Intégrer Security Command Center Enterprise à des systèmes de gestion des tickets

Ce document explique comment intégrer le niveau Enterprise de Security Command Center aux systèmes de gestion des tickets après avoir configuré l'orchestration, l'automatisation et la réponse de sécurité (SOAR).

L'intégration aux systèmes de billetterie est facultative et nécessite une configuration manuelle. Si vous utilisez la configuration par défaut de Security Command Center Enterprise, vous n'avez pas besoin d'effectuer cette procédure. Vous pourrez intégrer un système de billetterie plus tard, à tout moment.

Présentation

Vous pouvez suivre les résultats à l'aide de la console et des API avec la configuration par défaut de Security Command Center Enterprise. Si votre organisation utilise des systèmes de gestion des tickets pour suivre les problèmes, intégrez-les à Jira ou à ServiceNow après avoir configuré votre instance Google Security Operations.

Lorsqu'il reçoit des résultats pour des ressources, le connecteur SCC Enterprise – Urgent Posture Findings les analyse et les regroupe dans des demandes nouvelles ou existantes, en fonction du type de résultat.

Si vous effectuez une intégration avec un système de gestion des tickets, Security Command Center crée un ticket chaque fois qu'il crée une demande pour les résultats. Security Command Center met automatiquement à jour la demande associée chaque fois qu'une demande est mise à jour.

Une même demande peut contenir plusieurs résultats. Security Command Center crée un ticket pour chaque demande et synchronise le contenu et les informations de la demande avec le ticket correspondant pour indiquer aux personnes chargées de la demande ce qu'elles doivent corriger.

La synchronisation entre une demande et sa demande d'assistance fonctionne dans les deux sens:

• Les modifications apportées à une demande, comme un changement d'état ou un nouveau commentaire, sont automatiquement répercutées dans la demande associée.

• De même, les informations de la demande sont synchronisées avec la demande d'assistance, en l'enrichissant d'informations provenant du système de gestion des demandes.

Avant de commencer

Avant de configurer Jira ou ServiceNow, fournissez une adresse e-mail valide pour le paramètre Propriétaire de remplacement dans le connecteur SCC Enterprise – Urgent Posture Findings, et assurez-vous que cette adresse e-mail peut être attribuée dans votre système de gestion des tickets.

Intégrer à Jira

Veillez à suivre toutes les étapes d'intégration pour synchroniser les mises à jour de la demande avec les problèmes Jira et vous assurer du bon déroulement du playbook.

La priorité de la demande est reflétée dans la gravité du problème dans Jira.

Créer un projet dans Jira

Pour créer un projet dans Jira pour les problèmes liés à Security Command Center Enterprise appelé Projet SCC Enterprise (SCCE), exécutez une action manuelle dans la demande. Vous pouvez utiliser un cas existant ou en simuler un. Pour en savoir plus sur la simulation de cas, consultez la page Simuler des cas dans la documentation Google SecOps.

Pour créer un projet Jira, vous devez disposer d'identifiants de niveau administrateur Jira.

Pour créer un projet Jira, procédez comme suit:

1. Dans la console Security Operations, accédez à Demandes.
2. Sélectionnez un cas existant ou celui que vous avez simulé.
3. Dans l'onglet Vue d'ensemble de la demande, cliquez sur Action manuelle.
4. Dans le champ de l'action manuelle Rechercher, saisissez Create SCC Enterprise.
5. Dans les résultats de recherche sous l'intégration SCCEnterprise, sélectionnez l'action Créer un type de demande Jira pour la posture cloud SCC Enterprise. La boîte de dialogue s'ouvre.

6. Pour configurer le paramètre API Root (Racine de l'API), saisissez la racine de l'API de votre instance Jira, par exemple https://YOUR_DOMAIN_NAME.atlassian.net.

7. Pour configurer le paramètre Nom d'utilisateur, saisissez le nom d'utilisateur que vous utilisez pour vous connecter à Jira en tant qu'administrateur.

8. Pour configurer le paramètre Mot de passe, saisissez le mot de passe que vous utilisez pour vous connecter à Jira en tant qu'administrateur.

9. Pour configurer le paramètre Jeton d'API, saisissez le jeton d'API de votre compte administrateur Atlassian généré dans la console Jira.

10. Cliquez sur Exécuter. Attendez la fin de l'action.

Facultatif: Configurer la mise en page personnalisée des problèmes Jira

1. Connectez-vous à Jira en tant qu'administrateur.
2. Accédez à Projects > SCC Enterprise Project (SCCE) (Projets > SCC Enterprise Project (SCCE)).
3. Ajustez et réorganisez les champs de problème. Pour en savoir plus sur la gestion des champs de problème, consultez la section Configurer la mise en page des champs de problème dans la documentation Jira.

Configurer l'intégration dans Jira

1. Dans la console Security Operations, accédez à Réponse > Configuration des intégrations.
2. Sélectionnez l'environnement par défaut.
3. Dans le champ Search (Rechercher) de l'intégration, saisissez Jira. L'intégration dans Jira s'affiche comme résultat de recherche.
4. Cliquez sur settings Configurer l'instance. La boîte de dialogue s'ouvre.

5. Pour configurer le paramètre API Root (Racine de l'API), saisissez la racine de l'API de votre instance Jira, par exemple https://YOUR_DOMAIN_NAME.atlassian.net.

6. Pour configurer le paramètre Nom d'utilisateur, saisissez le nom d'utilisateur que vous utilisez pour vous connecter à Jira. N'utilisez pas vos identifiants d'administrateur.

7. Pour configurer le paramètre Jeton d'API, saisissez le jeton d'API de votre compte Atlassian non administrateur généré dans la console Jira.

8. Cliquez sur Enregistrer.

9. Pour tester votre configuration, cliquez sur Test.

Activer le playbook "Déterminer la posture avec Jira"

1. Dans la console Security Operations, accédez à Réponse > Playbooks.
2. Dans la barre de recherche du playbook, saisissez Generic.
3. Sélectionnez le playbook Résultats de l'analyse de la posture - Générique. Ce playbook est activé par défaut.
4. Désactivez le playbook en déplaçant le bouton bascule.
5. Cliquez sur Enregistrer.
6. Dans la barre de recherche du playbook, saisissez Jira.
7. Sélectionnez le playbook Déterminer la posture avec Jira. Ce playbook est désactivé par défaut.
8. Activez le bouton bascule pour activer le playbook.
9. Cliquez sur Enregistrer.

Intégrer ServiceNow

Veillez à suivre toutes les étapes d'intégration pour synchroniser les mises à jour des demandes Google SecOps avec les demandes ServiceNow et assurer le bon déroulement du playbook.

Créer et configurer un type de demande personnalisé ServiceNow

Veillez à créer et à configurer le type de demande personnalisé ServiceNow, à activer l'onglet "Activités" dans l'interface utilisateur de ServiceNow et à éviter d'utiliser la mise en page de demande erronée.

Créer un type de demande personnalisé ServiceNow

Pour créer un type d'e-ticket ServiceNow personnalisé, vous devez disposer d'identifiants de niveau administrateur ServiceNow.

Pour créer un type d'e-mail personnalisé, procédez comme suit:

1. Dans la console Security Operations, accédez à Demandes.
2. Sélectionnez un cas existant ou celui que vous avez simulé.
3. Dans l'onglet Vue d'ensemble de la demande, cliquez sur Action manuelle.
4. Dans le champ de l'action manuelle Rechercher, saisissez Create SCC Enterprise.
5. Dans les résultats de recherche sous l'intégration SCCEnterprise, sélectionnez l'action Créer un ticket de type SNOW pour la posture cloud de SCC Enterprise. La boîte de dialogue s'ouvre.

6. Pour configurer le paramètre API Root (Racine de l'API), saisissez la racine de l'API de votre instance ServiceNow, par exemple https://INSTANCE_NAME.service-now.com/api/now/v1/.

7. Pour configurer le paramètre Username (Nom d'utilisateur), saisissez le nom d'utilisateur que vous utilisez pour vous connecter à ServiceNow en tant qu'administrateur.

8. Pour configurer le paramètre Password (Mot de passe), saisissez le mot de passe que vous utilisez pour vous connecter à ServiceNow en tant qu'administrateur.

9. Pour configurer le paramètre Rôle de table, laissez le champ vide ou fournissez une valeur si vous en avez une. Ce paramètre n'accepte qu'une seule valeur de rôle.

   Par défaut, le champ Rôle de table est vide. Vous pouvez ainsi créer un rôle personnalisé dans ServiceNow pour gérer spécifiquement les demandes Security Command Center Enterprise. Seuls les utilisateurs ServiceNow auxquels ce nouveau rôle personnalisé a été attribué ont accès aux demandes Security Command Center Enterprise.

   Si vous disposez déjà d'un rôle dédié aux utilisateurs qui gèrent les incidents dans ServiceNow et que vous souhaitez l'utiliser pour gérer les résultats de Security Command Center Enterprise, saisissez le nom du rôle ServiceNow existant dans le champ Rôle de table. Par exemple, si vous fournissez la valeur incident_handler_role existante, tous les utilisateurs auxquels le rôle incident_handler_role est attribué dans ServiceNow peuvent accéder aux demandes de l'Security Command Center Enterprise.

10. Cliquez sur Exécuter. Attendez la fin de l'action.

Configurer la mise en page personnalisée des demandes ServiceNow

Pour vous assurer que l'interface utilisateur de ServiceNow affiche correctement les mises à jour liées aux demandes et aux commentaires associés, procédez comme suit:

1. Dans votre compte administrateur ServiceNow, accédez à l'onglet Tout.
2. Dans le champ Rechercher, saisissez SCC Enterprise.
3. Dans la liste déroulante, sélectionnez SCC Enterprise Cloud Posture Ticket (Demande de posture cloud d'entreprise SCC) et effectuez une recherche.
4. Sélectionnez Demande de test de posture. La page de mise en page des demandes ServiceNow s'ouvre.
5. Sur la page de mise en page des demandes ServiceNow, accédez à Actions supplémentaires > Configurer > Mise en page du formulaire.
6. Accédez à la section Vue et section du formulaire.
7. Dans le champ Section, sélectionnez u_scc_enterprise_cloud_posture_ticket.
8. Cliquez sur Enregistrer. Une fois la page mise à jour, les champs du modèle de demande sont répartis sur deux colonnes.
9. Accédez à Actions supplémentaires > Configurer > Mise en page du formulaire.
10. Accédez à la section Vue et section du formulaire.
11. Dans le champ Section, sélectionnez Résumé.
12. Cliquez sur Enregistrer. Une fois la page mise à jour, le modèle de demande affiche la nouvelle structure de résumé.

Configurer l'intégration à ServiceNow

1. Dans la console Security Operations, accédez à Réponse > Configuration des intégrations.
2. Sélectionnez l'environnement par défaut.
3. Dans le champ Search (Rechercher) de l'intégration, saisissez ServiceNow. L'intégration ServiceNow s'affiche dans les résultats de recherche.
4. Cliquez sur settings Configurer l'instance. La boîte de dialogue s'ouvre.

5. Pour configurer le paramètre API Root (Racine de l'API), saisissez la racine de l'API de votre instance ServiceNow, par exemple https://INSTANCE_NAME.service-now.com/api/now/v1/.

6. Pour configurer le paramètre Nom d'utilisateur, saisissez le nom d'utilisateur que vous utilisez pour vous connecter à ServiceNow. N'utilisez pas vos identifiants d'administrateur.

7. Pour configurer le paramètre Password (Mot de passe), saisissez le mot de passe que vous utilisez pour vous connecter à ServiceNow. N'utilisez pas vos identifiants d'administrateur.

8. Cliquez sur Enregistrer.

9. Pour tester votre configuration, cliquez sur Test.

Activer le playbook "Déterminer la posture avec SNOW"

1. Dans la console Security Operations, accédez à Réponse > Playbooks.
2. Dans la barre de recherche du playbook, saisissez Generic.
3. Sélectionnez le playbook Résultats de l'analyse de la posture - Générique. Ce playbook est activé par défaut.
4. Désactivez le playbook en déplaçant le bouton bascule.
5. Cliquez sur Enregistrer.
6. Dans la barre de recherche du playbook, saisissez SNOW.
7. Sélectionnez le playbook Résultats de l'analyse de la posture avec SNOW. Ce playbook est désactivé par défaut.
8. Activez le bouton bascule pour activer le playbook.
9. Cliquez sur Enregistrer.

Activer la synchronisation des données des demandes

Security Command Center synchronise automatiquement les informations entre une demande et la demande correspondante, en veillant à ce que la priorité, l'état, les commentaires et d'autres données pertinentes correspondent entre les deux.

Pour synchroniser les données des demandes, Security Command Center utilise des processus automatiques internes appelés tâches de synchronisation. Les jobs Sync SCC-Jira Tickets (Synchroniser les demandes SCC-Jira) et Sync SCC-ServiceNow Tickets (Synchroniser les demandes SCC-ServiceNow) synchronisent les données des demandes entre Security Command Center et les systèmes de gestion des demandes intégrés. Les deux tâches sont initialement désactivées et vous devez les activer pour lancer la synchronisation automatique des données des demandes.

Lorsque vous fermez une demande, la demande correspondante est automatiquement résolue. La résolution d'une demande dans Jira ou ServiceNow déclenche également les tâches de synchronisation pour fermer la demande.

Avant de commencer

Pour activer la synchronisation des demandes, vous devez disposer de l'un des rôles SOC suivants dans la console Security Operations:

• Administrateur
• Gestionnaire des failles
• Gestionnaire de menaces

Pour en savoir plus sur les rôles SOC dans la console Security Operations et les autorisations requises pour les utilisateurs, consultez Contrôler l'accès aux fonctionnalités de la console Security Operations.

Activer la synchronisation pour les systèmes de billetterie

Pour vous assurer que les informations des demandes et des tickets sont automatiquement synchronisées, activez la tâche de synchronisation correspondant au système de gestion des demandes avec lequel vous avez intégré.

Pour activer la tâche de synchronisation, procédez comme suit:

1. Dans la console Security Operations, accédez à Réponse > Planificateur de tâches.

2. Sélectionnez la tâche de synchronisation appropriée:

   • Si vous avez intégré Jira, sélectionnez le job Sync SCC-Jira Tickets (Synchroniser les demandes SCC-Jira).

   • Si vous avez intégré ServiceNow, sélectionnez la tâche Sync SCC-ServiceNow Tickets (Synchroniser les demandes SCC-ServiceNow).

3. Activez le bouton bascule pour activer le job sélectionné.

4. Cliquez sur Enregistrer pour permettre à Security Command Center de synchroniser automatiquement les données des demandes avec un système de gestion des tickets.

Créer des demandes pour des demandes existantes

Security Command Center ne crée automatiquement des demandes d'assistance que pour les demandes ouvertes après l'intégration à un système de gestion des demandes d'assistance. Il n'associe pas rétroactivement de nouveaux playbooks aux alertes existantes. Pour créer des demandes pour les demandes ouvertes avant l'intégration à un système de gestion des demandes, utilisez l'une des méthodes suivantes:

• Fermez une demande sans demande et attendez que SCC réingère les résultats et attribue un nouveau playbook aux alertes de la demande.

• Ajoutez manuellement un playbook à toute alerte d'un ticket ouvert avant votre intégration à un système de gestion des tickets.

Clôturer une demande sans ticket

Pour clôturer une demande sans demande associée, procédez comme suit:

1. Dans la console Security Operations, accédez à Demandes.

2. Cliquez sur Ouvrir le filtre. Le panneau Filtre de la file d'attente des cas s'ouvre.

3. Dans le champ Filtre de file d'attente de demandes, spécifiez les éléments suivants:

   1. Dans le champ Période, spécifiez la période pour les demandes ouvertes.
   2. Définissez Opérateur logique sur ET.
   3. Pour la première valeur sous Opérateur logique, sélectionnez Balises.
   4. Définissez la condition sur EST.
   5. Pour la deuxième valeur, sélectionnez Internal-SCC-Ticket-Info.
   6. Cliquez sur Appliquer pour mettre à jour les demandes de la file d'attente et n'afficher que celles qui correspondent au filtre que vous avez spécifié.

4. Dans la file d'attente des demandes, sélectionnez la demande.

5. Dans la vue Demande, sélectionnez Close Case (Fermer la demande). La fenêtre Close Case (Clôturer la demande) s'ouvre.

6. Dans la fenêtre Close Case (Clôturer la demande), spécifiez les éléments suivants:

   1. Sélectionnez une valeur pour le champ Motif afin d'indiquer le motif de la clôture de la demande.

   2. Sélectionnez une valeur pour le champ Cause racine afin d'indiquer la raison de la clôture de la demande.

   3. Facultatif: ajoutez un commentaire.

   4. Cliquez sur Close (Fermer) pour clôturer la demande. Security Command Center réingère ensuite les résultats dans une nouvelle demande et leur associe automatiquement un playbook approprié.

Ajouter manuellement un playbook à une alerte

Pour associer manuellement un playbook à une alerte dans une demande existante, procédez comme suit:

1. Dans la console Security Operations, accédez à Demandes.

2. Cliquez sur Ouvrir le filtre. Le panneau Filtre de la file d'attente des cas s'ouvre.

3. Dans le champ Filtre de file d'attente de demandes, spécifiez les éléments suivants:

   1. Dans le champ Période, spécifiez la période pour les demandes ouvertes.
   2. Définissez Opérateur logique sur ET.
   3. Pour la première valeur sous Opérateur logique, sélectionnez Balises.
   4. Définissez la condition sur EST.
   5. Pour la deuxième valeur, sélectionnez Internal-SCC-Ticket-Info.
   6. Cliquez sur Appliquer pour mettre à jour les demandes de la file d'attente et n'afficher que celles qui correspondent au filtre que vous avez spécifié.

4. Dans la file d'attente des demandes, sélectionnez la demande.

5. Sélectionnez une alerte contenue dans une demande.

6. Dans une vue d'alerte, accédez à l'onglet Playbooks.

7. Cliquez sur Ajouter > Ajouter un playbook. La fenêtre Ajouter un playbook s'affiche avec la liste des playbooks disponibles.

8. Dans le champ de recherche de la fenêtre Ajouter un playbook, saisissez Posture Findings.

   • Si vous avez effectué l'intégration avec Jira, sélectionnez le playbook Déterminer la posture avec Jira.
   • Si vous avez effectué l'intégration avec ServiceNow, sélectionnez le playbook Résultats de l'analyse de la posture avec SNOW.

9. Cliquez sur Ajouter pour ajouter un playbook à une alerte.

Une fois l'opération terminée, le playbook crée une demande pour une demande et renseigne automatiquement la demande avec les informations de la demande.

Ajouter un playbook à une seule alerte dans une demande suffit à créer une demande et à déclencher la synchronisation des données.

Étape suivante

• Découvrez comment déterminer la responsabilité des résultats de l'analyse de la posture.

• Découvrez comment grouper les résultats dans des cas.

• Découvrez comment attribuer des demandes en fonction des cas de posture.