Aggiorna il caso d'uso Enterprise

L'aggiornamento del 18 dicembre 2024 del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation è ora disponibile. Aggiorna il caso d'uso appena possibile.

Questo caso d'uso fornisce aggiornamenti alle funzionalità di operazioni di sicurezza del livello Enterprise di Security Command Center. Per applicare gli aggiornamenti, segui le procedure descritte in questa pagina.

La procedura di aggiornamento include i seguenti passaggi di alto livello:

  1. Prepara il sistema per l'aggiornamento disattivando un connettore ed eliminando determinati playbook esistenti.
  2. Installa l'ultima versione del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation.
  3. Convalida l'installazione ed esegui i playbook aggiornati.

Questi passaggi vengono eseguiti utilizzando la pagina della console Impostazioni > Impostazioni SOAR di Security Operations.

Conferma di disporre dei ruoli richiesti

Per completare questa procedura, devi disporre di uno dei seguenti ruoli SOC nella console Operazioni di sicurezza:

  • Amministratore
  • Gestore delle vulnerabilità
  • Threat Manager

Per maggiori dettagli sui ruoli e sulle autorizzazioni SOC necessari agli utenti per accedere alle pagine della console Security Operations, vedi Controllare l'accesso alle funzionalità nelle pagine della console Security Operations.

Preparare il sistema per l'aggiornamento

Prima di aggiornare lo scenario d'uso, devi disattivare il connettore SCC Enterprise - Urgent Posture Findings ed eliminare i playbook forniti dalla versione attuale dello scenario d'uso.

Disattivare il connettore

Per evitare di avere avvisi senza playbook allegati, disabilita il connettore SCC Enterprise - Urgent Posture Findings prima di eliminare i playbook. Security Command Center inserisce i risultati raccolti mentre il connettore è disabilitato quando lo aggiorni e lo abiliti.

Per disattivare il connettore, completa i seguenti passaggi:

  1. Nel menu di navigazione della console Security Operations, vai a Impostazioni > Impostazioni SOAR > Inserimento > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Posture Findings Connector.
  3. Sposta il pulsante di attivazione/disattivazione per disattivare il connettore.
  4. Fai clic su Salva.

Eliminare playbook

Per evitare la duplicazione dei playbook, elimina i playbook predefiniti che utilizzi nella versione attuale del tuo caso d'uso. L'eliminazione dei playbook prima dell'upgrade del caso d'uso non ha alcun impatto sulla gestione dei casi.

Per eliminare i playbook predefiniti:

  1. Nel menu di navigazione della console Security Operations, vai a Risposta > Playbook. Per impostazione predefinita, il filtro a discesa è impostato su Mostra tutto.

  2. Seleziona la cartella Siemplify Use Cases. Questa cartella contiene i seguenti playbook predefiniti:

    • Guida pratica alla risposta alle minacce di AWS
    • GCP Threat Response Playbook
    • IAM Recommender Response
    • Risultati della postura - Generico
    • Risultati della postura - Generico - VM Manager
    • Risultati della configurazione di sicurezza con Jira
    • Risultati della postura con ServiceNow
    • Google Cloud – Execution – Cryptomining
    • Google Cloud - Execution - Binary or Library Loaded Executed
    • Google Cloud - Execution - Malicious URL Script or Shell Process
    • Google Cloud - Persistenza - Comportamento sospetto
    • Google Cloud - Persistence - IAM Anomalous Grant
    • Postura - Guida pratica alla combinazione dannosa
    • Anteprima: guida pratica alla risposta alle minacce di Azure

  3. Nel menu di navigazione della pagina Playbook, fai clic su Modifica per selezionare più elementi.

  4. Accanto a Siemplify Use Cases, fai clic su done_all Seleziona tutto per selezionare tutti i playbook e i blocchi nella cartella.

  5. Nella navigazione della pagina Playbook, fai clic su Menu elenco > Elimina. Viene visualizzata una finestra in cui ti viene chiesto di confermare o annullare l'eliminazione dei playbook selezionati.

  6. Fai clic su Conferma.

    Ora puoi aggiornare la versione del caso d'uso.

Installa il caso d'uso di Security Command Center Enterprise

Per installare l'ultima versione del caso d'uso SCC Enterprise, aggiorna all'ultima versione e verifica che tutte le integrazioni fornite nel caso d'uso siano aggiornate.

Installare l'ultimo caso d'uso

Per installare l'ultima versione del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation, completa i seguenti passaggi:

  1. Nel menu di navigazione della console Security Operations, vai a Marketplace > Casi d'uso.
  2. Apri la finestra di dialogo Filtra per categorie facendo clic sull'icona del filtro, .
  3. Nella finestra di dialogo Filtra per categorie, digita SCC Enterprise. Il caso d'uso viene visualizzato nella sezione Casi d'uso.

  4. Nella descrizione del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation, controlla la data.

    • Se la data è precedente al 10 luglio 2024 o non è presente alcuna data nella descrizione, elimina il caso d'uso. L'ultimo caso d'uso viene visualizzato automaticamente al posto di quello eliminato.

    • Se la data nello scenario di utilizzo SCC Enterprise – Cloud Orchestration and Remediation è il 10 luglio 2024 o una data successiva, verifica che i playbook nell'ultimo scenario di utilizzo siano installati completando i seguenti passaggi:

      1. Fai clic sul caso d'uso per aprire la procedura guidata di installazione.
      2. Espandi la categoria dei playbook e prendi nota di eventuali playbook nuovi o aggiornati.
      3. Nella pagina Risposta > Playbook della console Security Operations, cerca il playbook nuovo o aggiornato. Se trovi il playbook nuovo o aggiornato, l'installazione del caso d'uso è già completata.

  5. Per completare l'installazione del caso d'uso, fai clic sul caso d'uso SCC Enterprise - Cloud Orchestration and Remediation e segui le istruzioni della procedura guidata di installazione.

Applica e convalida le configurazioni del nuovo caso d'uso

Devi verificare che le varie funzionalità incluse nell'ultimo caso d'uso siano aggiornate correttamente. Per alcune funzionalità, devi applicare manualmente gli aggiornamenti del nuovo caso d'uso.

Convalida le versioni dell'integrazione nel caso d'uso

Le nuove versioni delle integrazioni incluse nel caso d'uso sono disponibili ogni settimana. Aggiorna le integrazioni alle ultime versioni non appena ti è possibile.

Le nuove versioni delle integrazioni introducono aggiornamenti che includono, a titolo esemplificativo, correzioni, nuovi widget e azioni, modifiche a widget e azioni esistenti, miglioramenti alla gestione degli avvisi e alla logica di elaborazione del rilevamento e alla mappatura del flusso di lavoro.

Per applicare gli aggiornamenti per le integrazioni, completa i seguenti passaggi:

  1. Nel menu di navigazione della console Security Operations, vai a Marketplace > Integrazioni.
  2. Nel campo Tipo, seleziona Tutte le integrazioni.
  3. Nel campo Stato, seleziona Aggiornamento disponibile. Vengono visualizzate tutte le integrazioni che richiedono un upgrade.
  4. Per eseguire l'upgrade di un'integrazione, fai clic su Esegui l'upgrade alla versione VERSION nella scheda di integrazione.
  5. Se viene visualizzata la finestra di dialogo Aggiornamento INTEGRATION, fai clic su Conferma.
  6. Se viene visualizzata la finestra di dialogo Conferma, fai clic su Approva.
  7. Nella finestra di dialogo Conferma sovrascrittura mappatura, seleziona l'opzione: Installa la nuova configurazione dell'ontologia ed esegui l'override di quella esistente, quindi fai clic su Conferma.

È necessario eseguire l'upgrade dell'integrazione di SCC Enterprise e installare la nuova configurazione dell'ontologia per tutte le integrazioni di cui è stato eseguito l'upgrade.

Configurare l'integrazione di Cloud Storage

Per correggere i risultati degli ACL dei bucket pubblici, il caso d'uso SCC Enterprise - Cloud Orchestration and Remediation include un'integrazione aggiuntiva, l'integrazione di Cloud Storage.

Per consentire ai playbook di arricchire e correggere il tipo di risultato PUBLIC BUCKET ACL, configura l'integrazione di Cloud Storage completando i seguenti passaggi:

  1. Configura i parametri di integrazione.
  2. Abilita la correzione dei bucket pubblici per i playbook.
Configurare i parametri di integrazione

Per configurare i parametri di integrazione di Cloud Storage, completa i seguenti passaggi:

  1. Nel menu di navigazione della console Security Operations, vai a Marketplace > Integrazioni.
  2. Nel campo Cerca, inserisci Storage. Viene visualizzata la scheda di integrazione di Cloud Storage.
  3. Nella scheda dell'integrazione, fai clic su Configura. Si apre la finestra di dialogo di configurazione.
  4. Configura i parametri Email identità del workload, ID progetto e ID progetto quota. Puoi copiare i valori dei parametri da qualsiasi altra integrazione Google Cloud , ad esempio l'integrazione di Cloud Asset Inventory.
  5. Fai clic su Salva.
  6. Fai clic su Test per testare la configurazione.
Abilita la correzione dei bucket pubblici per i playbook

Per attivare la correzione del bucket pubblico per i playbook dei risultati di postura, consulta Attivare la correzione del bucket pubblico.

Aggiornare i widget della visualizzazione delle richieste

  1. Nel menu di navigazione della console Security Operations, vai a Impostazioni > Impostazioni SOAR > Dati delle richieste > Viste.
  2. Seleziona Visualizzazione predefinita della richiesta.
  3. Seleziona la scheda Predefinito.

  4. Trascina i widget dalla scheda Predefinito nella Visualizzazione predefinita della richiesta nel seguente ordine consigliato:

    1. Riepilogo richiesta
    2. Percorso di attacco della combinazione tossica
    3. Risultati
    4. Indagine AI/Riepilogo di Gemini
    5. Riepilogo risultati
    6. SCC - Stato del risultato
    7. Asset interessati
    8. Informazioni sul biglietto
    9. Azioni in attesa
    10. Grafico delle entità
    11. Entità in evidenza

  5. Fai clic su Salva visualizzazione.

Convalidare i widget

Per assicurarti di ottenere le informazioni corrette, verifica che i seguenti widget contengano la condizione corretta:

  • Percorso di attacco della combinazione tossica
  • Risultato
  • Grafico delle entità
  • Indagine AI/Riepilogo di Gemini
  • Riepilogo dei risultati
  • Risorse interessate
  • SCC - Finding State
  • Asset interessati
  • Asset AWS interessati

Per convalidare i widget, completa i seguenti passaggi:

  1. Nel menu di navigazione della console Security Operations, vai a Impostazioni > Impostazioni SOAR > Dati dei casi > Viste.

  2. Seleziona Visualizzazione predefinita della richiesta.

  3. Per i widget Percorso di attacco della combinazione tossica e Risultato, fai clic su Impostazioni Configurazione.

    In Impostazioni avanzate, nella sezione Condizioni, la condizione deve essere la seguente: [Case.Tags] () Toxic Combination. In caso contrario, aggiorna la condizione e poi fai clic su Salva.

  4. Per i widget Grafico delle entità e Indagine AI/Riepilogo di Gemini, fai clic su Impostazioni Configurazione.

    In Impostazioni avanzate, nella sezione Condizioni, la condizione deve essere la seguente: [Case.Tags] !() Toxic Combination. In caso contrario, aggiorna la condizione e poi fai clic su Salva.

  5. Per il widget Riepilogo risultati, fai clic su Configurazione.

    In Impostazioni avanzate, nella sezione Condizioni, le condizioni devono essere le seguenti:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    In caso contrario, aggiorna le condizioni e poi fai clic su Salva.

  6. Per il widget Risorse interessate, fai clic su Configurazione impostazioni.

    In Impostazioni avanzate, nella sezione Condizioni, la condizione deve essere la seguente: [Case.Tags] () Toxic Combination. In caso contrario, aggiorna la condizione e poi fai clic su Salva.

  7. Per il widget SCC - Finding State, fai clic su Elimina. Quando si apre la finestra di dialogo di conferma, fai clic su .

    Per installare il widget SCC - Finding State configurato per l'ultima versione dello scenario d'uso, trascina il widget SCC - Finding State dalla scheda Predefinito nella Visualizzazione predefinita del caso.

  8. Per il widget Asset interessati, fai clic su Elimina. Quando si apre la finestra di dialogo di conferma, fai clic su .

    Per installare il widget Asset interessati configurato per l'ultima versione dello scenario d'uso, trascina il widget Asset interessati dalla scheda Predefinito nella Visualizzazione predefinita della richiesta.

  9. Per il widget Asset AWS interessati, fai clic su Elimina. Quando si apre la finestra di dialogo di conferma, fai clic su .

  10. Fai clic su Salva visualizzazione.

Abilita playbook

Per attivare i playbook per l'elaborazione di vulnerabilità ed errori di configurazione, completa i seguenti passaggi:

  1. Nel menu di navigazione della console Security Operations, vai a Risposta > Playbook.

  2. Seleziona la cartella Siemplify Use Cases.

    Se non hai eseguito l'integrazione con i sistemi di emissione di biglietti, assicurati che l'opzione Posture Findings – Generic sia attivata. L'attivazione del playbook Posture Findings – Generic – VM Manager è facoltativa.

    Se hai eseguito l'integrazione con i sistemi di emissione di biglietti, completa i seguenti passaggi:

    1. Seleziona il playbook Posture Findings – Generic.
    2. Sposta l'interruttore per disattivarla.
    3. Fai clic su Salva.
    4. Seleziona il playbook Posture Findings – Generic – VM Manager.
    5. Sposta l'interruttore per disattivarla.
    6. Fai clic su Salva.
    7. Se hai eseguito l'integrazione con Jira, seleziona il playbook Posture Findings With Jira.
      1. Attiva l'opzione per abilitare il playbook.
      2. Fai clic su Salva.
    8. Se hai eseguito l'integrazione con ServiceNow, seleziona il playbook Posture Findings with SNOW.
      1. Attiva l'opzione per abilitare il playbook.
      2. Fai clic su Salva.

Aggiornamento connettori

L'aggiornamento dello scenario d'uso non aggiorna automaticamente i connettori esistenti. Per assicurarti che l'importazione dati funzioni come previsto dopo l'aggiornamento dello scenario d'uso, aggiorna i connettori SCC Enterprise - Urgent Posture Findings e Google Chronicle - Chronicle Alerts.

Per aggiornare il connettore SCC Enterprise - Urgent Posture Findings, completa i seguenti passaggi:

  1. Nel menu di navigazione della console Security Operations, vai a Impostazioni > Impostazioni SOAR > Inserimento > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Posture Findings Connector. Si apre la pagina di configurazione dei parametri del connettore.
  3. Fai clic su Memorizzato nella cache Aggiorna.
  4. Imposta il parametro Esegui ogni su 1 minuto.
  5. Attiva/disattiva l'opzione per abilitare il connettore.
  6. Fai clic su Salva.

Per aggiornare il connettore Google Chronicle - Chronicle Alerts Connector, completa i seguenti passaggi:

  1. Nel menu di navigazione della console Security Operations, vai a Impostazioni > Impostazioni SOAR > Inserimento > Connettori.
  2. In GoogleChronicle, seleziona Google Chronicle - Chronicle Alerts Connector. Si apre la pagina di configurazione dei parametri del connettore.
  3. Fai clic su Memorizzato nella cache Aggiorna.
  4. Imposta il parametro Esegui ogni su 1 minuto.
  5. Nel campo del parametro Nome campo prodotto, inserisci SCCE.
  6. Attiva/disattiva l'opzione per abilitare il connettore.
  7. Fai clic su Salva.

Verificare la configurazione dell'aggiornamento

Per assicurarti che tutti i componenti del caso d'uso vengano aggiornati correttamente, testa il connettore e il job.

Testare il connettore

  1. Nel menu di navigazione della console Security Operations, vai a Impostazioni > Impostazioni SOAR > Ingestione > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Posture Findings Connector.
  3. Vai alla scheda Test.
  4. Fai clic su Esegui il connettore una volta. Se la configurazione del connettore è corretta, viene visualizzato il segno di spunta.

Testa il job

  1. Nel menu di navigazione della console Security Operations, vai a Risposta > Pianificatore di job.
  2. In GoogleSecurityCommandCenter, seleziona Sincronizza dati SCC.
  3. Fai clic su Esegui ora. Se il job funziona come previsto, lo stato è Success.

Risoluzione dei problemi

  • Il job Sincronizza dati SCC mostra il seguente errore:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Attendi 10 minuti e fai clic su Esegui ora. Se l'errore persiste, completa i seguenti passaggi:

    1. Nella sezione Parametri del job, elimina il valore parametro ID organizzazione.
    2. Inserisci il valore parametro ID organizzazione.
    3. Fai clic su Salva.
    4. Fai clic su Esegui ora.

  • Il job Sync SCC Data (Sincronizza dati SCC) mostra un errore di autenticazione quando non è stato possibile aggiornare automaticamente durante l'aggiornamento dello scenario d'uso. Per risolvere il problema del job di sincronizzazione, inserisci manualmente i valori per i parametri ID progetto e ID progetto quota.

    Per specificare i valori dei parametri corretti, completa i seguenti passaggi:

    1. Vai a Impostazioni > Impostazioni SOAR > Inserimento > Connettori.
    2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Posture Findings Connector.
    3. Nella sezione Parametri, copia il valore del parametro Quota Project ID.
    4. Vai a Risposta > Pianificatore di job.
    5. In SCCEnterprise, seleziona Sincronizza dati SCC.
    6. Nella sezione Parametri del job Sincronizza dati SCC, inserisci il valore copiato nei campi ID progetto e ID progetto quota.
    7. Fai clic su Salva.

  • Dopo l'aggiornamento dello scenario d'uso, i nuovi playbook non vengono applicati agli avvisi esistenti.

    Per applicare i nuovi playbook agli avvisi esistenti e eseguire nuovamente il rendering del widget Avviso, chiudi un caso e attendi che il connettore acquisisca di nuovo gli avvisi con i nuovi playbook allegati.