Atualizar o caso de uso empresarial

A atualização de 18 de dezembro de 2024 do caso de uso SCC Enterprise – orquestração e correção na nuvem já está disponível. Atualize o caso de uso assim que possível.

Este caso de uso fornece atualizações sobre os recursos de operações de segurança do nível Enterprise do Security Command Center. Para aplicar as atualizações, siga os procedimentos nesta página.

O procedimento de atualização inclui as seguintes etapas de alto nível:

  1. Prepare o sistema para atualização desativando um conector e excluindo alguns playbooks atuais.
  2. Instale a versão mais recente do caso de uso SCC Enterprise – orquestração e correção na nuvem.
  3. Valide a instalação e execute os playbooks atualizados.

Estas etapas são realizadas usando a página do console de operações de segurança Configurações > Configurações do SOAR.

Confirme se você tem os papéis necessários

Para concluir este procedimento, você precisa ter uma das seguintes funções do SOC no console do Security Operations:

  • Administrador
  • Gerente de vulnerabilidades
  • Gerenciador de ameaças

Para mais detalhes sobre os papéis e as permissões do SOC necessários para que os usuários acessem as páginas do console do Security Operations, consulte Controlar o acesso aos recursos nas páginas do console do Security Operations.

Preparar o sistema para a atualização

Antes de atualizar o caso de uso, desative o Conector de descobertas de posturas urgentes do SCC Enterprise e exclua os playbooks fornecidos pela versão atual do caso de uso.

Desativar o conector

Para evitar alertas sem playbooks anexados, desative o conector SCC Enterprise – Urgent Posture Findings Connector antes de excluir os playbooks. O Security Command Center ingere as descobertas coletadas enquanto o conector está desativado quando você o atualiza e ativa.

Para desativar o conector, siga estas etapas:

  1. Na navegação do console do Security Operations, acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
  2. Em SCCEnterprise, selecione Conector de descobertas de posturas urgentes do SCC Enterprise.
  3. Mova o botão para desativar o conector.
  4. Clique em Salvar.

Excluir playbooks

Para evitar a duplicação de playbooks, exclua os padrões que você usa na versão atual do seu caso de uso. A exclusão de playbooks antes de fazer upgrade do caso de uso não afeta o gerenciamento de casos.

Para excluir playbooks padrão, siga estas etapas:

  1. Na navegação do console Security Operations, acesse Resposta > Playbooks. Por padrão, o filtro do menu suspenso é definido como Mostrar tudo.

  2. Selecione a pasta Casos de uso do Siemplify. Essa pasta contém os seguintes playbooks padrão:

    • Manual de resposta a ameaças da AWS
    • Manual de resposta a ameaças do GCP
    • Resposta do recomendador do IAM
    • Descobertas de postura – genérico
    • Descobertas de postura – genérico – VM Manager
    • Descobertas de postura com o Jira
    • Descobertas de postura com o ServiceNow
    • Google Cloud – Execução – Mineração de criptomoedas
    • Google Cloud – Execution – Binary or Library Loaded Executed
    • Google Cloud – Execution – Malicious URL Script or Shell Process
    • Google Cloud – Persistence – Suspicious Behaviour
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Postura: manual de estratégia de combinação tóxica
    • Prévia: manual de resposta a ameaças do Azure

  3. Na navegação da página Playbooks, clique em Editar para selecionar vários itens.

  4. Ao lado de Casos de uso do Siemplify, clique em done_all Selecionar tudo para selecionar todos os playbooks e blocos na pasta.

  5. Na navegação da página Playbooks, clique em Menu lista > Excluir. Uma janela vai aparecer para você confirmar ou cancelar a exclusão dos playbooks selecionados.

  6. Clique em Confirmar.

    Agora você pode atualizar a versão do caso de uso.

Instalar o caso de uso do Security Command Center Enterprise

Para instalar a versão mais recente do caso de uso do SCC Enterprise e verificar se todas as integrações fornecidas no caso de uso estão atualizadas, faça o seguinte:

Instalar o caso de uso mais recente

Para instalar a versão mais recente do caso de uso SCC Enterprise – orquestração e correção na nuvem, siga estas etapas:

  1. Na navegação do console do Security Operations, acesse Marketplace > Casos de uso.
  2. Abra a caixa de diálogo Filtrar por categorias clicando no ícone de filtro, .
  3. Na caixa de diálogo Filtrar por categorias, digite SCC Enterprise. O caso de uso aparece na seção Casos de uso.

  4. Na descrição do caso de uso SCC Enterprise – orquestração e correção na nuvem, verifique se há uma data.

    • Se a data for anterior a 10 de julho de 2024 ou não houver data na descrição, exclua o caso de uso. O caso de uso mais recente aparece automaticamente no lugar do excluído.

    • Se a data no caso de uso SCC Enterprise – Orquestração e correção na nuvem for 10 de julho de 2024 ou posterior, confirme se os playbooks no caso de uso mais recente estão instalados seguindo estas etapas:

      1. Clique no caso de uso para abrir o assistente de instalação.
      2. Abra a categoria "Playbooks" e observe os playbooks novos ou atualizados.
      3. Na página Resposta > Playbooks do console do Security Operations, pesquise o playbook novo ou atualizado. Se você encontrar o playbook novo ou atualizado, a instalação do caso de uso já estará concluída.

  5. Para concluir a instalação do caso de uso, clique em SCC Enterprise – orquestração e correção na nuvem e siga as instruções no assistente de instalação.

Aplicar e validar configurações do novo caso de uso

Você precisa validar se os vários recursos incluídos no caso de uso mais recente estão atualizados corretamente. Para alguns recursos, é necessário aplicar as atualizações do novo caso de uso manualmente.

Validar versões de integração no caso de uso

As novas versões das integrações incluídas no caso de uso ficam disponíveis toda semana. Atualize as integrações para as versões mais recentes assim que possível.

As novas versões das integrações trazem atualizações, incluindo, entre outras coisas, correções, novos widgets e ações, mudanças em widgets e ações atuais, melhorias no processamento de alertas e na lógica de detecção e mapeamento de fluxo de trabalho.

Para aplicar as atualizações das integrações, siga estas etapas:

  1. Na navegação do console do Security Operations, acesse Marketplace > Integrações.
  2. No campo Tipo, selecione Todas as integrações.
  3. No campo Status, selecione Upgrade disponível. Todas as integrações que exigem um upgrade são mostradas.
  4. Para fazer upgrade de uma integração, clique em Fazer upgrade para a versão VERSION no card da integração.
  5. Se a caixa de diálogo Atualizando INTEGRATION aparecer, clique em Confirmar.
  6. Se a caixa de diálogo Confirmação aparecer, clique em Aprovar.
  7. Na caixa de diálogo Confirmar substituição do mapeamento, selecione a seguinte opção: Instalar a nova configuração de ontologia e substituir a existente e clique em Confirmar.

É necessário fazer upgrade da integração do SCC Enterprise e instalar a nova configuração de ontologia em todas as integrações atualizadas.

Configurar a integração do Cloud Storage

Para corrigir as descobertas de ACL de bucket público, o caso de uso SCC Enterprise – Orquestração e correção do Cloud inclui uma integração adicional, a integração do Cloud Storage.

Para permitir que os manuais enriqueçam e corrijam o tipo de descoberta PUBLIC BUCKET ACL, configure a integração do Cloud Storage seguindo estas etapas:

  1. Configure os parâmetros de integração.
  2. Ative a correção de buckets públicos para playbooks.
Configurar os parâmetros de integração

Para configurar os parâmetros de integração do Cloud Storage, siga estas etapas:

  1. Na navegação do console do Security Operations, acesse Marketplace > Integrações.
  2. No campo Pesquisar, insira Storage. O card de integração do Cloud Storage aparece.
  3. No card de integração, clique em Configurar. A caixa de diálogo de configuração é aberta.
  4. Configure os parâmetros E-mail da Identidade da carga de trabalho, ID do projeto e ID do projeto de cota. É possível copiar os valores de parâmetro de qualquer outra integração do Google Cloud , como a do Inventário de recursos do Cloud.
  5. Clique em Salvar.
  6. Clique em Testar para testar a configuração.
Ativar a correção de buckets públicos para playbooks

Para ativar a correção de bucket público para os playbooks de descobertas de postura, consulte Ativar a correção de bucket público.

Atualizar widgets de visualização de caso

  1. Na navegação do console Security Operations, acesse Configurações > Configurações do SOAR > Dados de caso > Visualizações.
  2. Selecione Visualização padrão de caso.
  3. Selecione a guia Predefinida.

  4. Arraste os widgets da guia Predefinido para a Visualização padrão de caso na seguinte ordem recomendada:

    1. Resumo do caso
    2. Caminho do ataque de combinação tóxica
    3. Descobertas
    4. Investigação de IA/Resumo do Gemini
    5. Resumo dos resultados
    6. SCC – Estado da descoberta
    7. Recursos afetados
    8. Informações sobre passagens
    9. Ações pendentes
    10. Gráfico de entidades
    11. Destaques das entidades

  5. Clique em Salvar visualização.

Validar widgets

Para garantir que você receba as informações corretas, valide se os seguintes widgets contêm a condição correta:

  • Caminho do ataque de combinação tóxica
  • Descoberta
  • Gráfico de entidades
  • Investigação de IA/Resumo do Gemini
  • Resumo dos resultados
  • Recursos afetados
  • SCC – Estado da descoberta
  • Recursos afetados
  • Ativos da AWS afetados

Para validar os widgets, siga estas etapas:

  1. Na navegação do console do Security Operations, acesse Configurações > Configurações do SOAR > Dados de caso > Visualizações.

  2. Selecione Visualização padrão de caso.

  3. Nos widgets Caminho do ataque de combinação tóxica e Descoberta, clique em Configurações Configuração.

    Em Configurações avançadas, na seção Condições, a condição deve ser a seguinte: [Case.Tags] () Toxic Combination. Se não estiver, atualize a condição e clique em Salvar.

  4. Nos widgets Gráfico de entidades e Investigação de IA/Resumo do Gemini, clique em Configurações Configuração.

    Em Configurações avançadas, na seção Condições, a condição deve ser a seguinte: [Case.Tags] !() Toxic Combination. Se não estiver, atualize a condição e clique em Salvar.

  5. No widget Resumo de descobertas, clique em ConfiguraçõesConfiguração.

    Em Configurações avançadas, na seção Condições, as condições devem ser as seguintes:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    Se não estiver, atualize as condições e clique em Salvar.

  6. No widget Recursos afetados, clique em Configurações Configuração.

    Em Configurações avançadas, na seção Condições, a condição deve ser a seguinte: [Case.Tags] () Toxic Combination. Se não estiver, atualize a condição e clique em Salvar.

  7. No widget SCC – Estado da descoberta, clique em Excluir. Quando a caixa de diálogo de confirmação abrir, clique em Sim.

    Para instalar o widget SCC – Finding State configurado para a versão mais recente do caso de uso, arraste o widget SCC – Finding State da guia Predefined para a Default Case View.

  8. No widget Recursos afetados, clique em Excluir. Quando a caixa de diálogo de confirmação abrir, clique em Sim.

    Para instalar o widget Ativos afetados configurado para a versão mais recente do caso de uso, arraste o widget Ativos afetados da guia Predefinido para a Visualização padrão do caso.

  9. No widget Recursos afetados da AWS, clique em Excluir. Quando a caixa de diálogo de confirmação abrir, clique em Sim.

  10. Clique em Salvar visualização.

Ativar playbooks

Para ativar os playbooks para processar vulnerabilidades e erros de configuração, siga estas etapas:

  1. Na navegação do console Security Operations, acesse Resposta > Playbooks.

  2. Selecione a pasta Casos de uso do Siemplify.

    Se você não fez a integração com sistemas de emissão de passagens, verifique se a Postura – genérica está ativada. A ativação do playbook Postura Findings – Generic – VM Manager é opcional.

    Se você fez a integração com sistemas de emissão de passagens, siga estas etapas:

    1. Selecione o playbook Descobertas de postura – genérico.
    2. Mova o botão para desativar.
    3. Clique em Salvar.
    4. Selecione o playbook Descobertas de postura – Genérico – VM Manager.
    5. Mova o botão para desativar.
    6. Clique em Salvar.
    7. Se você fez a integração com o Jira, selecione o playbook Postura Findings With Jira.
      1. Mova a chave para ativar o playbook.
      2. Clique em Salvar.
    8. Se você fez a integração com o ServiceNow, selecione o playbook Descobertas de postura com SNOW.
      1. Mova a chave para ativar o playbook.
      2. Clique em Salvar.

Atualizar conectores

Atualizar o caso de uso não atualiza os conectores atuais automaticamente. Para garantir que a ingestão de dados funcione conforme o esperado após a atualização do caso de uso, atualize os conectores SCC Enterprise – Urgent Posture Findings Connector e Google Chronicle – Chronicle Alerts Connector.

Para atualizar o conector SCC Enterprise – Urgent Posture Findings Connector, siga estas etapas:

  1. Na navegação do console do Security Operations, acesse Configurações > SOAR Configurações > Ingestão > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise – conector de descobertas de posturas urgentes. A página de configuração de parâmetros do conector é aberta.
  3. Clique em em cache Atualizar.
  4. Defina o parâmetro Executar a cada como 1 minuto.
  5. Mova a chave para ativar o conector.
  6. Clique em Salvar.

Para atualizar o conector Google Chronicle – Chronicle Alerts Connector, siga estas etapas:

  1. Na navegação do console do Security Operations, acesse Configurações > SOAR Configurações > Ingestão > Conectores.
  2. Em GoogleChronicle, selecione Google Chronicle – conector de alertas do Chronicle. A página de configuração de parâmetros do conector é aberta.
  3. Clique em em cache Atualizar.
  4. Defina o parâmetro Executar a cada como 1 minuto.
  5. No campo de parâmetro Nome do campo do produto, insira SCCE.
  6. Mova a chave para ativar o conector.
  7. Clique em Salvar.

Verificar a configuração de atualização

Para garantir que todos os componentes do caso de uso sejam atualizados, teste o conector e o job.

Testar o conector

  1. Na navegação do console do Security Operations, acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
  2. Em SCCEnterprise, selecione Conector de descobertas de posturas urgentes do SCC Enterprise.
  3. Acesse a guia Testes.
  4. Clique em Executar o conector uma vez. Se a configuração do conector estiver correta, a marca de seleção vai aparecer.

Testar o job

  1. Na navegação do console do Security Operations, acesse Resposta > Programador de jobs.
  2. Em GoogleSecurityCommandCenter, selecione Sincronizar dados do SCC.
  3. Clique em Executar agora. Se o job funcionar conforme esperado, o status dele será Success.

Solução de problemas

  • O job Sincronizar dados do SCC mostra o seguinte erro:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Aguarde dez minutos e clique em Executar agora. Se o erro persistir, siga estas etapas:

    1. Na seção Parâmetros do job, exclua o valor do parâmetro ID da organização.
    2. Insira o valor do parâmetro ID da organização.
    3. Clique em Salvar.
    4. Clique em Executar agora.

  • O job Sincronizar dados do SCC mostra um erro de autenticação quando não é possível atualizar automaticamente durante a atualização do caso de uso. Para corrigir o problema do job de sincronização, insira manualmente os valores dos parâmetros ID do projeto e ID do projeto de cota.

    Para especificar os valores de parâmetro corretos, siga estas etapas:

    1. Acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
    2. Em SCCEnterprise, selecione Conector de descobertas de postura urgentes do SCC Enterprise.
    3. Na seção Parâmetros, copie o valor do parâmetro ID do projeto de cota.
    4. Acesse Resposta > Job Scheduler.
    5. Em SCCEnterprise, selecione Sincronizar dados do SCC.
    6. Na seção Parâmetros do job Sincronizar dados do SCC, insira o valor copiado nos campos ID do projeto e ID do projeto de cota.
    7. Clique em Salvar.

  • Depois da atualização do caso de uso, os novos playbooks não se aplicam aos alertas atuais.

    Para aplicar os novos playbooks aos alertas atuais e renderizar novamente o widget Alerta, feche um caso e aguarde até que o conector ingira alertas novamente com os novos playbooks anexados.