus penggunaan terbaru diperbarui dengan benar. Untuk fitur tertentu, Anda harus menerapkan update dari kasus penggunaan baru secara manual.

Memvalidasi versi integrasi dalam kasus penggunaan

Versi baru integrasi yang disertakan dalam kasus penggunaan tersedia setiap minggu. Update integrasi ke versi terbarunya sesegera mungkin.

Versi baru integrasi memperkenalkan update termasuk, tetapi tidak terbatas pada, perbaikan, widget dan tindakan baru, perubahan pada widget dan tindakan yang ada, peningkatan penanganan pemberitahuan, serta peningkatan pada logika pemrosesan deteksi dan pemetaan alur kerja.

Untuk menerapkan update integrasi, selesaikan langkah-langkah berikut:

  1. Di navigasi konsol Operasi Keamanan, buka Marketplace > Integrasi.
  2. Di kolom Type, pilih All Integrations.
  3. Di kolom Status, pilih Upgrade Tersedia. Semua integrasi yang memerlukan upgrade akan ditampilkan.
  4. Untuk mengupgrade integrasi, klik Upgrade ke versi VERSION di kartu integrasi.
  5. Jika dialog Memperbarui INTEGRATION muncul, klik Konfirmasi.
  6. Jika dialog Confirmation muncul, klik Approve.
  7. Dalam dialog Confirm Overwrite Mapping, pilih opsi berikut: Install the new ontology configuration and override the existing one, lalu klik Confirm.

Upgrade integrasi SCC Enterprise dan penginstalan konfigurasi ontologi baru untuk semua integrasi yang diupgrade diperlukan.

Mengonfigurasi integrasi Cloud Storage

Untuk memperbaiki temuan ACL bucket publik, kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation mencakup integrasi tambahan, yaitu integrasi Cloud Storage.

Agar playbook dapat memperkaya dan memulihkan jenis temuan PUBLIC BUCKET ACL, konfigurasi integrasi Cloud Storage dengan menyelesaikan langkah-langkah berikut:

  1. Konfigurasi parameter integrasi.
  2. Aktifkan perbaikan bucket publik untuk playbook.
Mengonfigurasi parameter integrasi

Untuk mengonfigurasi parameter integrasi Cloud Storage, selesaikan langkah-langkah berikut:

  1. Di navigasi konsol Operasi Keamanan, buka Marketplace > Integrasi.
  2. Di kolom Penelusuran, masukkan Storage. Kartu integrasi Cloud Storage akan muncul.
  3. Di kartu integrasi, klik Konfigurasi. Dialog konfigurasi akan terbuka.
  4. Konfigurasi parameter Workload Identity Email, Project ID, dan Quota Project ID. Anda dapat menyalin nilai parameter dari integrasi Google Cloud lainnya, seperti integrasi Cloud Asset Inventory.
  5. Klik Simpan.
  6. Klik Uji untuk menguji konfigurasi.
Mengaktifkan perbaikan bucket publik untuk playbook

Untuk mengaktifkan perbaikan bucket publik untuk playbook temuan postur, lihat Mengaktifkan perbaikan bucket publik.

Memperbarui widget tampilan kasus

  1. Di navigasi konsol Operasi Keamanan, buka Settings > SOAR Settings > Case Data > Views.
  2. Pilih Tampilan Kasus Default.
  3. Pilih tab Standar.

  4. Tarik widget dari tab Standar ke Tampilan Kasus Default dalam urutan yang direkomendasikan berikut:

    1. Ringkasan Kasus
    2. Jalur serangan kombinasi toksik
    3. Temuan
    4. Investigasi AI/Ringkasan Gemini
    5. Ringkasan Temuan
    6. SCC – Status Temuan
    7. Aset yang Terpengaruh
    8. Informasi Tiket
    9. Tindakan Tertunda
    10. Grafik Entity
    11. Sorotan Entity

  5. Klik Simpan Tampilan.

Memvalidasi widget

Untuk memastikan Anda mendapatkan informasi yang benar, validasi bahwa widget berikut berisi kondisi yang benar:

  • Jalur serangan kombinasi toksik
  • Menemukan
  • Grafik Entitas
  • Investigasi AI/Ringkasan Gemini
  • Ringkasan Temuan
  • Resource yang Terpengaruh
  • SCC – Menemukan Status
  • Aset yang Terpengaruh
  • Aset AWS yang Terpengaruh

Untuk memvalidasi widget, selesaikan langkah-langkah berikut:

  1. Di navigasi konsol Operasi Keamanan, buka Setelan > Setelan SOAR > Data Kasus > Tampilan.

  2. Pilih Tampilan Kasus Default.

  3. Untuk widget Jalur serangan kombinasi toksik dan Temuan, klik setelan Konfigurasi.

    Di bagian Setelan Lanjutan, di bagian Kondisi, kondisi harus sebagai berikut: [Case.Tags] () Toxic Combination. Jika tidak, perbarui kondisi, lalu klik Simpan.

  4. Untuk widget Grafik Entitas dan Investigasi AI/Ringkasan Gemini, klik setelan Konfigurasi.

    Di bagian Setelan Lanjutan, di bagian Kondisi, kondisi harus sebagai berikut: [Case.Tags] !() Toxic Combination. Jika tidak, perbarui kondisi, lalu klik Simpan.

  5. Untuk widget Ringkasan Temuan, klik setelanKonfigurasi.

    Di bagian Setelan Lanjutan, di bagian Kondisi, kondisi harus sebagai berikut:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    Jika tidak, perbarui kondisi, lalu klik Simpan.

  6. Untuk widget Sumber Daya yang Terpengaruh, klik Konfigurasi setelan.

    Di bagian Setelan Lanjutan, di bagian Kondisi, kondisi harus sebagai berikut: [Case.Tags] () Toxic Combination. Jika tidak, perbarui kondisi, lalu klik Simpan.

  7. Untuk widget SCC – Finding State, klik Hapus. Saat dialog konfirmasi terbuka, klik Ya.

    Untuk menginstal widget SCC – Finding State yang dikonfigurasi untuk versi kasus penggunaan terbaru, tarik widget SCC – Finding State dari tab Predefined ke Default Case View.

  8. Untuk widget Aset yang Terpengaruh, klik Hapus. Saat dialog konfirmasi terbuka, klik Ya.

    Untuk menginstal widget Aset yang Terpengaruh yang dikonfigurasi untuk versi kasus penggunaan terbaru, tarik widget Aset yang Terpengaruh dari tab Prapelajari ke Tampilan Kasus Default.

  9. Untuk widget Aset AWS yang Terpengaruh, klik Hapus. Saat dialog konfirmasi terbuka, klik Ya.

  10. Klik Simpan Tampilan.

Mengaktifkan playbook

Untuk mengaktifkan playbook guna memproses kerentanan dan kesalahan konfigurasi, selesaikan langkah-langkah berikut:

  1. Di navigasi konsol Operasi Keamanan, buka Response > Playbooks.

  2. Pilih folder Siemplify Use Cases.

    Jika Anda tidak terintegrasi dengan sistem tiket, pastikan Temuan Postur – Umum diaktifkan. Mengaktifkan playbook Posture Findings – Generic – VM Manager bersifat opsional.

    Jika Anda terintegrasi dengan sistem tiket, selesaikan langkah-langkah berikut:

    1. Pilih playbook Posture Findings – Generic.
    2. Alihkan tombol untuk menonaktifkannya.
    3. Klik Simpan.
    4. Pilih playbook Posture Findings – Generic – VM Manager.
    5. Alihkan tombol untuk menonaktifkannya.
    6. Klik Simpan.
    7. Jika Anda terintegrasi dengan Jira, pilih playbook Posture Findings With Jira.
      1. Aktifkan tombol untuk mengaktifkan playbook.
      2. Klik Simpan.
    8. Jika Anda terintegrasi dengan ServiceNow, pilih playbook Posture Findings with SNOW.
      1. Aktifkan tombol untuk mengaktifkan playbook.
      2. Klik Simpan.

Mengupdate konektor

Memperbarui kasus penggunaan tidak akan otomatis memperbarui konektor yang ada. Untuk memastikan penyerapan data berfungsi seperti yang diharapkan setelah pembaruan kasus penggunaan, perbarui konektor SCC Enterprise – Urgent Posture Findings Connector dan Google Chronicle – Chronicle Alerts Connector.

Untuk mengupdate konektor SCC Enterprise – Urgent Posture Findings Connector, selesaikan langkah-langkah berikut:

  1. Di navigasi konsol Security Operations, buka Settings > SOAR Settings > Ingestion > Connectors.
  2. Di bagian SCCEnterprise, pilih SCC Enterprise – Urgent Posture Findings Connector. Halaman konfigurasi parameter konektor akan terbuka.
  3. Klik cache Perbarui.
  4. Tetapkan parameter Run Every ke 1 menit.
  5. Alihkan tombol untuk mengaktifkan konektor.
  6. Klik Simpan.

Untuk mengupdate konektor Google Chronicle – Chronicle Alerts Connector, selesaikan langkah-langkah berikut:

  1. Di navigasi konsol Security Operations, buka Settings > SOAR Settings > Ingestion > Connectors.
  2. Di bagian GoogleChronicle, pilih Google Chronicle – Chronicle Alerts Connector. Halaman konfigurasi parameter konektor akan terbuka.
  3. Klik cache Perbarui.
  4. Tetapkan parameter Run Every ke 1 menit.
  5. Di kolom parameter Product Field Name, masukkan SCCE.
  6. Alihkan tombol untuk mengaktifkan konektor.
  7. Klik Simpan.

Memverifikasi konfigurasi update

Untuk memastikan semua komponen kasus penggunaan berhasil diperbarui, uji konektor dan tugas.

Menguji konektor

  1. Di navigasi konsol Security Operations, buka Settings > SOAR Settings > Ingestion > Connectors.
  2. Di bagian SCCEnterprise, pilih SCC Enterprise – Urgent Posture Findings Connector.
  3. Buka tab Pengujian.
  4. Klik Run connector once. Jika konfigurasi konektor sudah benar, tanda centang akan muncul.

Menguji tugas

  1. Di navigasi konsol Operasi Keamanan, buka Respons > Penjadwal Tugas.
  2. Di bagian GoogleSecurityCommandCenter, pilih Sync SCC Data.
  3. Klik Run Now. Jika tugas berfungsi seperti yang diharapkan, status tugas adalah Success.

Pemecahan masalah

  • Tugas Sync SCC Data menampilkan error berikut:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Tunggu sepuluh menit, lalu klik Jalankan Sekarang. Jika error berlanjut, selesaikan langkah-langkah berikut:

    1. Di bagian Parameter tugas, hapus nilai parameter ID Organisasi.
    2. Masukkan nilai parameter ID Organisasi.
    3. Klik Simpan.
    4. Klik Run Now.

  • Tugas Sync SCC Data menampilkan error autentikasi saat gagal diperbarui secara otomatis selama update kasus penggunaan. Untuk memperbaiki masalah tugas sinkronisasi, masukkan nilai untuk parameter Project ID dan Quota Project ID secara manual.

    Untuk menentukan nilai parameter yang benar, selesaikan langkah-langkah berikut:

    1. Buka Setelan > Setelan SOAR > Penyerapan > Konektor.
    2. Di bagian SCCEnterprise, pilih SCC Enterprise – Urgent Posture Findings Connector.
    3. Di bagian Parameters, salin nilai parameter Quota Project ID.
    4. Buka Response > Job Scheduler.
    5. Di bagian SCCEnterprise, pilih Sinkronkan Data SCC.
    6. Di bagian Parameters pada tugas Sync SCC Data, masukkan nilai yang disalin di kolom Project ID dan Quota Project ID.
    7. Klik Simpan.

  • Setelah update kasus penggunaan, playbook baru tidak berlaku untuk pemberitahuan yang ada.

    Untuk menerapkan playbook baru ke pemberitahuan yang ada dan merender ulang widget Pemberitahuan, tutup kasus dan tunggu hingga konektor menyerap pemberitahuan lagi dengan playbook baru yang dilampirkan.