Aggiorna il caso d'uso Enterprise

È ora disponibile l'aggiornamento del 9 ottobre 2024 del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation. Aggiorna il caso d'uso al più presto.

Questo caso d'uso fornisce aggiornamenti alle funzionalità di operazioni di sicurezza del livello Enterprise di Security Command Center. Per applicare gli aggiornamenti, segui le procedure riportate in questa pagina.

La procedura di aggiornamento include i seguenti passaggi di alto livello:

  1. Prepara il sistema per l'aggiornamento disattivando un connettore ed eliminando alcuni playbook esistenti.
  2. Installa la versione più recente del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation.
  3. Convalida l'installazione ed esegui i playbook aggiornati.

Verifica di disporre dei ruoli richiesti

Per completare questa procedura, devi disporre di uno dei seguenti ruoli SOC nella console Operazioni di sicurezza:

  • Amministratore
  • Vulnerability Manager
  • Gestore delle minacce

Per ulteriori dettagli sui ruoli SOC nella console Security Operations e sulle autorizzazioni richieste per gli utenti, consulta Controllare l'accesso alle funzionalità nella console Security Operations.

Preparare il sistema per l'aggiornamento

Prima di aggiornare il caso d'uso, devi disattivare il connettore SCC Enterprise - Urgent Posture Findings ed eliminare i playbook forniti dalla versione corrente del caso d'uso.

Disattiva il connettore

Per evitare di avere avvisi senza playbook allegati, disattiva il connettore SCC Enterprise – Urgent Posture Findings Connector prima di eliminare i playbook. Security Command Center acquisisce i risultati raccolti quando il connettore è disabilitato quando lo aggiorni e lo attivi.

Per disattivare il connettore, completa i seguenti passaggi:

  1. Nella console Security Operations, vai a Impostazioni > Impostazioni SOAR > Importazione > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Posture Findings Connector.
  3. Attiva l'opzione per disattivare il connettore.
  4. Fai clic su Salva.

Eliminare i playbook

Per evitare la duplicazione dei playbook, elimina i playbook predefiniti che utilizzi nella versione corrente del tuo caso d'uso. L'eliminazione dei playbook prima dell'upgrade del caso d'uso non ha alcun impatto sulla gestione delle richieste.

Per eliminare i playbook predefiniti:

  1. Nella console Security Operations, vai a Risposta > Playbook. Per impostazione predefinita, il filtro a discesa è impostato su Mostra tutto.

  2. Seleziona la cartella Siemplify Use Cases (Caso d'uso semplificato). Questa cartella contiene i seguenti playbook predefiniti:

    • Playbook di risposta alle minacce AWS
    • Playbook per la risposta alle minacce di Google Cloud
    • Risposta del motore per suggerimenti IAM
    • Risultati relativi alla postura: generici
    • Posture Findings – Generic – VM Manager
    • Risultati della postura con Jira
    • Risultati relativi alla postura con ServiceNow
    • Google Cloud – Esecuzione – Cryptomining
    • Google Cloud – Esecuzione – Caricamento di codice binario o libreria Eseguita
    • Google Cloud – Esecuzione – Script URL o processo shell dannosi
    • Google Cloud – Persistenza – Comportamento sospetto
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Postura: Playbook per le combinazioni dannose
    • Anteprima: Playbook di Azure Threat Response

  3. Nel riquadro di navigazione della pagina Playbook, fai clic su Modifica per selezionare più elementi.

  4. Accanto a Semplifica i casi d'uso, fai clic su done_all Seleziona tutto per selezionare tutti i playbook e i blocchi nella cartella.

  5. Nel menu di navigazione della pagina Playbook, fai clic su Elenco Menu > Elimina. Viene visualizzata una finestra che ti chiede di confermare o annullare l'eliminazione dei playbook selezionati.

  6. Fai clic su Conferma.

    Ora puoi aggiornare la versione del caso d'uso.

Installa il caso d'uso di Security Command Center Enterprise

Per installare la versione più recente del caso d'uso SCC Enterprise e verificare che tutte le integrazioni fornite nel caso d'uso siano aggiornate.

Installa il caso d'uso più recente

Per installare la versione più recente del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation, completa i seguenti passaggi:

  1. Nella console Security Operations, vai a Marketplace > Caso d'uso.
  2. Apri la finestra di dialogo Filtra per categorie facendo clic sull'icona del filtro,.
  3. Nella finestra di dialogo Filtra per categorie, digita SCC Enterprise. Il caso d'uso viene visualizzato nella sezione Casi d'uso.

  4. Nella descrizione del caso d'uso SCC Enterprise - Orchestrazione e correzione del cloud, controlla se è presente una data.

    • Se la data è precedente al 10 luglio 2024 o se nella descrizione non è presente alcuna data, elimina il caso d'uso. Il caso d'uso più recente viene visualizzato automaticamente al posto di quello eliminato.

    • Se la data nel caso d'uso SCC Enterprise – Cloud Orchestration and Remediation è 10 luglio 2024 o successiva, verifica che i playbook nell'ultimo caso d'uso siano installati completando i seguenti passaggi:

      1. Fai clic sul caso d'uso per aprire la procedura guidata di installazione.
      2. Espandi la categoria Playbook e prendi nota di eventuali playbook nuovi o aggiornati.
      3. Nella pagina Risposta > Playbook della console Security Operations, cerca il playbook nuovo o aggiornato. Se trovi il playbook nuovo o aggiornato, l'installazione del caso d'uso è già completata.

  5. Per completare l'installazione del caso d'uso, fai clic sul caso d'uso SCC Enterprise - orchestrazione e correzione in cloud e segui le istruzioni nella procedura guidata di installazione.

Applica e convalida le configurazioni del nuovo caso d'uso

Devi verificare che le varie funzionalità incluse nel caso d'uso più recente siano aggiornate correttamente. Per alcune funzionalità, devi applicare manualmente gli aggiornamenti del nuovo caso d'uso.

Convalida le versioni dell'integrazione nel caso d'uso

Le nuove versioni delle integrazioni incluse nel caso d'uso sono disponibili ogni settimana. Aggiorna le integrazioni alle versioni più recenti al più presto.

Le nuove versioni delle integrazioni introducono aggiornamenti che includono, a titolo esemplificativo, correzioni di problemi, nuovi widget e azioni, modifiche a widget e azioni esistenti, miglioramenti alla gestione degli avvisi e alla logica di elaborazione dei rilevamenti e alla mappatura del flusso di lavoro.

Per applicare gli aggiornamenti per le integrazioni, svolgi i seguenti passaggi:

  1. Nella console Security Operations, vai a Marketplace > Integrazioni.
  2. Nel campo Tipo, seleziona Tutte le integrazioni.
  3. Nel campo Status (Stato), seleziona Available Upgrade (Upgrade disponibile). Vengono visualizzate tutte le integrazioni che richiedono un upgrade.
  4. Per eseguire l'upgrade di un'integrazione, fai clic su Esegui l'upgrade alla versione VERSION nella scheda dell'integrazione.
  5. Se viene visualizzata la finestra di dialogo Aggiornamento di INTEGRATION, fai clic su Conferma.
  6. Se viene visualizzata la finestra di dialogo Conferma, fai clic su Approva.
  7. Nella finestra di dialogo Conferma mappatura sovrascrittura, seleziona la seguente opzione: Installa la nuova configurazione dell'ontologia e sostituisci quella esistente, quindi fai clic su Conferma.

È necessario eseguire l'upgrade dell'integrazione di SCC Enterprise e installare la nuova configurazione dell'ontologia per tutte le integrazioni di cui è stato eseguito l'upgrade.

Configurare l'integrazione di Cloud Storage

Per risolvere i problemi relativi alle ACL dei bucket pubblici, l'aggiornamento del 9 ottobre 2024 del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation introduce un'integrazione aggiuntiva, l'integrazione di Cloud Storage.

Per consentire ai playbook di arricchire e correggere il tipo di rilevamento PUBLIC BUCKET ACL, configura l'integrazione di Cloud Storage completando i seguenti passaggi:

  1. Configura i parametri di integrazione.
  2. Attiva la correzione dei bucket pubblici per i playbook.
Configura i parametri di integrazione

Per configurare i parametri di integrazione di Cloud Storage, completa i seguenti passaggi:

  1. Nella console Security Operations, vai a Marketplace > Integrazioni.
  2. Nel campo Cerca, inserisci Storage. Viene visualizzata la scheda di integrazione di Cloud Storage.
  3. Nella scheda dell'integrazione, fai clic su Configura. Viene visualizzata la finestra di dialogo di configurazione.
  4. Configura i parametri Email identità per i carichi di lavoro, ID progetto e ID progetto quota. Puoi copiare i valori dei parametri da qualsiasi altra integrazione di Google Cloud, ad esempio l'integrazione di Cloud Asset Inventory.
  5. Fai clic su Salva.
  6. Fai clic su Test per testare la configurazione.
Attivare la correzione dei bucket pubblici per i playbook

Per attivare la correzione dei bucket pubblici per i playbook dei risultati relativi alla posizione, consulta Attivare la correzione dei bucket pubblici.

Aggiornare i widget della visualizzazione della richiesta

  1. Nella console Security Operations, vai a Impostazioni > Impostazioni SOAR > Dati della richiesta > Visualizzazioni.
  2. Seleziona Visualizzazione predefinita per le richieste.
  3. Seleziona la scheda Predefiniti.

  4. Trascina i widget dalla scheda Predefiniti alla Visualizzazione richiesta predefinita nel seguente ordine consigliato:

    1. Riepilogo richiesta
    2. Percorso di attacco della combinazione tossica
    3. Risultati
    4. Indagine sull'IA/Riepilogo di Gemini
    5. Riepilogo risultati
    6. SCC – Finding State
    7. Asset interessati
    8. Informazioni sui biglietti
    9. Azioni in attesa
    10. Grafico delle entità
    11. Entità in evidenza

  5. Fai clic su Salva vista.

Convalidare i widget

Per assicurarti di ricevere le informazioni corrette, verifica che i seguenti widget contengano la condizione corretta:

  • Percorso di attacco della combinazione tossica
  • Risultato
  • Grafico delle entità
  • Individuazione dell'IA/Riepilogo di Gemini
  • Riepilogo dei risultati
  • Risorse interessate
  • SCC – Finding State
  • Asset interessati
  • Asset AWS interessati

Per convalidare i widget, completa i seguenti passaggi:

  1. Nella console Security Operations, vai a Impostazioni > Impostazioni SOAR > Dati della richiesta > Visualizzazioni.

  2. Seleziona Visualizzazione predefinita per le richieste.

  3. Sia per i widget Percorso di attacco della combinazione tossica sia per i widget Risultato, fai clic su Impostazioni Configurazione.

    In Impostazioni avanzate, nella sezione Condizioni, la condizione deve essere la seguente: [Case.Tags] () Toxic Combination. In caso contrario, aggiorna la condizione e poi fai clic su Salva.

  4. Per i widget Entities Graph e AI Investigation/Gemini Summary, fai clic su Impostazioni Configurazione.

    In Impostazioni avanzate, nella sezione Condizioni, la condizione deve essere la seguente: [Case.Tags] !() Toxic Combination. In caso contrario, aggiorna la condizione e poi fai clic su Salva.

  5. Per il widget Riepilogo della ricerca, fai clic su ImpostazioniConfigurazione.

    In Impostazioni avanzate, nella sezione Condizioni, le condizioni devono essere le seguenti:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    In caso contrario, aggiorna le condizioni e poi fai clic su Salva.

  6. Per il widget Risorse interessate, fai clic su Impostazioni Configurazione.

    In Impostazioni avanzate, nella sezione Condizioni, la condizione deve essere la seguente: [Case.Tags] () Toxic Combination. In caso contrario, aggiorna la condizione e poi fai clic su Salva.

  7. Per il widget SCC – Finding State (SCC – Stato ricerca), fai clic su Elimina. Quando si apre la finestra di dialogo di conferma, fai clic su .

    Per installare il widget SCC – Finding State configurato per la versione più recente del caso d'uso, trascina il widget SCC – Finding State dalla scheda Predefiniti nella Visualizzazione predefinita dei casi.

  8. Per il widget Asset interessati, fai clic su Elimina. Quando si apre la finestra di dialogo di conferma, fai clic su .

    Per installare il widget Asset interessati configurato per la versione più recente del caso d'uso, trascina il widget Asset interessati dalla scheda Predefiniti alla Visualizzazione richiesta predefinita.

  9. Per il widget Asset AWS interessati, fai clic su Elimina. Quando si apre la finestra di dialogo di conferma, fai clic su .

  10. Fai clic su Salva vista.

Abilita playbook

Per attivare i playbook per l'elaborazione di vulnerabilità e errori di configurazione, segui questi passaggi:

  1. Nella console Security Operations, vai a Risposta > Playbook.

  2. Seleziona la cartella Siemplify Use Cases (Caso d'uso semplificato).

    Se non hai eseguito l'integrazione con i sistemi di ticketing, assicurati che sia attivata l'opzione Posture Findings – Generic. L'attivazione del playbook Posture Findings – Generic – VM Manager è facoltativa.

    Se hai eseguito l'integrazione con i sistemi di vendita di biglietti, completa i seguenti passaggi:

    1. Seleziona il playbook Posture Findings – Generic (Risultati relativi alla posizione - Generico).
    2. Imposta l'opzione su Off.
    3. Fai clic su Salva.
    4. Seleziona il playbook Posture Findings – Generic – VM Manager.
    5. Imposta l'opzione su Off.
    6. Fai clic su Salva.
    7. Se hai eseguito l'integrazione con Jira, seleziona il playbook Risultati relativi alla posizione con Jira.
      1. Attiva l'opzione per attivare il playbook.
      2. Fai clic su Salva.
    8. Se hai eseguito l'integrazione con ServiceNow, seleziona il playbook Posture Findings With ServiceNow.
      1. Attiva l'opzione per attivare il playbook.
      2. Fai clic su Salva.

Aggiornamento connettori

L'aggiornamento del caso d'uso non aggiorna automaticamente i connettori esistenti. Per assicurarti che l'importazione dati funzioni come previsto dopo l'aggiornamento del caso d'uso, aggiorna i connettori SCC Enterprise – Urgent Posture Findings Connector e Google Chronicle – Chronicle Alerts Connector.

Per aggiornare il connettore SCC Enterprise – Urgent Posture Findings, completa i seguenti passaggi:

  1. Nella console Security Operations, vai a Impostazioni > Impostazioni SOAR > Importazione > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Posture Findings Connector. Si apre la pagina di configurazione dei parametri del connettore.
  3. Fai clic su Aggiorna in cache.
  4. Imposta il parametro Esegui ogni su 1 minuto.
  5. Attiva l'opzione per attivare il connettore.
  6. Fai clic su Salva.

Per aggiornare il connettore Google Chronicle – Chronicle Alerts:

  1. Nella console Security Operations, vai a Impostazioni > Impostazioni SOAR > Importazione > Connettori.
  2. In GoogleChronicle, seleziona Google Chronicle - Connettore di avviso di Chronicle. Si apre la pagina di configurazione dei parametri del connettore.
  3. Fai clic su Aggiorna in cache.
  4. Imposta il parametro Esegui ogni su 1 minuto.
  5. Nel campo del parametro Nome campo prodotto, inserisci SCCE.
  6. Attiva l'opzione per attivare il connettore.
  7. Fai clic su Salva.

Verifica la configurazione dell'aggiornamento

Per assicurarti che tutti i componenti del caso d'uso vengano aggiornati correttamente, testa il connettore e il job.

Prova il connettore

  1. Nella console Security Operations, vai a Impostazioni > Impostazioni SOAR > Importazione > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Posture Findings Connector.
  3. Vai alla scheda Test.
  4. Fai clic su Esegui il connettore una volta. Se la configurazione del connettore è corretta, viene visualizzato il segno di spunta.

Testa il job

  1. Nella console Security Operations, vai a Risposta > Pianificatore dei job.
  2. In GoogleSecurityCommandCenter, seleziona Sincronizza i dati di SCC.
  3. Fai clic su Esegui ora. Se il job funziona come previsto, lo stato è Success.

Risoluzione dei problemi

  • Il job Sincronizza i dati SCC mostra il seguente errore:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Attendi dieci minuti e fai clic su Esegui ora. Se l'errore persiste, completa i seguenti passaggi:

    1. Nella sezione Parametri del job, elimina il valore parametro ID organizzazione.
    2. Inserisci il valore parametro ID organizzazione.
    3. Fai clic su Salva.
    4. Fai clic su Esegui ora.

  • Il job Sincronizza dati SCC mostra un errore di autenticazione quando non è riuscito aggiornamento automatico durante l'aggiornamento del caso d'uso. Per risolvere il problema del job di sincronizzazione, inserisci manualmente i valori per i parametri ID progetto e ID progetto quota.

    Per specificare i valori dei parametri corretti, completa i seguenti passaggi:

    1. Vai a Impostazioni > Impostazioni SOAR > Importazione > Connettori.
    2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Posture Findings Connector.
    3. Nella sezione Parametri, copia il valore del parametro Quota Project ID.
    4. Vai a Risposta > Pianificatore dei job.
    5. In SCCEnterprise, seleziona Sincronizza i dati di SCC.
    6. Nella sezione Parametri del job Sincronizza i dati SCC, inserisci il valore copiato nei campi ID progetto e ID progetto quota.
    7. Fai clic su Salva.

  • Dopo l'aggiornamento del caso d'uso, i nuovi playbook non vengono applicati agli avvisi esistenti.

    Per applicare i nuovi playbook agli avvisi esistenti e eseguire nuovamente il rendering del widget Avviso, chiudi una richiesta e attendi che il connettore importi di nuovo gli avvisi con i nuovi playbook allegati.