Security Command Center Enterprise in Ticketsysteme einbinden

In diesem Dokument wird beschrieben, wie Sie die Enterprise-Version von Security Command Center in Ticketsysteme einbinden, nachdem Sie die Sicherheitsorchestrierung, ‑automatisierung und ‑reaktion (Security Orchestration, Automation, and Response, SOAR) konfiguriert haben.

Die Integration in Ticketsysteme ist optional und erfordert eine manuelle Konfiguration. Wenn Sie die Standardkonfiguration von Security Command Center Enterprise verwenden, müssen Sie diese Schritte nicht ausführen. Sie können jederzeit später eine Integration mit einem Ticketsystem vornehmen.

Übersicht

Sie können Ergebnisse mit der Standardkonfiguration von Security Command Center Enterprise über die Console und APIs verfolgen. Wenn Ihre Organisation Ticketsysteme zum Erfassen von Problemen verwendet, sollten Sie die Integration mit Jira oder ServiceNow einrichten, nachdem Sie Ihre Google Security Operations-Instanz konfiguriert haben.

Nachdem Ergebnisse für Ressourcen eingegangen sind, analysiert und gruppiert der SCC Enterprise – Urgent Posture Findings Connector sie je nach Ergebnistyp in neue oder vorhandene Fälle.

Wenn Sie ein Ticketsystem einbinden, erstellt Security Command Center jedes Mal ein neues Ticket, wenn ein neuer Fall für Ergebnisse erstellt wird. Security Command Center aktualisiert das zugehörige Ticket automatisch, wenn ein Fall aktualisiert wird.

Ein einzelner Fall kann mehrere Ergebnisse enthalten. Security Command Center erstellt für jeden Fall ein Ticket und synchronisiert den Fallinhalt und die Informationen mit dem entsprechenden Ticket, damit die Ticketzuweiser wissen, was behoben werden muss.

Die Synchronisierung zwischen einem Fall und seinem Ticket erfolgt in beide Richtungen:

• Änderungen in einer Anfrage, z. B. eine Statusaktualisierung oder ein neuer Kommentar, werden automatisch im zugehörigen Ticket berücksichtigt.

• Ebenso werden Ticketdetails mit dem Fall synchronisiert und mit Informationen aus dem Ticketsystem angereichert.

Hinweise

Bevor Sie Jira oder ServiceNow konfigurieren, geben Sie eine gültige E-Mail-Adresse für den Parameter Fallback Owner (Fallback-Inhaber) im SCC Enterprise – Urgent Posture Findings Connector (SCC Enterprise – Connector für dringende Ergebnisse zur Sicherheitslage) an und sorgen Sie dafür, dass diese E-Mail-Adresse in Ihrem Ticketsystem zugewiesen werden kann.

In Jira einbinden

Führen Sie alle Integrationsschritte aus, um die Fallaktualisierungen mit Jira-Vorgängen zu synchronisieren und den richtigen Playbook-Ablauf zu gewährleisten.

Die Fallpriorität wird in der Schwere des Jira-Vorgangs angegeben.

Neues Projekt in Jira erstellen

Wenn Sie ein neues Projekt in Jira für die Security Command Center Enterprise-Probleme mit dem Namen SCC Enterprise Project (SCCE) erstellen möchten, führen Sie eine manuelle Aktion im Fall aus. Sie können einen vorhandenen Fall verwenden oder einen simulieren. Weitere Informationen zum Simulieren von Fällen finden Sie auf der Seite Fälle simulieren in der Google SecOps-Dokumentation.

Zum Erstellen eines neuen Jira-Projekts sind Anmeldedaten auf Jira-Administratorebene erforderlich.

So erstellen Sie ein neues Jira-Projekt:

1. Wechseln Sie in der Google Cloud Console zu Risiko > Anfragen.
2. Wählen Sie einen vorhandenen Fall oder den simulierten Fall aus.
3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
4. Geben Sie im Feld für die manuelle Aktion Suchen Create SCC Enterprise ein.
5. Wählen Sie in den Suchergebnissen unter der Integration SCCEnterprise die Aktion Create SCC Enterprise Cloud Posture Ticket Type Jira aus. Das Dialogfeld wird geöffnet.

6. Geben Sie zum Konfigurieren des Parameters API-Stamm den API-Stamm Ihrer Jira-Instanz ein, z. B. https://YOUR_DOMAIN_NAME.atlassian.net.

7. Geben Sie zur Konfiguration des Parameters Username den Nutzernamen ein, mit dem Sie sich als Administrator in Jira anmelden.

8. Geben Sie zum Konfigurieren des Parameters Password das Passwort ein, mit dem Sie sich als Administrator in Jira anmelden.

9. Geben Sie zum Konfigurieren des Parameters API-Token das API-Token Ihres Atlassian-Administratorkontos ein, das in der Jira-Konsole generiert wurde.

10. Klicken Sie auf Ausführen. Warten Sie, bis die Aktion abgeschlossen ist.

Optional: Benutzerdefiniertes Jira-Vorgangslayout konfigurieren

1. Melden Sie sich als Administrator in Jira an.
2. Rufen Sie Projekte > SCC Enterprise Project (SCCE) auf.
3. Problemfelder anpassen und neu anordnen Weitere Informationen zum Verwalten von Problemfeldern finden Sie in der Jira-Dokumentation unter Layout von Problemfeldern konfigurieren.

Jira-Integration konfigurieren

1. Rufen Sie in der Google Cloud -Konsole Antwort > Playbooks auf, um die Navigation der Security Operations Console zu öffnen.
2. Klicken Sie in der Navigationsleiste der Security Operations-Konsole auf Reaktion > Einrichtung von Integrationen.
3. Wählen Sie die Standardumgebung aus.
4. Geben Sie im Feld Suche der Integration Jira ein. Die Jira-Integration wird als Suchergebnis zurückgegeben.
5. Klicken Sie auf settings Instanz konfigurieren. Das Dialogfenster wird geöffnet.

6. Geben Sie zum Konfigurieren des Parameters API-Stamm den API-Stamm Ihrer Jira-Instanz ein, z. B. https://YOUR_DOMAIN_NAME.atlassian.net.

7. Geben Sie zum Konfigurieren des Parameters Username den Nutzernamen ein, mit dem Sie sich in Jira anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

8. Geben Sie zum Konfigurieren des Parameters API-Token das API-Token Ihres nicht administrativen Atlassian-Kontos ein, das in der Jira-Konsole generiert wurde.

9. Klicken Sie auf Speichern.

10. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook „Sicherheitsstatus-Ergebnisse mit Jira“ aktivieren

1. Rufen Sie in der Google Cloud -Konsole Antwort > Playbooks auf, um die Seite Playbooks in der Security Operations-Konsole zu öffnen.
2. Geben Sie in der Playbook-Suchleiste Suche Generic ein.
3. Wählen Sie das Playbook Posture Findings – Generic (Ergebnisse zur Körperhaltung – Allgemein) aus. Dieses Playbook ist standardmäßig aktiviert.
4. Stellen Sie den Schieberegler um, um das Playbook zu deaktivieren.
5. Klicken Sie auf Speichern.
6. Geben Sie in der Playbook-Suchleiste Suche Jira ein.
7. Wählen Sie das Playbook Posture Findings With Jira aus. Dieses Playbook ist standardmäßig deaktiviert.
8. Stellen Sie den Schieberegler um, um das Playbook zu aktivieren.
9. Klicken Sie auf Speichern.

In ServiceNow einbinden

Führen Sie alle Integrationsschritte aus, um die Aktualisierungen von Google SecOps-Vorgängen mit ServiceNow-Tickets zu synchronisieren und den richtigen Playbook-Ablauf zu gewährleisten.

Benutzerdefinierten ServiceNow-Tickettyp erstellen und konfigurieren

Erstellen und konfigurieren Sie den benutzerdefinierten ServiceNow-Tickettyp, um den Tab „Aktivitäten“ in der ServiceNow-Benutzeroberfläche zu aktivieren und das fehlerhafte Ticketlayout zu vermeiden.

Benutzerdefinierten ServiceNow-Tickettyp erstellen

Zum Erstellen eines benutzerdefinierten ServiceNow-Tickettyps sind Anmeldedaten auf ServiceNow-Administratorebene erforderlich.

So erstellen Sie einen benutzerdefinierten Tickettyp:

1. Wechseln Sie in der Google Cloud Console zu Risiko > Anfragen.
2. Wählen Sie einen vorhandenen Fall oder den simulierten Fall aus.
3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
4. Geben Sie im Feld für die manuelle Aktion Suchen Create SCC Enterprise ein.
5. Wählen Sie in den Suchergebnissen unter der Integration SCCEnterprise die Aktion Create SCC Enterprise Cloud Posture Ticket Type SNOW aus. Das Dialogfeld wird geöffnet.

6. Geben Sie zum Konfigurieren des Parameters API-Stamm den API-Stamm Ihrer ServiceNow-Instanz ein, z. B. https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Geben Sie zum Konfigurieren des Parameters Username den Nutzernamen ein, mit dem Sie sich als Administrator in ServiceNow anmelden.

8. Geben Sie zum Konfigurieren des Parameters Passwort das Passwort ein, mit dem Sie sich als Administrator bei ServiceNow anmelden.

9. Wenn Sie den Parameter Table Role konfigurieren möchten, lassen Sie das Feld leer oder geben Sie einen Wert an, falls Sie einen haben. Für diesen Parameter kann nur ein Rollenwert angegeben werden.

   Standardmäßig ist das Feld Table Role leer, damit Sie in ServiceNow eine neue benutzerdefinierte Rolle erstellen können, mit der Sie speziell die Security Command Center Enterprise-Tickets verwalten können. Nur ServiceNow-Nutzer, denen diese neue benutzerdefinierte Rolle zugewiesen wurde, haben Zugriff auf die Security Command Center Enterprise-Tickets.

   Wenn Sie bereits eine spezielle Rolle für Nutzer haben, die Vorfälle in ServiceNow verwalten, und Sie diese Rolle für die Verwaltung der Security Command Center Enterprise-Ergebnisse verwenden möchten, geben Sie den Namen der vorhandenen ServiceNow-Rolle in das Feld Table Role (Tabellenrolle) ein. Wenn Sie beispielsweise den vorhandenen Wert incident_handler_role angeben, können alle Nutzer, denen die Rolle incident_handler_role in ServiceNow zugewiesen ist, auf die Security Command Center Enterprise-Tickets zugreifen.

10. Klicken Sie auf Ausführen. Warten Sie, bis die Aktion abgeschlossen ist.

Benutzerdefiniertes Ticketlayout für ServiceNow konfigurieren

Damit die ServiceNow-Benutzeroberfläche die Updates zu Fällen und Fallkommentaren korrekt anzeigt, führen Sie die folgenden Schritte aus:

1. Rufen Sie in Ihrem ServiceNow-Administratorkonto den Tab All (Alle) auf.
2. Geben Sie im Feld Suchen SCC Enterprise ein.
3. Wählen Sie in der Drop-down-Liste SCC Enterprise Cloud Posture Ticket aus und führen Sie eine Suche aus.
4. Wählen Sie das Ticket für den Haltungstest aus. Die Seite mit dem ServiceNow-Ticketlayout wird geöffnet.
5. Rufen Sie auf der Seite „ServiceNow-Ticketlayout“ Zusätzliche Aktionen > Konfigurieren> Formularlayout auf.
6. Gehen Sie zum Abschnitt Formularansicht und ‑abschnitt.
7. Wählen Sie im Feld Abschnitt die Option u_scc_enterprise_cloud_posture_ticket aus.
8. Klicken Sie auf Speichern. Nach der Aktualisierung der Seite enthält die Ticketvorlage Felder, die auf zwei Spalten verteilt sind.
9. Klicken Sie auf Zusätzliche Aktionen> Konfigurieren > Formularlayout.
10. Gehen Sie zum Abschnitt Formularansicht und ‑abschnitt.
11. Wählen Sie im Feld Abschnitt die Option Zusammenfassung aus.
12. Klicken Sie auf Speichern. Nach der Aktualisierung der Seite hat die Ticketvorlage die neue Zusammenfassungsstruktur.

ServiceNow-Integration konfigurieren

1. Rufen Sie in der Google Cloud -Konsole Antwort > Playbooks auf, um die Navigation der Security Operations Console zu öffnen.
2. Klicken Sie in der Navigationsleiste der Security Operations-Konsole auf Reaktion > Einrichtung von Integrationen.
3. Wählen Sie die Standardumgebung aus.
4. Geben Sie im Feld Suche der Integration ServiceNow ein. Die ServiceNow-Integration wird als Suchergebnis zurückgegeben.
5. Klicken Sie auf settings Instanz konfigurieren. Das Dialogfenster wird geöffnet.

6. Geben Sie zum Konfigurieren des Parameters API-Stamm den API-Stamm Ihrer ServiceNow-Instanz ein, z. B. https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Geben Sie zur Konfiguration des Parameters Nutzername den Nutzernamen ein, mit dem Sie sich in ServiceNow anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

8. Geben Sie zur Konfiguration des Parameters Passwort das Passwort ein, mit dem Sie sich in ServiceNow anmelden. Verwenden Sie nicht Ihre Administratoranmeldedaten.

9. Klicken Sie auf Speichern.

10. Klicken Sie auf Testen, um die Konfiguration zu testen.

Playbook „Posture Findings With SNOW“ aktivieren

1. Rufen Sie in der Google Cloud -Konsole Antwort > Playbooks auf.
2. Geben Sie in der Playbook-Suchleiste Suche Generic ein.
3. Wählen Sie das Playbook Posture Findings – Generic (Ergebnisse zur Körperhaltung – Allgemein) aus. Dieses Playbook ist standardmäßig aktiviert.
4. Stellen Sie den Schieberegler um, um das Playbook zu deaktivieren.
5. Klicken Sie auf Speichern.
6. Geben Sie in der Playbook-Suchleiste Suche SNOW ein.
7. Wählen Sie das Playbook Posture Findings With SNOW (Ergebnisse zur Körperhaltung mit SNOW) aus. Dieses Playbook ist standardmäßig deaktiviert.
8. Stellen Sie den Schieberegler um, um das Playbook zu aktivieren.
9. Klicken Sie auf Speichern.

Synchronisierung von Falldaten aktivieren

Security Command Center synchronisiert die Informationen zwischen einem Fall und dem entsprechenden Ticket automatisch. So werden Priorität, Status, Kommentare und andere relevante Daten zwischen einem Fall und dem zugehörigen Ticket abgeglichen.

Zum Synchronisieren von Falldaten verwendet Security Command Center interne automatische Prozesse, sogenannte Synchronisierungsjobs. Mit den Jobs SCC-Jira-Tickets synchronisieren und SCC-ServiceNow-Tickets synchronisieren werden Falldaten zwischen Security Command Center und integrierten Ticketsystemen synchronisiert. Beide Jobs sind anfangs deaktiviert und müssen aktiviert werden, um die automatische Synchronisierung von Falldaten zu starten.

Wenn Sie einen Fall schließen, wird das entsprechende Ticket automatisch geschlossen. Wenn ein Ticket in Jira oder ServiceNow geschlossen wird, werden die Synchronisierungsjobs ausgelöst, um auch den Fall zu schließen.

Hinweise

Damit die Fallsynchronisierung aktiviert werden kann, muss Ihnen auf der Seite SOAR-Einstellungen eine der folgenden SOC-Rollen zugewiesen sein:

• Administrator
• Vulnerability Manager
• Threat Manager

Weitere Informationen zu SOC-Rollen und den für Nutzer erforderlichen Berechtigungen finden Sie unter Zugriff auf Funktionen auf Seiten der Security Operations Console steuern.

Synchronisierung für Ticketsysteme aktivieren

Damit die Informationen in Fällen und Tickets automatisch synchronisiert werden, müssen Sie den Synchronisierungsjob aktivieren, der für das von Ihnen integrierte Ticketsystem relevant ist.

Führen Sie die folgenden Schritte aus, um den Synchronisierungsjob zu aktivieren:

1. Rufen Sie in der Google Cloud Console das Security Command Center auf.

   Zum Security Command Center

2. Klicken Sie im Navigationsmenü auf Antwort > Playbooks. Die Seite Playbooks wird in der Security Operations Console geöffnet.

3. Klicken Sie auf Antwort > JobScheduler.

4. Wählen Sie den richtigen Synchronisierungsjob aus:

   • Wenn Sie Jira eingebunden haben, wählen Sie den Job SCC-Jira-Tickets synchronisieren aus.

   • Wenn Sie ServiceNow integriert haben, wählen Sie den Job SCC-ServiceNow-Tickets synchronisieren aus.

5. Stellen Sie den Schalter auf „Ein“, um den ausgewählten Job zu aktivieren.

6. Klicken Sie auf Speichern, damit Security Command Center Falldaten automatisch mit einem Ticketsystem synchronisiert.

Tickets für vorhandene Fälle erstellen

Security Command Center erstellt automatisch Tickets nur für Fälle, die nach der Integration in ein Ticketsystem geöffnet wurden. Außerdem werden keine neuen Playbooks nachträglich an bestehende Benachrichtigungen angehängt. Wenn Sie Tickets für Fälle erstellen möchten, die vor der Integration in ein Ticketsystem eröffnet wurden, haben Sie folgende Möglichkeiten:

• Schließen Sie ein Case ohne Ticket und warten Sie, bis SCC die Ergebnisse neu erfasst und den Case-Benachrichtigungen ein neues Playbook zuweist.

• Sie können einem Fall, der vor der Integration mit einem Ticketsystem geöffnet wurde, manuell ein Playbook hinzufügen.

Fall ohne Ticket schließen

So schließen Sie einen Fall ohne Ticket:

1. Rufen Sie in der Google Cloud Console das Security Command Center auf.

   Zum Security Command Center

2. Klicken Sie im Navigationsbereich auf Risiko > Fälle. Die Seite Fälle wird in der Security Operations Console geöffnet.

3. Klicken Sie auf  Filter öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.

4. Geben Sie im Filter für die Fallwarteschlange Folgendes an:

   1. Geben Sie im Feld Zeitrahmen den Zeitraum für offene Fälle an.
   2. Stellen Sie Logischer Operator auf AND ein.
   3. Wählen Sie für den ersten Wert unter Logischer Operator die Option Tags aus.
   4. Legen Sie die Bedingung auf IST fest.
   5. Wählen Sie für den zweiten Wert Internal-SCC-Ticket-Info aus.
   6. Klicken Sie auf Übernehmen, um die Anfragen in der Warteschlange zu aktualisieren und nur die Anfragen anzuzeigen, die dem angegebenen Filter entsprechen.

5. Wählen Sie den Fall in der Fallwarteschlange aus.

6. Wählen Sie in der Fallansicht die Option  Fall schließen aus. Das Fenster Case schließen wird geöffnet.

7. Geben Sie im Fenster Fall schließen Folgendes an:

   1. Wählen Sie für das Feld Grund einen Wert aus, um den Grund für das Schließen des Falls anzugeben.

   2. Wählen Sie einen Wert für das Feld Root Cause (Ursache) aus, um den Grund für das Schließen des Falls anzugeben.

   3. Optional: Fügen Sie einen Kommentar hinzu.

   4. Klicken Sie auf Schließen, um den Fall zu schließen. Security Command Center nimmt die Ergebnisse dann in einen neuen Fall auf und hängt automatisch ein passendes Playbook an.

Playbook manuell einer Benachrichtigung hinzufügen

So hängen Sie ein Playbook manuell an eine Benachrichtigung in einem vorhandenen Fall an:

1. Rufen Sie in der Google Cloud Console das Security Command Center auf.

   Zum Security Command Center

2. Klicken Sie auf Risiko> Fälle. Die Seite Fälle wird in der Security Operations Console geöffnet.

3. Klicken Sie auf  Filter öffnen. Der Bereich Filter für Fallwarteschlange wird geöffnet.

4. Geben Sie im Filter für die Fallwarteschlange Folgendes an:

   1. Geben Sie im Feld Zeitrahmen den Zeitraum für offene Fälle an.
   2. Stellen Sie Logischer Operator auf AND ein.
   3. Wählen Sie für den ersten Wert unter Logischer Operator die Option Tags aus.
   4. Legen Sie die Bedingung auf IST fest.
   5. Wählen Sie für den zweiten Wert Internal-SCC-Ticket-Info aus.
   6. Klicken Sie auf Übernehmen, um die Anfragen in der Warteschlange zu aktualisieren und nur die Anfragen anzuzeigen, die dem angegebenen Filter entsprechen.

5. Wählen Sie den Fall in der Fallwarteschlange aus.

6. Wählen Sie eine beliebige Benachrichtigung in einem Fall aus.

7. Rufen Sie in einer Benachrichtigungsansicht den Tab Playbooks auf.

8. Klicken Sie auf Hinzufügen Playbook hinzufügen. Das Fenster Playbook hinzufügen mit einer Liste der verfügbaren Playbooks wird angezeigt.

9. Geben Sie im Suchfeld des Fensters Playbook hinzufügen Posture Findings ein.

   • Wenn Sie Jira integriert haben, wählen Sie das Playbook Posture Findings With Jira aus.
   • Wenn Sie ServiceNow integriert haben, wählen Sie das Playbook Posture Findings With SNOW aus.

10. Klicken Sie auf Hinzufügen, um einem Hinweis ein Playbook hinzuzufügen.

Nach Abschluss des Playbooks wird ein Ticket für einen Fall erstellt und automatisch mit Informationen aus dem Fall gefüllt.

Es reicht aus, einem einzelnen Hinweis in einem Fall ein Playbook hinzuzufügen, um ein Ticket zu erstellen und die Datensynchronisierung auszulösen.

Nächste Schritte

• Informationen zum Bestimmen des Inhabers von Ergebnissen zur Körperhaltung

• Informationen zum Gruppieren von Ergebnissen in Fällen

• Tickets basierend auf Haltungsfehlern zuweisen