更新 Enterprise 应用场景

2024 年 12 月 18 日有关 SCC Enterprise - 云端编排和修复应用场景的更新现已发布。请尽快更新应用场景。

此应用场景会更新 Security Command Center 企业方案层级的安全运维功能。如需应用更新,请按照本页面上的过程操作。

更新过程包括以下简要步骤:

  1. 通过停用连接器和删除某些现有 playbook 来准备系统以进行更新。
  2. 安装最新版本的 SCC Enterprise - 云端编排和修复应用场景。
  3. 验证安装并运行更新后的 playbook。

这些步骤是使用设置 > SOAR 设置 Security Operations 控制台页面执行的。

确认您拥有所需的角色

如需完成此过程,您必须在 Security Operations 控制台中获得以下任一 SOC 角色:

  • 管理员
  • Vulnerability Manager
  • Threat Manager

如需详细了解用户访问 Security Operations 控制台页面所需的 SOC 角色和权限,请参阅控制对 Security Operations 控制台页面中功能的访问权限

为更新准备系统

在更新应用场景之前,您需要停用 SCC Enterprise - Urgent Posture Findings Connector,并删除当前应用场景版本提供的 playbook。

停用连接器

为避免出现未附加 playbook 的提醒,请在删除 playbook 之前停用 SCC Enterprise - Urgent Posture Findings Connector 连接器。当您更新并启用连接器时,Security Command Center 会注入在连接器停用期间收集的发现结果。

如需停用连接器,请完成以下步骤:

  1. 在 Security Operations 控制台导航中,前往设置 > SOAR 设置 > 注入 > 连接器
  2. SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings Connector
  3. 切换开关以停用连接器。
  4. 点击保存

删除 playbook

为避免 playbook 重复,请删除当前应用场景版本中使用的默认 playbook。在升级应用场景之前删除 playbook 不会影响案例管理。

如需删除默认 playbook,请完成以下步骤:

  1. 在 Security Operations 控制台导航中,前往响应 > Playbook。 下拉过滤条件默认设置为全部显示

  2. 选择 Siemplify 应用场景文件夹。此文件夹包含以下默认 playbook:

    • AWS 威胁响应 Playbook
    • GCP 威胁响应 Playbook
    • IAM Recommender 响应
    • 安全状况发现结果 - 通用
    • 安全状况发现结果 - 通用 - 虚拟机管理器
    • Jira 安全状况发现结果
    • ServiceNow 安全状况发现结果
    • Google Cloud - 执行 - 加密货币挖矿
    • Google Cloud - 执行 - 执行了加载的二进制文件或库
    • Google Cloud - 执行 - 恶意网址脚本或 Shell 进程
    • Google Cloud - 持久化 - 可疑行为
    • Google Cloud - 持久化 - IAM 异常授权
    • 安全状况 - 恶意组合 Playbook
    • 预览版 - Azure 威胁响应 Playbook

  3. Playbook 页面导航中,点击 修改以选择多个项。

  4. 点击 Siemplify 应用场景 旁边的 done_all 全选,以选择文件夹中的所有 playbook 和区块。

  5. Playbook 页面导航中,点击列表菜单 > 删除。系统会显示一个窗口,要求您确认或取消删除所选 playbook。

  6. 点击确认

    现在,您可以更新应用场景版本了。

安装 Security Command Center 企业方案应用场景

安装最新版 SCC Enterprise 应用场景,并检查应用场景中提供的所有集成是否都是最新版本。

安装最新的应用场景

如需安装最新版本的 SCC Enterprise - 云端编排和修复应用场景,请完成以下步骤:

  1. 在 Security Operations 控制台导航中,前往 Marketplace > 应用场景
  2. 点击过滤条件图标 ,打开按类别过滤对话框。
  3. 按类别过滤对话框中,输入 SCC Enterprise。相应应用场景会显示在应用场景部分中。

  4. SCC Enterprise - 云端编排和修复应用场景的说明中,查看是否有日期。

    • 如果日期早于 2024 年 7 月 10 日,或者说明中没有日期,请删除相应应用场景。系统会显示最新的应用场景,取代自动删除的应用场景。

    • 如果 SCC Enterprise - 云端编排和修复应用场景中的日期为 2024 年 7 月 10 日或之后,请完成以下步骤,确认已安装最新应用场景中的 playbook:

      1. 点击相应的应用场景,打开安装向导。
      2. 展开 playbook 类别,并记下所有新的或更新后的 playbook。
      3. 在 Security Operations 控制台中的响应 > Playbook 页面上,搜索新的或更新后的 playbook。如果您找到了新的或更新后的 playbook,则表示应用场景安装已完成。

  5. 如需完成应用场景的安装,请点击 SCC Enterprise - 云端编排和修复应用场景,然后按照安装向导中的说明操作。

应用并验证新应用场景中的配置

您需要验证最新应用场景中包含的各种功能是否已正确更新。对于某些功能,您需要手动应用新应用场景中的更新。

验证应用场景中的集成版本

每周都会发布应用场景中包含的新版集成。请尽快将集成更新到最新版本。

新版集成引入了多项更新,包括但不限于修复、新 widget 和操作、对现有 widget 和操作的更改、提醒处理方面的增强功能,以及检测处理逻辑和工作流映射方面的改进。

如需应用集成更新,请完成以下步骤:

  1. 在 Security Operations 控制台导航中,前往 Marketplace > 集成
  2. 类型字段中,选择所有集成
  3. 状态字段中,选择有可用升级。系统会显示所有需要升级的集成。
  4. 如需升级集成,请在集成卡片中点击 升级到版本 VERSION
  5. 如果系统显示正在更新 INTEGRATION 对话框,请点击确认
  6. 如果系统显示确认对话框,请点击批准
  7. 确认覆盖映射对话框中,选择以下选项:安装新的本体配置并覆盖现有配置,然后点击确认

您必须升级 SCC Enterprise 集成,并为所有升级后的集成安装新的本体配置。

配置 Cloud Storage 集成

为了修复公开存储桶 ACL 发现结果,SCC Enterprise - 云端编排和修复应用场景包含一项额外的集成,即 Cloud Storage 集成。

如需让 playbook 丰富和修复 PUBLIC BUCKET ACL 发现结果类型,请完成以下步骤来配置 Cloud Storage 集成:

  1. 配置集成参数。
  2. 为 playbook 启用公开存储桶修复功能。
配置集成参数

如需配置 Cloud Storage 集成参数,请完成以下步骤:

  1. 在 Security Operations 控制台导航中,前往 Marketplace > 集成
  2. 搜索字段中,输入 Storage。 系统会显示 Cloud Storage 集成卡片。
  3. 在集成卡片上,点击配置。系统会打开配置对话框。
  4. 配置 Workload Identity 邮箱项目 ID配额项目 ID 参数。您可以从任何其他 Google Cloud 集成(例如 Cloud Asset Inventory 集成)复制参数值。
  5. 点击保存
  6. 点击测试以测试配置。
为 playbook 启用公开存储桶修复功能

如需为安全状况发现结果 playbook 启用公开存储桶修复功能,请参阅启用公开存储桶修复功能

更新案例视图 widget

  1. 在 Security Operations 控制台导航栏中,前往设置 > SOAR 设置 > 案例数据 > 视图
  2. 选择默认案例视图
  3. 选择预定义标签页。

  4. 按照以下建议的顺序,将 widget 从预定义标签页拖动到默认案例视图中:

    1. 案例摘要
    2. 恶意组合攻击路径
    3. 发现结果
    4. AI 调查/Gemini 摘要
    5. 发现结果摘要
    6. SCC - 发现结果状态
    7. 受影响的资产
    8. 工单信息
    9. 待处理的操作
    10. 实体图
    11. 实体的突出显示字段

  5. 点击 Save View

验证 widget

为确保您获得正确的信息,请验证以下 widget 是否包含正确的条件:

  • 恶意组合攻击路径
  • 发现结果
  • 实体图
  • AI 调查/Gemini 摘要
  • 发现结果摘要
  • 受影响的资源
  • SCC - 发现结果状态
  • 受影响的资产
  • 受影响的 AWS 资产

如需验证 widget,请完成以下步骤:

  1. 在 Security Operations 控制台导航中,前往设置 > SOAR 设置 > 案例数据 > 视图

  2. 选择默认案例视图

  3. 恶意组合攻击路径发现结果 widget 部分,点击设置配置

    高级设置下的条件部分中,条件应如下所示:[Case.Tags] () Toxic Combination。如果不是这样,请更新相应条件,然后点击保存

  4. 实体图AI 调查/Gemini 摘要 widget 部分,点击设置配置

    高级设置下的条件部分中,条件应如下所示:[Case.Tags] !() Toxic Combination。 如果不是这样,请更新相应条件,然后点击保存

  5. 发现结果摘要 widget 部分,点击设置配置

    高级设置下的条件部分中,条件应如下所示:

    • [Case.Tags] () SCC-TICKET-INFO
    • [Case.Tags] !() Toxic Combination
    • [Case.Tags] !() CIEM
    • [Event.parentDisplayName] !() VM Manager

    如果不是这样,请更新相应条件,然后点击保存

  6. 受影响的资源 widget 部分,点击设置配置

    高级设置下的条件部分中,条件应如下所示:[Case.Tags] () Toxic Combination。 如果不是这样,请更新相应条件,然后点击保存

  7. SCC - 发现结果状态 widget 部分,点击删除。当确认对话框打开时,点击

    如需安装针对最新应用场景版本配置的 SCC - 发现结果状态 widget,请将 SCC - 发现结果状态 widget 从预定义标签页拖动到默认案例视图中。

  8. 受影响的资产 widget 部分,点击删除。当确认对话框打开时,点击

    如需安装针对最新应用场景版本配置的受影响的资产 widget,请将受影响的资产 widget 从预定义标签页拖动到默认案例视图中。

  9. 受影响的 AWS 资产 widget 部分,点击删除。当确认对话框打开时,点击

  10. 点击 Save View

启用 Playbook

如需启用 playbook 以处理漏洞和错误配置,请完成以下步骤:

  1. 在 Security Operations 控制台导航中,前往响应 > Playbook

  2. 选择 Siemplify 应用场景文件夹。

    如果您未与工单系统集成,请确保已启用安全状况发现结果 - 通用。启用安全状况发现结果 - 通用 - 虚拟机管理器 playbook 是可选操作。

    如果您已与工单系统集成,请完成以下步骤:

    1. 选择安全状况发现结果 - 通用 playbook。
    2. 切换开关以停用该 playbook。
    3. 点击保存
    4. 选择安全状况发现结果 - 通用 - 虚拟机管理器 playbook。
    5. 切换开关以停用该 playbook。
    6. 点击保存
    7. 如果您已与 Jira 集成,请选择 Jira 安全状况发现结果playbook。
      1. 切换开关以启用该 playbook。
      2. 点击保存
    8. 如果您已与 ServiceNow 集成,请选择 SNOW 安全状况发现结果 playbook。
      1. 切换开关以启用该 playbook。
      2. 点击保存

更新连接器

更新应用场景不会自动更新现有连接器。为确保在更新应用场景后数据注入功能正常运行,请更新 SCC Enterprise - Urgent Posture Findings ConnectorGoogle Chronicle - Chronicle Alerts Connector 连接器。

如需更新 SCC Enterprise - Urgent Posture Findings Connector 连接器,请完成以下步骤:

  1. 在 Security Operations 控制台导航中,前往设置 > SOAR 设置 > 注入 > 连接器
  2. SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings Connector。系统会打开连接器参数配置页面。
  3. 点击已缓存更新
  4. 运行频率参数设置为 1 分钟。
  5. 切换开关以启用该连接器。
  6. 点击保存

如需更新 Google Chronicle - Chronicle Alerts Connector 连接器,请完成以下步骤:

  1. 在 Security Operations 控制台导航中,前往设置 > SOAR 设置 > 注入 > 连接器
  2. GoogleChronicle 下,选择 Google Chronicle - Chronicle Alerts Connector。系统会打开连接器参数配置页面。
  3. 点击已缓存更新
  4. 运行频率参数设置为 1 分钟。
  5. 产品字段名称参数字段中,输入 SCCE
  6. 切换开关以启用该连接器。
  7. 点击保存

验证更新配置

为确保所有应用场景组件都已成功更新,请测试连接器和作业。

测试连接器

  1. 在 Security Operations 控制台导航中,前往设置 > SOAR 设置 > 注入 > 连接器
  2. SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings Connector
  3. 前往测试标签页。
  4. 点击运行连接器一次。如果连接器配置正确,则会显示对勾标记。

测试作业

  1. 在 Security Operations 控制台导航中,前往响应 > 作业调度器
  2. GoogleSecurityCommandCenter下,选择同步 SCC 数据
  3. 点击立即运行。如果作业按预期运行,则作业状态为 Success

问题排查

  • 同步 SCC 数据作业显示以下错误:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    等待 10 分钟,然后点击立即运行。如果错误仍然存在,请完成以下步骤:

    1. 在作业的参数部分中,删除组织 ID 参数值。
    2. 输入组织 ID 参数值。
    3. 点击保存
    4. 点击立即运行

  • 同步 SCC 数据作业在应用场景更新期间未能自动更新时,会显示身份验证错误。如需解决同步作业问题,请手动输入项目 ID配额项目 ID 参数的值。

    如需指定正确的参数值,请完成以下步骤:

    1. 前往设置 > SOAR 设置 > 注入 > 连接器
    2. SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings Connector
    3. 参数部分中,复制配额项目 ID 参数的值。
    4. 前往响应 > 作业调度器
    5. SCCEnterprise 下,选择同步 SCC 数据
    6. 同步 SCC 数据作业的参数部分中,将复制的值输入到项目 ID配额项目 ID 字段中。
    7. 点击保存

  • 更新应用场景后,新 playbook 不会应用于现有提醒。

    如需将新 playbook 应用于现有提醒并重新呈现提醒 widget,请关闭案例,然后等待连接器再次注入附加了新 playbook 的提醒。