Atualizar o caso de uso empresarial

A atualização de 4 de setembro de 2024 do pacote SCC Enterprise – Cloud Orchestrator e correção já está disponível. Atualizar o caso de uso assim que possível.

Este caso de uso fornece atualizações para os recursos de operações de segurança do Nível empresarial do Security Command Center. Para aplicar as atualizações, siga os procedimentos nesta página.

O procedimento de atualização inclui estas etapas gerais:

1. Preparar o sistema para atualização desativando e excluindo um conector determinados playbooks.
2. Instale a versão mais recente do SCC Enterprise – Cloud Caso de uso de orquestração e correção.
3. Valide a instalação e execute os playbooks atualizados.

Verifique se você tem os papéis necessários

Para concluir esse procedimento, você precisa ter qualquer um dos seguintes papéis no console de Operações de Segurança:

• Administrador
• Gerenciador de vulnerabilidades
• Gerenciador de ameaças

Para mais detalhes sobre os papéis do SOC no console de Operações de Segurança e as permissões necessárias para os usuários, consulte Controle o acesso a recursos no console de operações de segurança.

Preparar o sistema para a atualização

Antes de atualizar o caso de uso, é preciso desativar o SCC Enterprise: conector de descobertas de posturas urgentes e excluir os playbooks fornecidos pela versão do caso de uso atual.

Desativar o conector

Para evitar alertas sem playbooks anexados, desative a Conector do SCC Enterprise: conector de descobertas de posturas urgentes antes de excluir playbooks. O Security Command Center ingere as descobertas coletadas enquanto o conector está desativado quando você o atualiza e ativa.

Para desativar o conector, siga estas etapas:

1. No console de Operações de Segurança, acesse Configurações > Configurações do SOAR > Ingestão > Conectores.
2. Em SCCEnterprise, selecione SCC Enterprise – Urgente Conector de descobertas de postura.
3. Alterne o botão para desativar o conector.
4. Clique em Salvar.

Excluir playbooks

Para evitar a duplicação do playbook, exclua os playbooks padrão que você usa na versão atual do seu caso de uso. Excluir playbooks antes de atualizar o caso de uso não afeta o gerenciamento de casos.

Para excluir playbooks padrão, conclua as etapas a seguir:

1. No console de Operações de Segurança, acesse Resposta > Playbooks. O filtro do menu suspenso é definido como Mostrar tudo por padrão.

2. Selecione a pasta Siemplify Use Cases. Essa pasta contém o seguinte playbooks padrão:

   • Manual de resposta a ameaças da AWS
   • Manual de resposta a ameaças do GCP
   • Resposta do recomendador do IAM
   • Descobertas de postura – Genérica
   • Descobertas de postura – Genérica – VM Manager
   • Descobertas de postura com o Jira
   • Descobertas de postura com o ServiceNow
   • Google Cloud – Execução – Criptomineração
   • Google Cloud – Execução – Binário ou biblioteca carregado Executada
   • Google Cloud – Execução – Shell ou script de URL malicioso Processo
   • Google Cloud – Persistência – Comportamento suspeito
   • Google Cloud – Persistência – Concessão anômala de IAM
   • Postura – Manual de combinação tóxica
   • Prévia – Manual de Resposta a Ameaças do Azure

3. Na navegação nas páginas Playbooks, clique em Editar para selecionar vários itens.

4. Ao lado de Siemplify Use Cases, clique em done_all Selecionar tudo para selecionar todos os playbooks e blocos da pasta.

5. Na navegação nas páginas Playbooks, clique em list Menu > Excluir. Será exibida uma janela que solicita a confirmação ou o cancelamento do exclusão dos playbooks selecionados.

6. Clique em Confirmar.

   Agora é possível atualizar a versão do caso de uso.

Instalar o caso de uso do Security Command Center Enterprise

Para instalar a versão mais recente do caso de uso do SCC Enterprise para a versão mais recente e verifique se todas as integrações fornecidas no caso de uso estão ativadas até o momento.

Instalar o caso de uso mais recente

Para instalar a versão mais recente do SCC Enterprise – Cloud Orquestração e correção, siga estas etapas:

1. No console do Security Operations, acesse Marketplace > Casos de uso.
2. Abra a caixa de diálogo Filtrar por categorias clicando no ícone de filtro.
3. Na caixa de diálogo Filtrar por categorias, digite SCC Enterprise. O caso de uso específico aparece na seção Casos de uso.

4. Na descrição do pacote SCC Enterprise – Cloud Orchestrator e correção, verifique se há uma data.

   • Se a data for anterior a 10 de julho de 2024 ou não houver data na descrição, exclua o caso de uso. Novidades caso de uso excluído apareça automaticamente no lugar do excluído.

   • Se a data no campo SCC Enterprise – Cloud o caso de uso de orquestração e correção é 10 de julho de 2024 ou posterior. confirmar que os playbooks no caso de uso mais recente são instalados seguindo estas etapas:

     1. Clique no caso de uso para abrir o assistente de instalação.
     2. Expanda a categoria "playbooks" e anote todas as atualizações playbooks.
     3. Na página Resposta > página playbooks no console de Operações de segurança, procure pelo playbook novo ou atualizado. Se você encontrar a versão nova atualizado, a instalação do caso de uso já estará concluída.

5. Para concluir a instalação do caso de uso, clique no botão SCC Enterprise – caso de uso de orquestração e correção do Cloud e siga as no assistente de instalação.

Aplique e valide as configurações do novo caso de uso

Você precisa validar se os diversos recursos incluídos no caso de uso mais recente sejam atualizados corretamente. Para determinados recursos, você precisa aplicar as atualizações do novo caso de uso manualmente.

Validar versões de integração no caso de uso

As novas versões das integrações incluídas no caso de uso estão disponíveis a cada semana. Atualizar as integrações para as versões mais recentes o quanto antes comodidade.

As novas versões de integrações apresentam atualizações, incluindo, mas não se limitando a, correções de problemas, novos widgets e ações, alterações em widgets e ações existentes, aprimoramentos no tratamento de alertas e melhorias na lógica do processamento de detecção e mapeamento de fluxos de trabalho.

Para aplicar as atualizações para integrações, siga estas etapas:

1. No console de Operações de segurança, acesse Marketplace > Integrações.
2. No campo Type, selecione All Integrations.
3. No campo Status, selecione Upgrade disponível. Todas as integrações que exigem upgrade são exibidas.
4. Para fazer upgrade de uma integração, clique em Fazer upgrade para a versão VERSION no card de integração.
5. Se a caixa de diálogo Atualizando INTEGRATION clique em Confirmar.
6. Se a caixa de diálogo Confirmação aparecer, clique em Aprovar.
7. Na caixa de diálogo Confirmar mapeamento de substituição, selecione a seguinte opção: Instalar a nova configuração da ontologia e substituir a atual. e clique em Confirmar.

Como fazer upgrade da integração do SCC Enterprise e instalar a nova ontologia configuração para todas as integrações atualizadas.

Configurar a integração do Cloud Storage

Para remediar as descobertas da ACL do bucket público, a atualização de 4 de setembro de 2024 do caso de uso SCC Enterprise – Cloud Orchestrator and Remediation introduziu uma integração adicional, a integração com o Cloud Storage.

Para permitir que os playbooks aperfeiçoem e corrijam o tipo de descoberta PUBLIC BUCKET ACL, configure a integração do Cloud Storage realizando as seguintes etapas:

1. Configure os parâmetros de integração.
2. Ativar a correção do bucket público para playbooks.

Configurar os parâmetros de integração

Para configurar os parâmetros de integração do Cloud Storage, conclua o etapas a seguir:

1. No console de Operações de segurança, acesse Marketplace > Integrações.
2. No campo Pesquisa, digite Storage. O Cloud Storage o card de integração é exibido.
3. No card de integração, clique em Configurar. Caixa de diálogo de configuração abre.
4. Configure o e-mail de Identidade da carga de trabalho, o ID do projeto e Parâmetros de ID do projeto de cota É possível copiar os valores de parâmetro outra integração do Google Cloud, como a do Inventário de recursos do Cloud.
5. Clique em Salvar.
6. Clique em Testar para testar a configuração.

Ativar a correção do bucket público para playbooks

Para ativar a correção de bucket público para os playbooks de descobertas de postura, consulte Ativar bucket público correção.

Atualizar widgets de visualização de casos

1. No console de Operações de Segurança, acesse Configurações > SOAR Configurações > Dados do caso > Visualizações.
2. Selecione Visualização de caso padrão.
3. Selecione a guia Predefinida.

4. Arraste os widgets da guia Predefinida para a Visualização de caso padrão. na seguinte ordem recomendada:

   1. Resumo do caso
   2. Caminho do ataque de combinação tóxica
   3. Descobertas
   4. Investigação de IA/Resumo do Gemini
   5. Resumo dos resultados
   6. SCC: estado de descoberta
   7. Recursos afetados
   8. Informações sobre passagens
   9. Ações pendentes
   10. Gráfico de entidades
   11. Destaques das entidades

5. Clique em Salvar visualização.

Validar widgets

Para garantir que você receba as informações corretas, confirme se os seguintes os widgets contêm a condição correta:

• Caminho de ataque de combinação tóxica
• Descoberta
• Gráfico de entidades
• Investigação de IA/Resumo do Gemini
• Resumo das descobertas
• SCC: estado da descoberta
• Recursos afetados
• Recursos da AWS afetados

Para validar os widgets, siga estas etapas:

1. No console de Operações de Segurança, vá para Configurações > Configurações do SOAR > Dados do caso > Visualizações.

2. Selecione Visualização de caso padrão.

3. Para os widgets Caminho de ataque de combinação tóxica e Descoberta, Clique em Configurações Configuração.

   Em Configurações avançadas, na seção Condições, a condição será o seguinte: [Case.Tags] () Toxic Combination. Caso contrário, atualize a condição e, em seguida, clique em Salvar.

4. Para o Gráfico de entidades e Investigação de IA/Resumo do Gemini widgets, clique em Configurações Configuração.

   Em Configurações avançadas, na seção Condições, o deve ser a seguinte: [Case.Tags] !() Toxic Combination. Caso contrário, atualize a condição e clique em Salvar.

5. No widget Resumo de descobertas, clique em settingsConfiguration.

   Em Configurações avançadas, na seção Condições, o deve ser o seguinte:

   • [Case.Tags] () SCC-TICKET-INFO
   • [Case.Tags] !() Toxic Combination
   • [Case.Tags] !() CIEM
   • [Event.parentDisplayName] !() VM Manager

   Caso contrário, atualize as condições e clique em Salvar.

6. Para o widget SCC: estado da descoberta, clique em Excluir. Quando o clique em Sim.

   Para instalar o widget SCC – Finding State configurado para a versão mais recente do caso de uso atual, arraste o widget SCC – Estado de descoberta do Predefinido na Visualização de caso padrão.

7. No widget Recursos afetados, clique em Excluir. Quando o clique em Sim.

   Para instalar o widget Recursos afetados configurado para a versão mais recente do caso de uso atual, arraste o widget Recursos afetados na Predefinido na Visualização de caso padrão.

8. Para o widget Impacted AWS Assets, clique em Delete. Quando o clique em Sim.

9. Clique em Salvar visualização.

Ativar playbooks

Para ativar os playbooks para processamento de vulnerabilidades e configurações incorretas, siga estas etapas:

1. No console de Operações de Segurança, acesse Resposta > Playbooks.

2. Selecione a pasta Siemplify Use Cases.

   Se você não fez a integração com sistemas de emissão de tíquetes, garanta que o A opção Descobertas de postura – Genérica está ativada. Ativando a postura de descobertas – Genérico – VM Manager é opcional.

   Se você fez a integração com sistemas de tíquetes, siga estas etapas:

   1. Selecione o playbook Descobertas de postura – Genérica.
   2. Alterne o botão para desativá-la.
   3. Clique em Salvar.
   4. Selecione Descobertas de postura – Genérica – VM Manager playbook.
   5. Alterne o botão para desativá-la.
   6. Clique em Salvar.
   7. Se você fez a integração com o Jira, selecione Descobertas de postura com o Jira playbook.
      1. Alterne o botão para ativar o playbook.
      2. Clique em Salvar.
   8. Se você fez a integração com o ServiceNow, selecione a opção Descobertas de postura com ServiceNow (em inglês).
      1. Alterne o botão para ativar o playbook.
      2. Clique em Salvar.

Atualizar conectores

Atualizar o caso de uso não atualiza os conectores atuais automaticamente. Para garantir que a ingestão de dados funcione conforme o esperado após a atualização do caso de uso, atualize o conector SCC Enterprise – Urgente de descobertas de postura e Conectores do Google Chronicle: conector de alertas do Chronicle.

Para atualizar o conector SCC Enterprise – Descobertas de posturas urgentes do conector, siga estas etapas:

1. No console de Operações de Segurança, acesse Configurações > SOAR Configurações > Processamento > Conectores.
2. Em SCCEnterprise, selecione SCC Enterprise: conector de descobertas de posturas urgentes. O conector de parâmetros de configuração é aberta.
3. Clique em Atualizar em cache.
4. Defina o parâmetro Run Every como 1 minuto.
5. Alterne o botão para ativar o conector.
6. Clique em Salvar.

Para atualizar o Google Chronicle: conector de alertas do Chronicle. do conector, siga estas etapas:

1. No console de Operações de Segurança, acesse Configurações > SOAR Configurações > Processamento > Conectores.
2. Em GoogleChronicle, selecione Google Chronicle – Chronicle Alerts. Conector. A página de configuração dos parâmetros do conector será aberta.
3. Clique em Atualizar em cache.
4. Defina o parâmetro Run Every como 1 minuto.
5. No campo de parâmetro Nome do campo do produto, insira SCCE.
6. Alterne o botão para ativar o conector.
7. Clique em Salvar.

Verificar a configuração da atualização

Para garantir que todos os componentes do caso de uso sejam atualizados, teste o conector e job.

Testar o conector

1. No console de Operações de Segurança, vá para Configurações > Configurações do SOAR > Processamento > Conectores.
2. Em SCCEnterprise, selecione SCC Enterprise – Urgente Conector de descobertas de postura.
3. Acesse a guia Testes.
4. Clique em Executar conector uma vez. Se a configuração do conector estiver correta, a marca de seleção aparecerá.

Testar o job

1. No console de Operações de Segurança, acesse Resposta > Programador de jobs.
2. Em GoogleSecurityCommandCenter, selecione Sincronizar dados do SCC.
3. Clique em Executar agora. Se o job funcionar como esperado, o status dele será Success.

Solução de problemas

• O job Sincronizar dados do SCC exibe o seguinte erro:

  TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)
  

  Aguarde dez minutos e clique em Executar agora. Se o erro persistir, conclua as seguintes etapas:

  1. Na seção Parâmetros do job, exclua o ID da organização. .
  2. Insira o valor do parâmetro ID da organização.
  3. Clique em Salvar.
  4. Clique em Executar agora.

• O job Sincronizar dados do SCC mostra um erro de autenticação quando serão atualizadas automaticamente durante a atualização do caso de uso. Para corrigir a sincronização problema no job, insira manualmente os valores de ID do projeto e Cota Parâmetros de ID do projeto.

  Para especificar os valores de parâmetro corretos, siga estas etapas:

  1. Acesse Configurações > Configurações do SOAR > Processamento > Conectores.
  2. Em SCCEnterprise, selecione SCC Enterprise – Urgente Conector de descobertas de postura.
  3. Na seção Parâmetros, copie o valor do ID do projeto de cota. .
  4. Acesse Resposta > Programador de jobs.
  5. Em SCCEnterprise, selecione Sincronizar dados do SCC.
  6. Na seção Parâmetros do job Sincronizar dados do SCC, insira o valor copiado nos campos ID do projeto e ID do projeto de cota.
  7. Clique em Salvar.

• Após a atualização do caso de uso, os novos playbooks não se aplicam aos alertas existentes.

  aplicar os novos playbooks a alertas existentes e renderizar novamente o Alert (em inglês). widget, encerre um caso e aguarde até que o conector processe os alertas outra vez com os novos playbooks anexados.