En este documento, se explica cómo integrar el nivel Enterprise de Security Command Center con sistemas de emisión de tickets después de configurar la organización, la automatización y la respuesta de seguridad (SOAR).
La integración con sistemas de tickets es opcional y requiere configuración manual. Si usas la configuración predeterminada de Security Command Center Enterprise, no es necesario que realices este procedimiento. Puedes integrarte con un sistema de tickets más adelante en cualquier momento.
Descripción general
Puedes hacer un seguimiento de los resultados con la consola y las APIs con la configuración predeterminada de Security Command Center Enterprise. Si tu organización usa sistemas de tickets para hacer un seguimiento de los problemas, realiza la integración con Jira o ServiceNow después de configurar tu instancia de Google Security Operations.
Cuando recibe hallazgos sobre los recursos, el conector de SCC Enterprise Urgent Posture Findings los analiza y los agrupa en casos nuevos o existentes, según el tipo de hallazgo.
Si realizas la integración con un sistema de tickets, Security Command Center creará un ticket nuevo cada vez que cree un caso nuevo para los resultados. Security Command Center actualiza automáticamente el ticket relacionado cada vez que se actualiza un caso.
Un solo caso puede contener varios hallazgos. Security Command Center crea un ticket para cada caso y sincroniza el contenido y la información del caso con el ticket correspondiente para que los responsables de la asignación del ticket sepan qué corregir.
La sincronización entre un caso y su ticket funciona en ambos sentidos:
Los cambios dentro de un caso, como una actualización de estado o un comentario nuevo, se reflejan automáticamente en el ticket asociado.
Del mismo modo, los detalles del ticket se sincronizan con el caso, lo que lo enriquece con información del sistema de tickets.
Antes de comenzar
Antes de configurar Jira o ServiceNow, proporciona una dirección de correo electrónico válida para el parámetro Fallback Owner en el conector de SCC Enterprise Urgent Posture Findings y asegúrate de que este correo electrónico se pueda asignar en tu sistema de tickets.
Integración con Jira
Asegúrate de completar todos los pasos de integración para sincronizar las actualizaciones de los casos con los problemas de Jira y garantizar el flujo correcto del manual.
La prioridad del caso se refleja en la gravedad del problema de Jira.
Cómo crear un proyecto nuevo en Jira
Para crear un proyecto nuevo en Jira para los problemas de Security Command Center Enterprise llamado SCC Enterprise Project (SCCE), ejecuta una acción manual en el caso. Puedes usar cualquier caso existente o simular uno. Para obtener más información sobre la simulación de casos, consulta la página Simulate cases en la documentación de Google SecOps.
Para crear un proyecto nuevo de Jira, se requieren credenciales de nivel de administrador de Jira.
Para crear un proyecto nuevo de Jira, completa los siguientes pasos:
- En la consola de Google Cloud , ve a Riesgo > Casos.
- Selecciona un caso existente o el que simulaste.
- En la pestaña Case Overview, haz clic en Manual Action.
- En el campo Búsqueda de la acción manual, ingresa
Create SCC Enterprise. - En los resultados de la búsqueda, en la integración de SCCEnterprise, selecciona la acción Create SCC Enterprise Cloud Posture Ticket Type Jira. Se abrirá la ventana de diálogo.
Para configurar el parámetro API Root, ingresa la raíz de la API de tu instancia de Jira, como
https://YOUR_DOMAIN_NAME.atlassian.net.Para configurar el parámetro Username, ingresa el nombre de usuario que usas para acceder a Jira como administrador.
Para configurar el parámetro Password, ingresa la contraseña que usas para acceder a Jira como administrador.
Para configurar el parámetro API Token, ingresa el token de API de tu cuenta de administrador de Atlassian que se generó en la consola de Jira.
Haz clic en Ejecutar. Espera hasta que se complete la acción.
Opcional: Configura un diseño personalizado para el problema de Jira
- Accede a Jira como administrador.
- Ve a Projects > SCC Enterprise Project (SCCE).
- Ajustar y reordenar los campos de problemas Para obtener más detalles sobre la administración de los campos de problemas, consulta Configuración del diseño de los campos de problemas en la documentación de Jira.
Configura la integración con Jira
- En la consola de Google Cloud , ve a Respuesta > Guías para abrir la navegación de la consola de Operaciones de seguridad.
- En la navegación de la consola de Operaciones de seguridad, ve a Respuesta > Configuración de integraciones.
- Selecciona el entorno predeterminado.
- En el campo Search de la integración, ingresa
Jira. La integración de Jira se muestra como resultado de la búsqueda. - Haz clic en Configurar instancia. Se abrirá la ventana de diálogo.
Para configurar el parámetro API Root, ingresa la raíz de la API de tu instancia de Jira, como
https://YOUR_DOMAIN_NAME.atlassian.net.Para configurar el parámetro Username, ingresa el nombre de usuario que usas para acceder a Jira. No uses tus credenciales de administrador.
Para configurar el parámetro API Token, ingresa el token de API de tu cuenta de Atlassian no administrativa que se generó en la consola de Jira.
Haz clic en Guardar.
Para probar la configuración, haz clic en Probar.
Habilita el manual de estrategia Posture Findings With Jira
- En la consola de Google Cloud , ve a Respuesta > Guiones para abrir la página Guiones de la consola de Operaciones de seguridad.
- En la barra de búsqueda de la guía, ingresa
Generic. - Selecciona el manual Posture Findings - Generic. Este manual está habilitado de forma predeterminada.
- Cambia el botón de activación para inhabilitar la guía.
- Haz clic en Guardar.
- En la barra de búsqueda de la guía, ingresa
Jira. - Selecciona el playbook Posture Findings With Jira. Este manual está inhabilitado de forma predeterminada.
- Mueve el interruptor para habilitar la guía.
- Haz clic en Guardar.
Integración con ServiceNow
Asegúrate de completar todos los pasos de integración para sincronizar las actualizaciones de los casos de Google SecOps con los tickets de ServiceNow y garantizar el flujo correcto del playbook.
Crea y configura un tipo de ticket personalizado de ServiceNow
Asegúrate de crear y configurar el tipo de ticket personalizado de ServiceNow, habilitar la pestaña Activities en la IU de ServiceNow y evitar usar el diseño de ticket erróneo.
Crea un tipo de ticket personalizado de ServiceNow
Para crear un tipo de ticket personalizado de ServiceNow, se requieren credenciales de nivel de administrador de ServiceNow.
Para crear un tipo de ticket personalizado, completa los siguientes pasos:
- En la consola de Google Cloud , ve a Riesgo > Casos.
- Selecciona un caso existente o el que simulaste.
- En la pestaña Case Overview, haz clic en Manual Action.
- En el campo Búsqueda de la acción manual, ingresa
Create SCC Enterprise. - En los resultados de la búsqueda, en la integración de SCCEnterprise, selecciona la acción Create SCC Enterprise Cloud Posture Ticket Type SNOW. Se abrirá la ventana de diálogo.
Para configurar el parámetro API Root, ingresa la raíz de la API de tu instancia de ServiceNow, como
https://INSTANCE_NAME.service-now.com/api/now/v1/.Para configurar el parámetro Username, ingresa el nombre de usuario que usas para acceder a ServiceNow como administrador.
Para configurar el parámetro Contraseña, ingresa la contraseña que usas para acceder a ServiceNow como administrador.
Para configurar el parámetro Table Role, deja el campo vacío o proporciona un valor si tienes uno. Este parámetro solo acepta un valor de rol.
De forma predeterminada, el campo Rol de tabla está vacío para crear un nuevo rol personalizado en ServiceNow y administrar específicamente los tickets de Security Command Center Enterprise. Solo los usuarios de ServiceNow a los que se les otorgó este nuevo rol personalizado tienen acceso a los tickets de Security Command Center Enterprise.
Si ya tienes un rol dedicado para los usuarios que administran incidentes en ServiceNow y quieres usarlo para administrar los hallazgos de Security Command Center Enterprise, ingresa el nombre del rol existente de ServiceNow en el campo Rol de tabla. Por ejemplo, si proporcionas el valor
incident_handler_roleexistente, todos los usuarios a los que se les otorgó el rol deincident_handler_roleen ServiceNow podrán acceder a los tickets de Security Command Center Enterprise.Haz clic en Ejecutar. Espera hasta que se complete la acción.
Configura el diseño de tickets personalizados de ServiceNow
Para asegurarte de que la IU de ServiceNow muestre con precisión las actualizaciones relacionadas con los casos y los comentarios de los casos, completa los siguientes pasos:
- En tu cuenta de administrador de ServiceNow, ve a la pestaña All.
- En el campo Buscar, ingresa
SCC Enterprise. - En la lista desplegable, selecciona SCC Enterprise Cloud Posture Ticket y ejecuta una búsqueda.
- Selecciona el Ticket de prueba de postura. Se abrirá la página de diseño del ticket de ServiceNow.
- En la página de diseño del ticket de ServiceNow, ve a Acciones adicionales > Configurar > Diseño del formulario.
- Ve a la sección Vista y sección del formulario.
- En el campo Sección, selecciona u_scc_enterprise_cloud_posture_ticket.
- Haz clic en Guardar. Después de que se actualice la página, la plantilla de tickets tendrá campos distribuidos en dos columnas.
- Ve a Acciones adicionales > Configurar > Diseño del formulario.
- Ve a la sección Vista y sección del formulario.
- En el campo Sección, selecciona Resumen.
- Haz clic en Guardar. Después de que se actualice la página, la plantilla de ticket tendrá la nueva estructura de resumen.
Configura la integración de ServiceNow
- En la consola de Google Cloud , ve a Respuesta > Guías para abrir la navegación de la consola de Operaciones de seguridad.
- En la navegación de la consola de Operaciones de seguridad, ve a Respuesta > Configuración de integraciones.
- Selecciona el entorno predeterminado.
- En el campo Search de la integración, ingresa
ServiceNow. La integración de ServiceNow se muestra como resultado de la búsqueda. - Haz clic en Configurar instancia. Se abrirá la ventana de diálogo.
Para configurar el parámetro API Root, ingresa la raíz de la API de tu instancia de ServiceNow, como
https://INSTANCE_NAME.service-now.com/api/now/v1/.Para configurar el parámetro Nombre de usuario, ingresa el nombre de usuario que usas para acceder a ServiceNow. No uses tus credenciales de administrador.
Para configurar el parámetro Contraseña, ingresa la contraseña que usas para acceder a ServiceNow. No uses tus credenciales de administrador.
Haz clic en Guardar.
Para probar la configuración, haz clic en Probar.
Habilita la guía Posture Findings With SNOW
- En la consola de Google Cloud , ve a Respuesta > Guías.
- En la barra de búsqueda de la guía, ingresa
Generic. - Selecciona el manual Posture Findings - Generic. Este manual está habilitado de forma predeterminada.
- Cambia el botón de activación para inhabilitar la guía.
- Haz clic en Guardar.
- En la barra de búsqueda de la guía, ingresa
SNOW. - Selecciona el playbook Posture Findings With SNOW. Este manual está inhabilitado de forma predeterminada.
- Mueve el interruptor para habilitar la guía.
- Haz clic en Guardar.
Habilita la sincronización de datos de casos
Security Command Center sincroniza automáticamente la información entre un caso y su ticket correspondiente, lo que garantiza que la prioridad, el estado, los comentarios y otros datos relevantes coincidan entre un caso y su ticket.
Para sincronizar los datos de los casos, Security Command Center usa procesos internos automáticos llamados trabajos de sincronización. Los trabajos Sync SCC-Jira Tickets y Sync SCC-ServiceNow Tickets sincronizan los datos de los casos entre Security Command Center y los sistemas de tickets integrados. Ambos trabajos están inhabilitados de forma predeterminada y requieren que los habilites para iniciar la sincronización automática de los datos de casos.
Si se cierra un caso, se resuelve automáticamente el ticket correspondiente. La resolución de un ticket en Jira o ServiceNow activa los trabajos de sincronización para que también se cierre el caso.
Antes de comenzar
Para habilitar la sincronización de casos, debes tener uno de los siguientes roles del SOC en la página Configuración de SOAR:
- Administrador
- Administrador de vulnerabilidades
- Administrador de amenazas
Para obtener más detalles sobre los roles y permisos del SOC que se requieren para los usuarios, consulta Controla el acceso a las funciones en las páginas de la consola de Operaciones de seguridad.
Habilita la sincronización para los sistemas de tickets
Para asegurarte de que la información de los casos y los tickets se sincronice automáticamente, habilita el trabajo de sincronización pertinente para el sistema de tickets con el que realizaste la integración.
Para habilitar el trabajo de sincronización, completa los siguientes pasos:
En la Google Cloud consola, ve a Security Command Center.
En el menú de navegación, haz clic en Respuesta > Playbooks. Se abrirá la página Playbooks en la consola de Operaciones de seguridad.
Haz clic en Response > JobScheduler.
Elige el trabajo de sincronización correcto:
Si realizaste la integración con Jira, selecciona el trabajo Sync SCC-Jira Tickets.
Si realizaste la integración con ServiceNow, selecciona el trabajo Sync SCC-ServiceNow Tickets.
Cambia el botón de activación para habilitar el trabajo seleccionado.
Haz clic en Guardar para habilitar la sincronización automática de los datos de casos de Security Command Center con un sistema de emisión de tickets.
Crea tickets para casos existentes
Security Command Center crea automáticamente tickets solo para los casos que se abren después de que te integras con un sistema de tickets y no adjunta de forma retroactiva nuevos playbooks a las alertas existentes. Para crear tickets para los casos abiertos antes de la integración con un sistema de tickets, usa uno de los siguientes enfoques:
Cierra un caso que no tenga un ticket y espera hasta que SCC vuelva a ingerir los hallazgos y asigne un nuevo manual a las alertas del caso.
Agrega manualmente una guía a cualquier alerta de un caso que se haya abierto antes de que realizaras la integración con un sistema de tickets.
Cómo cerrar un caso sin ticket
Para cerrar un caso que no tiene un ticket, completa los siguientes pasos:
En la Google Cloud consola, ve a Security Command Center.
En la navegación, haz clic en Riesgo > Casos. La página Casos se abre en la consola de Operaciones de seguridad.
Haz clic en
Abrir filtro. Se abrirá el panel Filtro de cola de casos.En el Filtro de la cola de casos, especifica lo siguiente:
- En el campo Período, especifica el período para los casos abiertos.
- Establece Operador lógico en AND.
- Para el primer valor en Operador lógico, selecciona Etiquetas.
- Establece la condición en ES.
- Para el segundo valor, selecciona Internal-SCC-Ticket-Info.
- Haz clic en Aplicar para actualizar los casos en la cola y mostrar solo los que coincidan con el filtro que especificaste.
En la cola de casos, selecciona el caso.
En la vista del caso, selecciona
Cerrar caso. Se abrirá la ventana Cerrar caso.En la ventana Cerrar caso, especifica lo siguiente:
Selecciona un valor para el campo Reason para indicar el motivo del cierre del caso.
Selecciona un valor para el campo Causa raíz para indicar el motivo del cierre del caso.
Opcional: Agrega un comentario.
Haz clic en Cerrar para cerrar el caso. Luego, Security Command Center vuelve a ingerir los resultados en un caso nuevo y les adjunta automáticamente un manual correcto.
Cómo agregar manualmente una guía a una alerta
Para adjuntar manualmente un playbook a una alerta en un caso existente, completa los siguientes pasos:
En la Google Cloud consola, ve a Security Command Center.
Haz clic en Riesgo > Casos. Se abrirá la página Casos en la consola de Operaciones de seguridad.
Haz clic en
Abrir filtro. Se abrirá el panel Filtro de cola de casos.En el Filtro de la cola de casos, especifica lo siguiente:
- En el campo Período, especifica el período para los casos abiertos.
- Establece Operador lógico en AND.
- Para el primer valor en Operador lógico, selecciona Etiquetas.
- Establece la condición en ES.
- Para el segundo valor, selecciona Internal-SCC-Ticket-Info.
- Haz clic en Aplicar para actualizar los casos en la cola y mostrar solo los que coincidan con el filtro que especificaste.
En la cola de casos, selecciona el caso.
Selecciona cualquier alerta que se encuentre en un caso.
En una vista de alerta, ve a la pestaña Playbooks.
Haz clic en add Agregar Playbook. Aparecerá la ventana Agregar una guía con una lista de las guías disponibles.
En el campo de búsqueda de la ventana Add a Playbook, ingresa
Posture Findings.- Si realizaste la integración con Jira, selecciona el manual Hallazgos de postura con Jira.
- Si realizaste la integración con ServiceNow, selecciona el manual Posture Findings With SNOW.
Haz clic en Agregar para agregar un playbook a una alerta.
Cuando se completa, el manual crea un ticket para un caso y lo completa automáticamente con la información del caso.
Agregar una guía a una sola alerta dentro de un caso es suficiente para crear un ticket y activar la sincronización de datos.
¿Qué sigue?
Obtén más información para determinar la propiedad de los hallazgos de la evaluación de la seguridad.
Obtén más información para agrupar hallazgos en casos.
Obtén más información para asignar tickets según los casos de postura.