更新企业应用场景

SCC Enterprise - 云端编排和修复应用场景的 2024 年 12 月 18 日更新现已发布。请尽快更新使用情形。

此应用场景提供有关 Security Command Center Enterprise 层级的安全运营功能的更新。如需应用更新,请按照本页面中的步骤操作。

更新程序包括以下简要步骤:

  1. 通过停用连接器和删除某些现有 playbook 来准备系统以进行更新。
  2. 安装最新版本的 SCC Enterprise - 云端编排和修复应用场景。
  3. 验证安装并运行更新后的 playbook。

这些步骤是在设置 > SOAR 设置安全运维控制台页面中执行的。

确认您拥有所需的角色

如需完成此过程,您必须在安全运营控制台中获授以下任一 SOC 角色:

  • 管理员
  • Vulnerability Manager
  • Threat Manager

如需详细了解用户访问 Security Operations 控制台页面所需的 SOC 角色和权限,请参阅控制对 Security Operations 控制台页面中功能的访问权限

准备系统以进行更新

在更新应用场景之前,您需要停用 SCC Enterprise - Urgent Posture Findings 连接器,并删除当前应用场景版本提供的 playbook。

停用连接器

为避免出现未附加 Playbook 的提醒,请在删除 Playbook 之前停用 SCC Enterprise - Urgent Posture Findings Connector 连接器。当您更新并启用连接器时,Security Command Center 会提取在连接器停用期间收集的发现结果。

如需停用连接器,请完成以下步骤:

  1. 在 Security Operations 控制台导航中,依次前往设置 > SOAR 设置 > 提取 > 连接器
  2. SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings 连接器
  3. 切换开关以停用连接器。
  4. 点击保存

删除 playbook

为避免 playbook 重复,请删除当前用例版本中使用的默认 playbook。在升级使用情形之前删除剧本不会对支持请求管理产生任何影响。

如需删除默认 playbook,请完成以下步骤:

  1. 在 Security Operations 控制台导航栏中,依次前往响应 > 剧本。 下拉过滤条件默认设置为显示全部

  2. 选择 Siemplify Use Cases 文件夹。此文件夹包含以下默认 playbook:

    • AWS 威胁响应剧本
    • GCP 威胁响应实战宝典
    • IAM Recommender 响应
    • 安全状况发现结果 - 常规
    • 安全状况发现结果 - 通用 - 虚拟机管理器
    • 通过 Jira 查看安全状况发现结果
    • 通过 ServiceNow 发现的姿态问题
    • Google Cloud - 执行 - 挖矿
    • Google Cloud - 执行 - 加载的二进制文件或库已执行
    • Google Cloud - 执行 - 恶意网址脚本或 Shell 进程
    • Google Cloud - 持久性 - 可疑行为
    • Google Cloud - 持久性 - IAM 异常授权
    • 姿势 - 恶意组合剧本
    • 预览版 - Azure 威胁响应剧本

  3. 网页导航中,点击 修改以选择多个项目。

  4. 点击 Siemplify Use Cases 旁边的done_all 全选,以选择文件夹中的所有 playbook 和模块。

  5. 网页导航中,依次点击列表菜单 > 删除。系统会显示一个窗口,要求您确认或取消删除所选的剧本。

  6. 点击确认

    现在,您可以更新用例版本了。

安装 Security Command Center Enterprise 应用场景

将 SCC 企业用例安装到最新版本,并检查用例中提供的所有集成是否都是最新版本。

安装最新的应用场景

如需安装最新版本的 SCC Enterprise - 云端编排和修复应用场景,请完成以下步骤:

  1. 在 Security Operations 控制台导航栏中,依次前往 Marketplace > 使用情形
  2. 点击过滤条件图标 ,打开按类别过滤对话框。
  3. 按类别过滤对话框中,输入 SCC Enterprise。相应用例会显示在使用场景部分。

  4. SCC Enterprise - 云端编排和修复应用场景的说明中,查看是否有日期。

    • 如果日期早于 2024 年 7 月 10 日,或者说明中没有日期,请删除相应用例。系统会自动显示最新的使用情形,取代已删除的使用情形。

    • 如果 SCC Enterprise - 云端编排和修复应用场景中的日期为 2024 年 7 月 10 日或之后,请完成以下步骤,确认已安装最新应用场景中的 playbook:

      1. 点击相应的使用情形,打开安装向导。
      2. 展开“playbook”类别,并记下所有新的或更新的 playbook。
      3. 在 Security Operations 控制台的响应 > 剧本页面中,搜索新的或更新的剧本。如果您找到了新的或更新后的 playbook,则表示用例安装已完成。

  5. 如需完成应用场景的安装,请点击 SCC Enterprise - 云端编排和修复应用场景,然后按照安装向导中的说明操作。

应用并验证新使用情形中的配置

您需要验证最新使用情形中包含的各种功能是否已正确更新。对于某些功能,您需要手动应用新使用情形中的更新。

验证用例中的集成版本

用例中包含的集成的新版本每周都会发布。请尽快将集成更新到最新版本。

新版集成功能引入了多项更新,包括但不限于修复、新 widget 和操作、对现有 widget 和操作的更改、警报处理方面的增强功能,以及检测处理逻辑和工作流映射方面的改进。

如需应用集成更新,请完成以下步骤:

  1. 在 Security Operations 控制台导航栏中,依次前往Marketplace > 集成
  2. 类型字段中,选择所有集成
  3. 状态字段中,选择可升级。系统会显示所有需要升级的集成。
  4. 如需升级集成,请点击集成卡片中的 升级到版本 VERSION
  5. 如果系统显示正在更新 INTEGRATION 对话框,请点击确认
  6. 如果出现确认对话框,请点击批准
  7. 确认覆盖映射对话框中,选择以下选项:安装新的本体配置并覆盖现有配置,然后点击确认

您必须升级 SCC Enterprise 集成,并为所有升级后的集成安装新的本体配置。

配置 Cloud Storage 集成

为了修复公开存储桶 ACL 发现结果,SCC Enterprise - 云端编排和修复应用场景包含另一项集成,即 Cloud Storage 集成。

如需让 playbook 丰富和修复 PUBLIC BUCKET ACL 发现结果类型,请完成以下步骤来配置 Cloud Storage 集成:

  1. 配置集成参数。
  2. 为 playbook 启用公开存储桶补救功能。
配置集成参数

如需配置 Cloud Storage 集成参数,请完成以下步骤:

  1. 在 Security Operations 控制台导航栏中,依次前往Marketplace > 集成
  2. 搜索字段中,输入 Storage。系统会显示 Cloud Storage 集成卡片。
  3. 在集成卡片上,点击配置。系统随即会打开配置对话框。
  4. 配置 Workload Identity 电子邮件地址项目 ID配额项目 ID 参数。您可以从任何其他 Google Cloud 集成(例如 Cloud Asset Inventory 集成)复制参数值。
  5. 点击保存
  6. 点击测试以测试配置。
为 playbook 启用公开存储桶补救功能

如需为姿态发现 playbook 启用公开存储桶补救功能,请参阅启用公开存储桶补救功能

更新支持请求视图 widget

  1. 在 Security Operations 控制台导航栏中,依次前往设置 > SOAR 设置 > 支持请求数据 > 视图
  2. 选择默认支持请求视图
  3. 选择预定义标签页。

  4. 按照以下建议的顺序,将微件从预定义标签页拖动到默认支持请求视图中:

    1. 支持请求摘要
    2. 恶意组合攻击路径
    3. 发现结果
    4. AI 调查/Gemini 摘要
    5. 发现结果摘要
    6. SCC - 发现结果状态
    7. 受影响的资产
    8. 票务信息
    9. 待处理的操作
    10. 实体图
    11. 实体的突出显示字段

  5. 点击 Save View

验证 widget

为确保您获得正确的信息,请验证以下 widget 是否包含正确的条件:

  • 恶意组合攻击路径
  • 发现
  • 实体图
  • AI 调查/Gemini 摘要
  • 调查结果摘要
  • 受影响的资源
  • SCC - 发现状态
  • 受影响的资产
  • 受影响的 AWS 资产

如需验证 widget,请完成以下步骤:

  1. 在 Security Operations 控制台导航栏中,依次前往设置 > SOAR 设置 > 支持请求数据 > 视图

  2. 选择默认支持请求视图

  3. 对于恶意组合攻击路径发现结果 widget,请点击设置配置

    高级设置下的条件部分,条件应如下所示:[Case.Tags] () Toxic Combination。如果不是,请更新相应条件,然后点击保存

  4. 对于实体图AI 调查/Gemini 摘要 widget,请点击设置配置

    高级设置下的条件部分,条件应如下所示:[Case.Tags] !() Toxic Combination。 如果不是,请更新条件,然后点击保存

  5. 对于发现结果摘要 widget,请点击设置配置

    高级设置下的条件部分中,条件应如下所示:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    如果不是,请更新条件,然后点击保存

  6. 对于受影响的资源 widget,请点击设置 配置

    高级设置下的条件部分,条件应如下所示:[Case.Tags] () Toxic Combination。 如果不是,请更新条件,然后点击保存

  7. 对于 SCC - 发现结果状态 widget,点击删除。当确认对话框打开时,点击

    如需安装针对最新使用情形版本配置的 SCC - 发现结果状态 widget,请将 SCC - 发现结果状态 widget 从预定义标签页拖动到默认情形视图中。

  8. 对于受影响的资产 widget,请点击删除。当确认对话框打开时,点击

    如需安装为最新用例版本配置的受影响的资产 widget,请将受影响的资产 widget 从预定义标签页拖动到默认支持请求视图中。

  9. 对于受影响的 AWS 资产 widget,请点击删除。当确认对话框打开时,点击

  10. 点击 Save View

启用 Playbook

如需启用 playbook 以处理漏洞和错误配置,请完成以下步骤:

  1. 在 Security Operations 控制台导航栏中,依次前往响应 > 剧本

  2. 选择 Siemplify Use Cases 文件夹。

    如果您未与工单系统集成,请确保已启用姿势发现 - 常规。启用 Posture Findings - Generic - VM Manager playbook 是可选操作。

    如果您已与工单系统集成,请完成以下步骤:

    1. 选择 Posture Findings – Generic playbook。
    2. 切换开关以停用该功能。
    3. 点击保存
    4. 选择 Posture Findings – Generic – VM Manager playbook。
    5. 切换开关以停用该功能。
    6. 点击保存
    7. 如果您已与 Jira 集成,请选择 Posture Findings With Jira playbook。
      1. 切换开关以启用 playbook。
      2. 点击保存
    8. 如果您已与 ServiceNow 集成,请选择 Posture Findings with SNOW playbook。
      1. 切换开关以启用 playbook。
      2. 点击保存

更新连接器

更新使用情形不会自动更新现有连接器。为确保在更新使用情形后数据注入功能正常运行,请更新 SCC Enterprise - Urgent Posture Findings 连接器Google Chronicle - Chronicle Alerts 连接器

如需更新 SCC Enterprise - Urgent Posture Findings Connector 连接器,请完成以下步骤:

  1. 在 Security Operations 控制台导航栏中,依次前往设置 > SOAR 设置 > 提取 > 连接器
  2. SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings Connector。系统会打开连接器参数配置页面。
  3. 点击缓存 更新
  4. 运行频率参数设置为 1 分钟。
  5. 切换开关以启用连接器。
  6. 点击保存

如需更新 Google Chronicle - Chronicle Alerts 连接器,请完成以下步骤:

  1. 在 Security Operations 控制台导航栏中,依次前往设置 > SOAR 设置 > 提取 > 连接器
  2. GoogleChronicle 下,选择 Google Chronicle - Chronicle Alerts Connector。系统会打开连接器参数配置页面。
  3. 点击缓存 更新
  4. 运行频率参数设置为 1 分钟。
  5. 商品字段名称参数字段中,输入 SCCE
  6. 切换开关以启用连接器。
  7. 点击保存

验证更新配置

为确保所有用例组件都已成功更新,请测试连接器和作业。

测试连接器

  1. 在 Security Operations 控制台导航中,依次前往设置 > SOAR 设置 > 提取 > 连接器
  2. SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings 连接器
  3. 前往测试标签页。
  4. 点击运行连接器一次。如果连接器配置正确,则会显示对勾标记。

测试作业

  1. 在 Security Operations 控制台导航栏中,依次前往响应 > 作业调度程序
  2. GoogleSecurityCommandCenter 下,选择 Sync SCC Data
  3. 点击立即运行。如果作业按预期运行,则作业状态为 Success

问题排查

  • 同步 SCC 数据作业显示以下错误:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    等待 10 分钟,然后点击立即运行。如果错误仍然存在,请完成以下步骤:

    1. 在作业的参数部分中,删除组织 ID 参数值。
    2. 输入组织 ID 参数值。
    3. 点击保存
    4. 点击立即运行

  • 同步 SCC 数据作业在用例更新期间未能自动更新时,会显示身份验证错误。如需解决同步作业问题,请手动输入项目 ID配额项目 ID 参数的值。

    如需指定正确的参数值,请完成以下步骤:

    1. 依次前往设置 > SOAR 设置 > 提取 > 连接器
    2. SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings 连接器
    3. 参数部分中,复制配额项目 ID 参数的值。
    4. 依次前往响应 > 作业调度程序
    5. SCCEnterprise 下,选择 Sync SCC Data
    6. 同步 SCC 数据作业的参数部分中,将复制的值输入到项目 ID配额项目 ID 字段中。
    7. 点击保存

  • 更新使用情形后,新 playbook 不会应用于现有提醒。

    如需将新 playbook 应用于现有提醒并重新呈现提醒 widget,请关闭支持请求,然后等待连接器再次提取附加了新 playbook 的提醒。