更新 Enterprise 用途

SCC Enterprise - Cloud Orchestration and Remediation 用途的 2024 年 12 月 18 日更新現已推出。請盡快更新用途。

本使用案例提供 Security Command Center Enterprise 級別安全營運功能的最新資訊。如要套用更新，請按照本頁的程序操作。

更新程序包含下列高階步驟：

1. 停用連結器並刪除特定現有劇本，為系統更新做好準備。
2. 安裝最新版 SCC Enterprise - Cloud Orchestration and Remediation 用途。
3. 驗證安裝作業，並執行更新後的應對手冊。

這些步驟是在「設定」> SOAR 設定 安全營運控制台頁面中執行。

確認您具備必要角色

如要完成這項程序，您必須在 Security Operations 控制台中獲派下列任一 SOC 角色：

• 管理員
• 安全漏洞管理員
• 威脅管理員

如要進一步瞭解使用者存取 Security Operations 控制台頁面所需的 SOC 角色和權限，請參閱「控管 Security Operations 控制台頁面中功能的存取權」。

準備更新系統

更新用途前，請先停用 SCC Enterprise - Urgent Posture Findings Connector，並刪除目前用途版本提供的劇本。

停用連接器

為避免快訊沒有附加應對手冊，請先停用 SCC Enterprise - Urgent Posture Findings Connector 連接器，再刪除應對手冊。更新並啟用連接器後，Security Command Center 會擷取連接器停用期間收集到的發現項目。

如要停用連接器，請完成下列步驟：

1. 在 Security Operations 控制台導覽中，依序前往「Settings」>「SOAR Settings」>「Ingestion」>「Connectors」。
2. 在「SCCEnterprise」下方，選取「SCC Enterprise - Urgent Posture Findings Connector」。
3. 切換切換鈕即可停用連接器。
4. 按一下 [儲存]。

刪除應對手冊

為避免應對手冊重複，請刪除目前用例版本中使用的預設應對手冊。在升級用途前刪除劇本，不會對案件管理造成影響。

如要刪除預設劇本，請完成下列步驟：

1. 在 Security Operations 控制台導覽中，依序前往「Response」>「Playbooks」。下拉式篩選器預設為「顯示全部」。

2. 選取「Siemplify Use Cases」資料夾。這個資料夾包含下列預設劇本：

   • AWS 威脅回應劇本
   • GCP 威脅回應劇本
   • IAM 推薦功能回應
   • 防護機制發現項目 - 一般
   • 防護機制發現項目 - 一般 - VM 管理員
   • Jira 防護機制發現項目
   • 透過 ServiceNow 取得防護機制調查結果
   • Google Cloud - Execution - Cryptomining
   • Google Cloud - Execution - Binary or Library Loaded Executed
   • Google Cloud - Execution - Malicious URL Script or Shell Process
   • Google Cloud - 持續性 - 可疑行為
   • Google Cloud - Persistence - IAM Anomalous Grant
   • 防護機制 - 有害組合教戰手冊
   • 預先發布版 - Azure 威脅回應教戰手冊

3. 在「劇本」頁面導覽中，按一下 「編輯」，即可選取多個項目。

4. 在「Siemplify Use Cases」旁，按一下「done_all」done_all「全選」，選取資料夾中的所有劇本和區塊。

5. 在「劇本」頁面導覽中，依序點按「清單」選單 >「刪除」。系統會顯示視窗，要求你確認或取消刪除所選劇本。

6. 按一下「確認」。

   現在可以更新用途版本。

安裝 Security Command Center Enterprise 用途

如要安裝最新版 SCC Enterprise 用途，請更新至最新版本，並確認用途中提供的所有整合項目都是最新版本。

安裝最新用途

如要安裝最新版本的「SCC Enterprise - Cloud Orchestration and Remediation」用例，請完成下列步驟：

1. 在 Security Operations 控制台導覽中，依序前往「Marketplace」>「Use Cases」。
2. 按一下篩選器圖示 ，開啟「依類別篩選」對話方塊。
3. 在「依類別篩選」對話方塊中輸入 SCC Enterprise。用途會顯示在「Use Cases」部分。

4. 在「SCC Enterprise - Cloud Orchestration and Remediation」用例的說明中，檢查是否有日期。

   • 如果日期早於 2024 年 7 月 10 日，或說明中沒有日期，請刪除用途。系統會自動以最新用途取代已刪除的用途。

   • 如果 SCC Enterprise - Cloud Orchestration and Remediation 用例的日期為 2024 年 7 月 10 日或之後，請完成下列步驟，確認已安裝最新用例中的劇本：

     1. 按一下所需用途，開啟安裝精靈。
     2. 展開「劇本」類別，並留意任何新劇本或更新劇本。
     3. 在 Security Operations 控制台的「回應」>「劇本」頁面中，搜尋新的或更新的劇本。如果找到新的或更新的劇本，代表使用案例安裝作業已完成。

5. 如要完成安裝，請按一下「SCC Enterprise - Cloud Orchestration and Remediation」用例，然後按照安裝精靈中的指示操作。

套用並驗證新用途的設定

您必須驗證最新用途中包含的各項功能是否已正確更新。部分功能需要手動套用新用途的更新。

驗證用途中的整合版本

每週都會推出應用情境中整合服務的新版本。請盡快將整合功能更新至最新版本。

新版整合服務會推出更新，包括但不限於修正錯誤、新增小工具和動作、變更現有小工具和動作、改善快訊處理方式，以及提升偵測處理邏輯和工作流程對應。

如要套用整合的更新，請完成下列步驟：

1. 在 Security Operations 控制台導覽中，依序前往「Marketplace」>「Integrations」。
2. 在「類型」欄位中，選取「所有整合」。
3. 在「狀態」欄位中，選取「可升級」。系統會顯示所有需要升級的整合服務。
4. 如要升級整合服務，請按一下整合服務資訊卡中的「升級至版本」VERSION。
5. 如果出現「正在更新」INTEGRATION對話方塊，請按一下「確認」。
6. 如果出現「確認」對話方塊，請按一下「核准」。
7. 在「Confirm Overwrite Mapping」對話方塊中，選取「Install the new ontology configuration and override the existing one」，然後按一下「Confirm」。

您必須升級 SCC Enterprise 整合，並為所有升級的整合項目安裝新的本體設定。

設定 Cloud Storage 整合

如要修正公開值區 ACL 偵測結果，SCC Enterprise - Cloud Orchestration and Remediation 用途包含額外的整合功能，也就是 Cloud Storage 整合。

如要讓劇本擴充及修正 PUBLIC BUCKET ACL 發現項目類型，請完成下列步驟，設定 Cloud Storage 整合：

1. 設定整合參數。
2. 啟用應對手冊的公開值區補救措施。

設定整合參數

如要設定 Cloud Storage 整合參數，請完成下列步驟：

1. 在 Security Operations 控制台導覽中，依序前往「Marketplace」>「Integrations」。
2. 在「搜尋」欄位中輸入 Storage。系統會顯示 Cloud Storage 整合資訊卡。
3. 在整合資訊卡上，按一下「設定」。系統會開啟設定對話方塊。
4. 設定「Workload Identity 電子郵件」、「專案 ID」和「配額專案 ID」參數。您可以從任何其他 Google Cloud 整合服務 (例如 Cloud Asset Inventory 整合服務) 複製參數值。
5. 按一下 [儲存]。
6. 按一下「測試」，測試設定。

啟用應對手冊的公開值區補救措施

如要為安全狀態發現事項劇本啟用公開 bucket 補救措施，請參閱「啟用公開 bucket 補救措施」。

更新案件檢視畫面小工具

1. 在 Security Operations 控制台導覽中，依序前往「Settings」(設定)>「SOAR Settings」(SOAR 設定) >「Case Data」(案件資料) >「Views」(檢視畫面)。
2. 選取「預設案件檢視畫面」。
3. 選取「預先定義」分頁標籤。

4. 將「預先定義」分頁中的小工具拖曳至「預設案件檢視」，建議順序如下：

   1. 案件摘要
   2. 有害組合攻擊路徑
   3. 發現項目
   4. AI 偵查/Gemini 摘要
   5. 發現項目摘要
   6. SCC - 發現項目狀態
   7. 受影響的資產
   8. 票券資訊
   9. 待輸入的動作
   10. 實體圖表
   11. 實體的醒目顯示欄位

5. 按一下 [Save View] (儲存視圖)。

驗證小工具

為確保取得正確資訊，請確認下列小工具包含正確的條件：

• 有害組合攻擊路徑
• 發現項目
• 實體圖表
• AI 偵查/Gemini 摘要
• 發現項目摘要
• 受影響的資源
• SCC - 發現項目狀態
• 受影響的資產
• 受影響的 AWS 資產

如要驗證小工具，請完成下列步驟：

1. 在 Security Operations 控制台導覽中，依序前往「Settings」>「SOAR Settings」>「Case Data」>「Views」。

2. 選取「預設案件檢視畫面」。

3. 在「有害組合攻擊路徑」和「發現項目」小工具中，按一下「設定」「設定」。

   在「進階設定」下方的「條件」部分中，條件應如下所示：[Case.Tags] () Toxic Combination。如要更新條件，請按一下「儲存」。

4. 如要設定「實體圖表」和「AI 調查/Gemini 摘要」小工具，請按一下「設定」「設定」。

   在「進階設定」下方的「條件」部分，條件應如下所示：[Case.Tags] !() Toxic Combination。 如果不是，請更新條件，然後按一下「儲存」。

5. 如要設定「發現摘要」小工具，請按一下「設定」「設定」。

   在「進階設定」下方的「條件」部分中，條件應如下所示：

   • [Case.Tags] () SCC-TICKET-INFO
   • [Case.Tags] !() Toxic Combination
   • [Case.Tags] !() CIEM
   • [Event.parentDisplayName] !() VM Manager

   如要更新條件，請按一下「儲存」。

6. 在「受影響的資源」小工具中，按一下「設定」「設定」。

   在「進階設定」下方的「條件」部分，條件應如下所示：[Case.Tags] () Toxic Combination。 如果不是，請更新條件，然後按一下「儲存」。

7. 在「SCC - Finding State」小工具中，按一下「Delete」。確認對話方塊開啟後，按一下「是」。

   如要安裝為最新用例版本設定的「SCC - 發現項目狀態」小工具，請將「SCC - 發現項目狀態」小工具從「預先定義」分頁拖曳至「預設案件檢視畫面」。

8. 在「受影響的資產」小工具中，按一下「刪除」。確認對話方塊開啟後，按一下「是」。

   如要安裝為最新用途版本設定的「受影響的資產」小工具，請將「受影響的資產」小工具從「預先定義」分頁拖曳至「預設案件檢視畫面」。

9. 在「受影響的 AWS 資產」小工具中，按一下「刪除」。確認對話方塊開啟後，按一下「是」。

10. 按一下 [Save View] (儲存視圖)。

啟用應對手冊

如要啟用劇本來處理安全漏洞和錯誤設定，請完成下列步驟：

1. 在 Security Operations 控制台導覽中，依序前往「Response」>「Playbooks」。

2. 選取「Siemplify Use Cases」資料夾。

   如果未與票務系統整合，請確保已啟用「Posture Findings – Generic」。您可以視需要啟用「Posture Findings – Generic – VM Manager」劇本。

   如果已與票務系統整合，請完成下列步驟：

   1. 選取「Posture Findings – Generic」Playbook。
   2. 將切換鈕設為關閉即可停用。
   3. 按一下 [儲存]。
   4. 選取「Posture Findings – Generic – VM Manager」Playbook。
   5. 將切換鈕設為關閉即可停用。
   6. 按一下 [儲存]。
   7. 如果已與 Jira 整合，請選取「Posture Findings With Jira」劇本。
      1. 切換切換鈕即可啟用劇本。
      2. 按一下 [儲存]。
   8. 如果已與 ServiceNow 整合，請選取「Posture Findings with SNOW」劇本。
      1. 切換切換鈕即可啟用劇本。
      2. 按一下 [儲存]。

可更新連接器

更新用途不會自動更新現有連接器。為確保更新用途後資料擷取作業能正常運作，請更新 SCC Enterprise - Urgent Posture Findings Connector 和 Google Chronicle - Chronicle Alerts Connector 連接器。

如要更新 SCC Enterprise - Urgent Posture Findings Connector 連接器，請完成下列步驟：

1. 在 Security Operations 控制台導覽中，依序前往「設定」>「SOAR 設定」>「擷取」>「連線器」。
2. 在「SCCEnterprise」下方，選取「SCC Enterprise - Urgent Posture Findings Connector」。系統會開啟連接器參數設定頁面。
3. 依序點選「已快取」「更新」。
4. 將「Run Every」參數設為 1 分鐘。
5. 切換切換鈕來啟用連接器。
6. 按一下 [儲存]。

如要更新 Google Chronicle - Chronicle Alerts Connector 連接器，請完成下列步驟：

1. 在 Security Operations 控制台導覽中，依序前往「設定」>「SOAR 設定」>「擷取」>「連線器」。
2. 在「GoogleChronicle」下方，選取「Google Chronicle - Chronicle Alerts Connector」。系統會開啟連接器參數設定頁面。
3. 依序點選「已快取」「更新」。
4. 將「Run Every」參數設為 1 分鐘。
5. 在「Product Field Name」(產品欄位名稱) 參數欄位中，輸入 SCCE。
6. 切換切換鈕來啟用連接器。
7. 按一下 [儲存]。

驗證更新設定

為確保所有用途元件都已成功更新，請測試連接器和工作。

測試連接器

1. 在 Security Operations 控制台導覽中，依序前往「Settings」>「SOAR Settings」>「Ingestion」>「Connectors」。
2. 在「SCCEnterprise」下方，選取「SCC Enterprise - Urgent Posture Findings Connector」。
3. 前往「測試」分頁。
4. 按一下「執行連接器一次」。如果連接器設定正確，系統會顯示勾號。

測試工作

1. 在 Security Operations 控制台導覽中，依序前往「Response」>「Job Scheduler」。
2. 在「GoogleSecurityCommandCenter」下方，選取「Sync SCC Data」。
3. 按一下「立即執行」。如果工作正常運作，工作狀態會是 Success。

疑難排解

• 「Sync SCC Data」工作會顯示下列錯誤：

  TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)
  

  等待十分鐘，然後按一下「立即執行」。如果錯誤仍持續發生，請完成下列步驟：

  1. 在工作「Parameters」(參數) 區段中，刪除「Organization ID」(機構 ID) 參數值。
  2. 輸入「機構 ID」參數值。
  3. 按一下 [儲存]。
  4. 按一下「立即執行」。

• 如果 Sync SCC Data 工作在更新使用案例時無法自動更新，就會顯示驗證錯誤。如要修正同步作業問題，請手動輸入「專案 ID」和「配額專案 ID」參數的值。

  如要指定正確的參數值，請完成下列步驟：

  1. 依序前往「設定」>「SOAR 設定」>「擷取」 >「連接器」。
  2. 在「SCCEnterprise」下方，選取「SCC Enterprise - Urgent Posture Findings Connector」。
  3. 在「Parameters」部分，複製「Quota Project ID」參數的值。
  4. 依序前往「回應」>「工作排程器」。
  5. 在「SCCEnterprise」下方，選取「Sync SCC Data」。
  6. 在「Sync SCC Data」作業的「Parameters」(參數) 區段中，於「Project ID」和「Quota Project ID」(配額專案 ID) 欄位中輸入複製的值。
  7. 按一下 [儲存]。

• 更新用途後，新劇本不會套用至現有快訊。

  如要將新應對手冊套用至現有警告，並重新算繪「警告」小工具，請關閉案件，然後等待連接器再次擷取附加新應對手冊的警告。