Intégrer Security Command Center Enterprise à des systèmes de gestion des tickets

Enterprise

Ce document explique comment intégrer le niveau Enterprise de Security Command Center à des systèmes de suivi des demandes après avoir configuré l'orchestration, l'automatisation et la réponse de sécurité (SOAR).

L'intégration aux systèmes de gestion des tickets est facultative et nécessite une configuration manuelle. Si vous utilisez la configuration Enterprise par défaut de Security Command Center, vous n'avez pas besoin d'effectuer cette procédure. Vous pourrez intégrer un système de billetterie à tout moment.

Présentation

Vous pouvez suivre les résultats à l'aide de la console et des API avec la configuration Enterprise par défaut de Security Command Center. Si votre organisation utilise des systèmes de gestion des tickets pour suivre les problèmes, intégrez-les à Jira ou ServiceNow après avoir configuré votre instance Google Security Operations.

Lorsqu'il reçoit des résultats pour des ressources, le connecteur SCC Enterprise – Urgent Posture Findings les analyse et les regroupe dans des demandes nouvelles ou existantes, en fonction du type de résultat.

Si vous intégrez un système de gestion des tickets, Security Command Center crée un ticket chaque fois qu'il crée une demande pour les résultats. Security Command Center met automatiquement à jour la demande associée chaque fois qu'un problème est modifié.

Un même cas peut contenir plusieurs résultats. Security Command Center crée un ticket pour chaque cas et synchronise le contenu et les informations du cas avec le ticket correspondant pour informer les personnes chargées des tickets des mesures à prendre.

La synchronisation entre une demande et son ticket fonctionne dans les deux sens :

• Les modifications apportées à une demande, comme un changement d'état ou un nouveau commentaire, sont automatiquement répercutées dans le ticket associé.

• De même, les informations sur les demandes sont synchronisées avec la demande, l'enrichissant avec des informations provenant du système de suivi des demandes.

Avant de commencer

Avant de configurer Jira ou ServiceNow, indiquez une adresse e-mail valide pour le paramètre Propriétaire de secours dans le connecteur SCC Enterprise – Urgent Posture Findings, et assurez-vous que cette adresse e-mail peut être attribuée dans votre système de gestion des tickets.

Intégrer à Jira

Veillez à suivre toutes les étapes d'intégration pour synchroniser les mises à jour des demandes avec les problèmes Jira et garantir le bon déroulement du playbook.

La priorité d'une demande est reflétée dans le niveau de gravité du problème Jira.

Créer un projet dans Jira

Pour créer un projet dans Jira pour les problèmes Security Command Center Enterprise appelé SCC Enterprise Project (SCCE), exécutez une action manuelle dans la demande. Vous pouvez utiliser un cas existant ou en simuler un. Pour en savoir plus sur la simulation de cas, consultez la page Simuler des cas dans la documentation Google SecOps.

Pour créer un projet Jira, vous devez disposer d'identifiants d'administrateur Jira.

Pour créer un projet Jira :

1. Dans la console Google Cloud , accédez à Risque > Demandes.
2. Sélectionnez un cas existant ou celui que vous avez simulé.
3. Dans l'onglet Aperçu de la demande, cliquez sur Action manuelle.
4. Dans le champ Rechercher de l'action manuelle, saisissez Create SCC Enterprise.
5. Dans les résultats de recherche sous l'intégration SCCEnterprise, sélectionnez l'action Create SCC Enterprise Cloud Posture Ticket Type Jira (Créer un type de ticket Jira sur la posture de sécurité du cloud SCC Enterprise). La boîte de dialogue s'ouvre.

6. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API de votre instance Jira, par exemple https://YOUR_DOMAIN_NAME.atlassian.net.

7. Pour configurer le paramètre Nom d'utilisateur, saisissez le nom d'utilisateur que vous utilisez pour vous connecter à Jira en tant qu'administrateur.

8. Pour configurer le paramètre Mot de passe, saisissez le mot de passe que vous utilisez pour vous connecter à Jira en tant qu'administrateur.

9. Pour configurer le paramètre Jeton d'API, saisissez le jeton d'API de votre compte administrateur Atlassian généré dans la console Jira.

10. Cliquez sur Exécuter. Attendez que l'action soit terminée.

Facultatif : Configurer une mise en page personnalisée pour les problèmes Jira

1. Connectez-vous à Jira en tant qu'administrateur.
2. Accédez à Projets > Projet SCC Enterprise (SCCE).
3. Ajustez et réorganisez les champs de problème. Pour en savoir plus sur la gestion des champs de problème, consultez Configurer la mise en page des champs de problème dans la documentation Jira.

Configurer l'intégration Jira

1. Dans la console Google Cloud , accédez à Réponse > Playbooks pour ouvrir la navigation dans la console Security Operations.
2. Dans le menu de navigation de la console Security Operations, accédez à Réponse > Configuration des intégrations.
3. Sélectionnez l'environnement par défaut.
4. Dans le champ Rechercher de l'intégration, saisissez Jira. L'intégration Jira s'affiche dans les résultats de recherche.
5. Cliquez sur settings Configurer l'instance. La boîte de dialogue s'ouvre.

6. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API de votre instance Jira, par exemple https://YOUR_DOMAIN_NAME.atlassian.net.

7. Pour configurer le paramètre Nom d'utilisateur, saisissez le nom d'utilisateur que vous utilisez pour vous connecter à Jira. N'utilisez pas vos identifiants d'administrateur.

8. Pour configurer le paramètre Jeton d'API, saisissez le jeton d'API de votre compte Atlassian non administrateur généré dans la console Jira.

9. Cliquez sur Enregistrer.

10. Pour tester votre configuration, cliquez sur Test.

Activer le playbook "Posture Findings With Jira"

1. Dans la console Google Cloud , accédez à Réponse > Playbooks pour ouvrir la page Playbooks de la console Security Operations.
2. Dans la barre de recherche du playbook, saisissez Generic.
3. Sélectionnez le playbook Posture Findings - Generic (Résultats de posture – Générique). Ce playbook est activé par défaut.
4. Désactivez le playbook à l'aide du bouton bascule.
5. Cliquez sur Enregistrer.
6. Dans la barre de recherche du playbook, saisissez Jira.
7. Sélectionnez le playbook Posture Findings With Jira. Ce playbook est désactivé par défaut.
8. Cliquez sur le bouton bascule pour activer le playbook.
9. Cliquez sur Enregistrer.

Intégrer à ServiceNow

Veillez à suivre toutes les étapes d'intégration pour synchroniser les mises à jour des demandes Google SecOps avec les tickets ServiceNow et assurer le bon déroulement du playbook.

Créer et configurer un type de demande ServiceNow personnalisé

Veillez à créer et à configurer le type de demande ServiceNow personnalisé, à activer l'onglet "Activities" (Activités) dans l'UI ServiceNow et à éviter d'utiliser la mise en page de demande erronée.

Créer un type de demande ServiceNow personnalisé

Pour créer un type de ticket ServiceNow personnalisé, vous devez disposer d'identifiants d'administrateur ServiceNow.

Pour créer un type de demande personnalisé, procédez comme suit :

1. Dans la console Google Cloud , accédez à Risque > Demandes.
2. Sélectionnez un cas existant ou celui que vous avez simulé.
3. Dans l'onglet Aperçu de la demande, cliquez sur Action manuelle.
4. Dans le champ Rechercher de l'action manuelle, saisissez Create SCC Enterprise.
5. Dans les résultats de recherche, sous l'intégration SCCEnterprise, sélectionnez l'action Create SCC Enterprise Cloud Posture Ticket Type SNOW (Créer un type de ticket SNOW pour la posture de sécurité du cloud SCC Enterprise). La boîte de dialogue s'ouvre.

6. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API de votre instance ServiceNow, par exemple https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Pour configurer le paramètre Nom d'utilisateur, saisissez le nom d'utilisateur que vous utilisez pour vous connecter à ServiceNow en tant qu'administrateur.

8. Pour configurer le paramètre Mot de passe, saisissez le mot de passe que vous utilisez pour vous connecter à ServiceNow en tant qu'administrateur.

9. Pour configurer le paramètre Rôle de table, laissez le champ vide ou indiquez une valeur si vous en avez une. Ce paramètre n'accepte qu'une seule valeur de rôle.

   Par défaut, le champ Rôle de table est vide pour créer un rôle personnalisé dans ServiceNow afin de gérer spécifiquement les tickets Security Command Center Enterprise. Seuls les utilisateurs ServiceNow disposant de ce nouveau rôle personnalisé ont accès aux tickets Security Command Center Enterprise.

   Si vous disposez déjà d'un rôle dédié aux utilisateurs qui gèrent les incidents dans ServiceNow et que vous souhaitez l'utiliser pour gérer les résultats Security Command Center Enterprise, saisissez le nom du rôle ServiceNow existant dans le champ Rôle de table. Par exemple, si vous fournissez la valeur incident_handler_role existante, tous les utilisateurs auxquels le rôle incident_handler_role a été attribué dans ServiceNow peuvent accéder aux tickets Security Command Center Enterprise.

10. Cliquez sur Exécuter. Attendez que l'action soit terminée.

Configurer une mise en page personnalisée pour les tickets ServiceNow

Pour vous assurer que l'interface utilisateur ServiceNow affiche correctement les mises à jour liées aux demandes et aux commentaires associés, procédez comme suit :

1. Dans votre compte administrateur ServiceNow, accédez à l'onglet All (Tous).
2. Dans le champ Rechercher, saisissez SCC Enterprise.
3. Dans la liste déroulante, sélectionnez SCC Enterprise Cloud Posture Ticket (Ticket SCC Enterprise Cloud Posture), puis lancez une recherche.
4. Sélectionnez Posture Test Ticket (Demande de test de posture). La page de mise en page des tickets ServiceNow s'ouvre.
5. Sur la page de mise en page du ticket ServiceNow, accédez à Actions supplémentaires> Configurer> Mise en page du formulaire.
6. Accédez à la section Vue et section du formulaire.
7. Dans le champ Section, sélectionnez u_scc_enterprise_cloud_posture_ticket.
8. Cliquez sur Enregistrer. Une fois la page actualisée, le modèle de demande comporte des champs répartis sur deux colonnes.
9. Accédez à Actions supplémentaires> Configurer> Mise en page du formulaire.
10. Accédez à la section Vue et section du formulaire.
11. Dans le champ Section, sélectionnez Résumé.
12. Cliquez sur Enregistrer. Une fois la page actualisée, le modèle de demande présente la nouvelle structure de résumé.

Configurer l'intégration de ServiceNow

1. Dans la console Google Cloud , accédez à Réponse > Playbooks pour ouvrir la navigation dans la console Security Operations.
2. Dans le panneau de navigation de la console Security Operations, accédez à Réponse > Configuration des intégrations.
3. Sélectionnez l'environnement par défaut.
4. Dans le champ Rechercher de l'intégration, saisissez ServiceNow. L'intégration ServiceNow s'affiche dans les résultats de recherche.
5. Cliquez sur settings Configurer l'instance. La boîte de dialogue s'ouvre.

6. Pour configurer le paramètre Racine de l'API, saisissez la racine de l'API de votre instance ServiceNow, par exemple https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Pour configurer le paramètre Nom d'utilisateur, saisissez le nom d'utilisateur que vous utilisez pour vous connecter à ServiceNow. N'utilisez pas vos identifiants d'administrateur.

8. Pour configurer le paramètre Mot de passe, saisissez le mot de passe que vous utilisez pour vous connecter à ServiceNow. N'utilisez pas vos identifiants d'administrateur.

9. Cliquez sur Enregistrer.

10. Pour tester votre configuration, cliquez sur Test.

Activer le playbook "Enable the Posture Findings With SNOW" (Activer les conclusions sur la posture avec SNOW)

1. Dans la console Google Cloud , accédez à Réponse > Playbooks.
2. Dans la barre de recherche du playbook, saisissez Generic.
3. Sélectionnez le playbook Posture Findings - Generic (Résultats de posture – Générique). Ce playbook est activé par défaut.
4. Désactivez le playbook à l'aide du bouton bascule.
5. Cliquez sur Enregistrer.
6. Dans la barre de recherche du playbook, saisissez SNOW.
7. Sélectionnez le playbook Posture Findings With SNOW. Ce playbook est désactivé par défaut.
8. Cliquez sur le bouton bascule pour activer le playbook.
9. Cliquez sur Enregistrer.

Activer la synchronisation des données des demandes

Security Command Center synchronise automatiquement les informations entre une demande et son ticket correspondant, en veillant à ce que la priorité, l'état, les commentaires et les autres données pertinentes correspondent entre une demande et son ticket.

Pour synchroniser les données des demandes, Security Command Center utilise des processus internes automatiques appelés "jobs de synchronisation". Les jobs Synchroniser les tickets SCC-Jira et Synchroniser les tickets SCC-ServiceNow synchronisent les données des demandes entre Security Command Center et les systèmes de suivi des demandes intégrés. Les deux tâches sont initialement désactivées. Vous devez les activer pour lancer la synchronisation automatique des données d'assistance.

La clôture d'une demande résout automatiquement le ticket correspondant. La résolution d'une demande dans Jira ou ServiceNow déclenche les jobs de synchronisation pour fermer également la demande.

Avant de commencer

Pour activer la synchronisation des demandes, vous devez disposer de l'un des rôles SOC suivants sur la page Paramètres SOAR :

• Administrateur
• Gestionnaire de failles
• Gestionnaire de menaces

Pour en savoir plus sur les rôles et les autorisations SOC requis pour les utilisateurs, consultez Contrôler l'accès aux fonctionnalités des pages de la console Security Operations.

Activer la synchronisation pour les systèmes de gestion des tickets

Pour vous assurer que les informations des demandes et des tickets sont automatiquement synchronisées, activez le job de synchronisation correspondant au système de gestion des demandes que vous avez intégré.

Pour activer le job de synchronisation, procédez comme suit :

1. Dans la console Google Cloud , accédez à Security Command Center.

   Accéder à Security Command Center

2. Dans le menu de navigation, cliquez sur Réponse > Playbooks. La page Playbooks s'ouvre dans la console Security Operations.

3. Cliquez sur Réponse > JobScheduler.

4. Choisissez le bon job de synchronisation :

   • Si vous avez intégré Jira, sélectionnez le job Synchroniser les tickets SCC-Jira.

   • Si vous avez intégré ServiceNow, sélectionnez le job Synchroniser les tickets SCC-ServiceNow.

5. Activez le bouton bascule pour activer le job sélectionné.

6. Cliquez sur Enregistrer pour activer la synchronisation automatique des données des demandes avec un système de suivi des demandes dans Security Command Center.

Créer des demandes pour des cas existants

Security Command Center ne crée automatiquement des tickets que pour les demandes ouvertes après l'intégration à un système de gestion des demandes. Il n'associe pas de nouveaux playbooks aux alertes existantes de manière rétroactive. Pour créer des tickets pour les demandes ouvertes avant l'intégration à un système de gestion des demandes, utilisez l'une des méthodes suivantes :

• Fermez une demande sans ticket et attendez que SCC réingère les résultats et attribue un nouveau playbook aux alertes de la demande.

• Ajoutez manuellement un playbook à n'importe quelle alerte dans une demande ouverte avant l'intégration à un système de gestion des demandes.

Clôturer une demande sans ticket

Pour clôturer une demande sans ticket, procédez comme suit :

1. Dans la console Google Cloud , accédez à Security Command Center.

   Accéder à Security Command Center

2. Dans le volet de navigation, cliquez sur Risque > Demandes. La page Cas s'ouvre dans la console Security Operations.

3. Cliquez sur Ouvrir le filtre. Le panneau Filtre de la file d'attente des cas s'ouvre.

4. Dans le filtre de file d'attente des demandes, spécifiez les éléments suivants :

   1. Dans le champ Période, spécifiez la période pour les demandes ouvertes.
   2. Définissez l'opérateur logique sur AND.
   3. Pour la première valeur sous Opérateur logique, sélectionnez Tags.
   4. Définissez la condition sur EST.
   5. Pour la deuxième valeur, sélectionnez Internal-SCC-Ticket-Info.
   6. Cliquez sur Appliquer pour mettre à jour les demandes dans la file d'attente et n'afficher que celles qui correspondent au filtre que vous avez spécifié.

5. Dans la file d'attente des demandes, sélectionnez la demande.

6. Dans la vue de la demande, sélectionnez Fermer la demande. La fenêtre Fermer la demande s'ouvre.

7. Dans la fenêtre Clore la demande, spécifiez les éléments suivants :

   1. Sélectionnez une valeur dans le champ Motif pour indiquer la raison de la clôture de la demande.

   2. Sélectionnez une valeur pour le champ Cause première afin d'indiquer la raison de la clôture de la demande.

   3. Facultatif : Ajoutez un commentaire.

   4. Cliquez sur Fermer pour clôturer la demande. Security Command Center réingère ensuite les résultats dans une nouvelle demande et y associe automatiquement le bon playbook.

Ajouter manuellement un playbook à une alerte

Pour associer manuellement un playbook à une alerte dans une demande existante, procédez comme suit :

1. Dans la console Google Cloud , accédez à Security Command Center.

   Accéder à Security Command Center

2. Cliquez sur Risque > Cas. La page Cas s'ouvre dans la console Security Operations.

3. Cliquez sur Ouvrir le filtre. Le panneau Filtre de la file d'attente des cas s'ouvre.

4. Dans le filtre de file d'attente des demandes, spécifiez les éléments suivants :

   1. Dans le champ Période, spécifiez la période pour les demandes ouvertes.
   2. Définissez l'opérateur logique sur AND.
   3. Pour la première valeur sous Opérateur logique, sélectionnez Tags.
   4. Définissez la condition sur EST.
   5. Pour la deuxième valeur, sélectionnez Internal-SCC-Ticket-Info.
   6. Cliquez sur Appliquer pour mettre à jour les demandes dans la file d'attente et n'afficher que celles qui correspondent au filtre que vous avez spécifié.

5. Dans la file d'attente des demandes, sélectionnez la demande.

6. Sélectionnez une alerte contenue dans une demande.

7. Dans une vue d'alerte, accédez à l'onglet Playbooks.

8. Cliquez sur Ajouter Ajouter un playbook. La fenêtre Ajouter un playbook s'affiche avec la liste des playbooks disponibles.

9. Dans le champ de recherche de la fenêtre Ajouter un playbook, saisissez Posture Findings.

   • Si vous avez intégré Jira, sélectionnez le playbook Posture Findings With Jira (Résultats de posture avec Jira).
   • Si vous avez intégré ServiceNow, sélectionnez le playbook Posture Findings With SNOW (Résultats de posture avec SNOW).

10. Cliquez sur Ajouter pour ajouter un playbook à une alerte.

Une fois le playbook terminé, il crée une demande pour un cas et la remplit automatiquement avec les informations du cas.

Il suffit d'ajouter un playbook à une seule alerte dans un cas pour créer un ticket et déclencher la synchronisation des données.

Étapes suivantes

• Découvrez comment déterminer la propriété des résultats de posture.

• Découvrez comment regrouper les résultats dans les dossiers.

• Découvrez comment attribuer des tickets en fonction des problèmes de posture.