Dokumen ini menjelaskan cara mengintegrasikan paket Enterprise Security Command Center dengan sistem penyediaan tiket setelah mengonfigurasi orkestrasi, otomatisasi, dan respons keamanan (SOAR).
Integrasi dengan sistem tiket bersifat opsional dan memerlukan konfigurasi manual. Jika Anda menggunakan konfigurasi Security Command Center Enterprise default, Anda tidak perlu melakukan prosedur ini. Anda dapat melakukan integrasi dengan sistem penjualan tiket nanti kapan saja.
Ringkasan
Anda dapat melacak temuan menggunakan konsol dan API dengan konfigurasi Security Command Center Enterprise default. Jika organisasi Anda menggunakan sistem tiket untuk melacak masalah, lakukan integrasi dengan Jira atau ServiceNow setelah Anda mengonfigurasi instance Google Security Operations.
Setelah menerima temuan untuk resource, SCC Enterprise – Urgent Posture Findings Connector akan menganalisis dan mengelompokkannya ke dalam kasus baru atau yang sudah ada, bergantung pada jenis temuan.
Jika Anda berintegrasi dengan sistem penyediaan tiket, Security Command Center akan membuat tiket baru setiap kali membuat kasus baru untuk temuan. Security Command Center secara otomatis memperbarui tiket terkait setiap kali kasus diperbarui.
Satu kasus dapat berisi beberapa temuan. Security Command Center membuat satu tiket untuk setiap kasus dan menyinkronkan konten dan informasi kasus dengan tiket yang sesuai untuk memberi tahu penerima tugas tiket tentang tindakan perbaikan yang harus dilakukan.
Sinkronisasi antara kasus dan tiketnya berfungsi dua arah:
Perubahan dalam kasus, seperti pembaruan status atau komentar baru, akan otomatis tercermin dalam tiket terkait.
Demikian pula, detail tiket disinkronkan kembali ke kasus, sehingga memperkaya kasus dengan informasi dari sistem tiket.
Sebelum memulai
Sebelum mengonfigurasi Jira atau ServiceNow, berikan alamat email yang valid untuk parameter Pemilik Pengganti di SCC Enterprise – Urgent Posture Findings Connector, dan pastikan email ini dapat ditetapkan di sistem tiket Anda.
Mengintegrasikan dengan Jira
Pastikan untuk menyelesaikan semua langkah integrasi untuk menyinkronkan pembaruan kasus dengan masalah Jira dan memastikan alur playbook yang benar.
Prioritas kasus tercermin dalam tingkat keparahan masalah Jira.
Membuat project baru di Jira
Untuk membuat project baru di Jira bagi masalah Security Command Center Enterprise yang disebut SCC Enterprise Project (SCCE), jalankan tindakan manual dalam kasus tersebut. Anda dapat menggunakan kasus yang ada atau menyimulasikannya. Untuk mengetahui informasi selengkapnya tentang menyimulasikan kasus, lihat halaman Menyimulasikan kasus dalam dokumentasi Google SecOps.
Membuat project Jira baru memerlukan kredensial tingkat admin Jira.
Untuk membuat project Jira baru, selesaikan langkah-langkah berikut:
- Di konsol Google Cloud , buka Risk > Cases.
- Pilih kasus yang ada atau kasus yang telah Anda simulasikan.
- Di tab Ringkasan Kasus, klik Tindakan Manual.
- Di kolom tindakan manual Penelusuran, masukkan
Create SCC Enterprise. - Di hasil penelusuran di bagian integrasi SCCEnterprise, pilih tindakan Create SCC Enterprise Cloud Posture Ticket Type Jira. Jendela dialog akan terbuka.
Untuk mengonfigurasi parameter API Root, masukkan root API instance Jira Anda, seperti
https://YOUR_DOMAIN_NAME.atlassian.netUntuk mengonfigurasi parameter Nama Pengguna, masukkan nama pengguna yang Anda gunakan untuk login ke Jira sebagai administrator.
Untuk mengonfigurasi parameter Sandi, masukkan sandi yang Anda gunakan untuk login ke Jira sebagai administrator.
Untuk mengonfigurasi parameter Token API, masukkan token API akun admin Atlassian Anda yang dibuat di konsol Jira.
Klik Jalankan. Tunggu hingga tindakan selesai.
Opsional: Mengonfigurasi tata letak masalah Jira kustom
- Login ke Jira sebagai administrator.
- Buka Projects > SCC Enterprise Project (SCCE).
- Menyesuaikan dan menyusun ulang kolom masalah. Untuk mengetahui detail selengkapnya tentang cara mengelola kolom masalah, lihat Mengonfigurasi tata letak kolom masalah dalam dokumentasi Jira.
Mengonfigurasi integrasi Jira
- Di konsol Google Cloud , buka Response > Playbooks untuk membuka navigasi konsol Operasi Keamanan.
- Di navigasi konsol Operasi Keamanan, buka Respons > Penyiapan Integrasi.
- Pilih Default Environment.
- Di kolom Penelusuran integrasi, masukkan
Jira. Integrasi Jira ditampilkan sebagai hasil penelusuran. - Klik Configure Instance. Jendela dialog akan terbuka.
Untuk mengonfigurasi parameter API Root, masukkan root API instance Jira Anda, seperti
https://YOUR_DOMAIN_NAME.atlassian.netUntuk mengonfigurasi parameter Nama Pengguna, masukkan nama pengguna yang Anda gunakan untuk login ke Jira. Jangan gunakan kredensial admin Anda.
Untuk mengonfigurasi parameter Token API, masukkan token API dari akun Atlassian non-admin Anda yang dibuat di konsol Jira.
Klik Simpan.
Untuk menguji konfigurasi Anda, klik Uji.
Mengaktifkan playbook Postur Keamanan dengan Jira
- Di konsol Google Cloud , buka Response > Playbooks untuk membuka halaman Playbooks di konsol Operasi Keamanan.
- Di kotak Penelusuran Playbook, masukkan
Generic. - Pilih playbook Posture Findings - Generic. Playbook ini diaktifkan secara default.
- Alihkan tombol untuk menonaktifkan playbook.
- Klik Simpan.
- Di kotak Penelusuran Playbook, masukkan
Jira. - Pilih playbook Posture Findings With Jira. Playbook ini dinonaktifkan secara default.
- Alihkan tombol untuk mengaktifkan playbook.
- Klik Simpan.
Berintegrasi dengan ServiceNow
Pastikan untuk menyelesaikan semua langkah integrasi guna menyinkronkan pembaruan kasus Google SecOps dengan tiket ServiceNow dan memastikan alur playbook yang benar.
Membuat dan mengonfigurasi jenis tiket kustom ServiceNow
Pastikan untuk membuat dan mengonfigurasi jenis tiket kustom ServiceNow, mengaktifkan tab Aktivitas di UI ServiceNow, dan menghindari penggunaan tata letak tiket yang salah.
Membuat jenis tiket kustom ServiceNow
Membuat jenis tiket ServiceNow kustom memerlukan kredensial tingkat admin ServiceNow.
Untuk membuat jenis tiket kustom, selesaikan langkah-langkah berikut:
- Di konsol Google Cloud , buka Risk > Cases.
- Pilih kasus yang ada atau kasus yang telah Anda simulasikan.
- Di tab Ringkasan Kasus, klik Tindakan Manual.
- Di kolom tindakan manual Penelusuran, masukkan
Create SCC Enterprise. - Di hasil penelusuran di bagian integrasi SCCEnterprise, pilih tindakan Create SCC Enterprise Cloud Posture Ticket Type SNOW. Jendela dialog akan terbuka.
Untuk mengonfigurasi parameter API Root, masukkan root API instance ServiceNow Anda, seperti
https://INSTANCE_NAME.service-now.com/api/now/v1/Untuk mengonfigurasi parameter Username, masukkan nama pengguna yang Anda gunakan untuk login ke ServiceNow sebagai administrator.
Untuk mengonfigurasi parameter Sandi, masukkan sandi yang Anda gunakan untuk login ke ServiceNow sebagai administrator.
Untuk mengonfigurasi parameter Peran Tabel, kosongkan kolom atau berikan nilai jika Anda memilikinya. Parameter ini hanya menerima satu nilai peran.
Secara default, kolom Table Role kosong untuk membuat peran kustom baru di ServiceNow guna mengelola tiket Security Command Center Enterprise secara khusus. Hanya pengguna ServiceNow yang diberi peran kustom baru ini yang memiliki akses ke tiket Security Command Center Enterprise.
Jika Anda sudah memiliki peran khusus untuk pengguna yang mengelola insiden di ServiceNow dan ingin menggunakan peran ini untuk mengelola temuan Security Command Center Enterprise, masukkan nama peran ServiceNow yang ada di kolom Peran Tabel. Misalnya, jika Anda memberikan nilai
incident_handler_roleyang ada, semua pengguna yang diberi peranincident_handler_roledi ServiceNow dapat mengakses tiket Security Command Center Enterprise.Klik Jalankan. Tunggu hingga tindakan selesai.
Mengonfigurasi tata letak tiket kustom ServiceNow
Untuk memastikan bahwa UI ServiceNow menampilkan pembaruan terkait kasus dan komentar kasus secara akurat, selesaikan langkah-langkah berikut:
- Di akun administrator ServiceNow Anda, buka tab All.
- Di kolom Penelusuran, masukkan
SCC Enterprise. - Di menu drop-down, pilih SCC Enterprise Cloud Posture Ticket dan jalankan penelusuran.
- Pilih Posture Test Ticket. Halaman tata letak tiket ServiceNow akan terbuka.
- Di halaman tata letak tiket ServiceNow, buka Additional actions > Configure > Form Layout.
- Buka bagian Tampilan dan bagian formulir.
- Di kolom Section, pilih u_scc_enterprise_cloud_posture_ticket.
- Klik Simpan. Setelah halaman diperbarui, template tiket memiliki kolom yang didistribusikan ke dalam dua kolom.
- Buka Tindakan tambahan > Konfigurasi > Tata Letak Formulir.
- Buka bagian Tampilan dan bagian formulir.
- Di kolom Section, pilih Summary.
- Klik Simpan. Setelah halaman diperbarui, template tiket akan memiliki struktur Ringkasan baru.
Mengonfigurasi integrasi ServiceNow
- Di konsol Google Cloud , buka Response > Playbooks untuk membuka navigasi konsol Operasi Keamanan.
- Di navigasi konsol Operasi Keamanan, buka Respons > Penyiapan Integrasi.
- Pilih Default Environment.
- Di kolom Penelusuran integrasi, masukkan
ServiceNow. Integrasi ServiceNow ditampilkan sebagai hasil penelusuran. - Klik Configure Instance. Jendela dialog akan terbuka.
Untuk mengonfigurasi parameter API Root, masukkan root API instance ServiceNow Anda, seperti
https://INSTANCE_NAME.service-now.com/api/now/v1/Untuk mengonfigurasi parameter Username, masukkan nama pengguna yang Anda gunakan untuk login ke ServiceNow. Jangan gunakan kredensial admin Anda.
Untuk mengonfigurasi parameter Password, masukkan sandi yang Anda gunakan untuk login ke ServiceNow. Jangan gunakan kredensial admin Anda.
Klik Simpan.
Untuk menguji konfigurasi Anda, klik Uji.
Mengaktifkan playbook Posture Findings With SNOW
- Di konsol Google Cloud , buka Response > Playbooks.
- Di kotak Penelusuran Playbook, masukkan
Generic. - Pilih playbook Posture Findings - Generic. Playbook ini diaktifkan secara default.
- Alihkan tombol untuk menonaktifkan playbook.
- Klik Simpan.
- Di kotak Penelusuran Playbook, masukkan
SNOW. - Pilih playbook Posture Findings With SNOW. Playbook ini dinonaktifkan secara default.
- Alihkan tombol untuk mengaktifkan playbook.
- Klik Simpan.
Mengaktifkan sinkronisasi data kasus
Security Command Center otomatis menyinkronkan informasi antara kasus dan tiket yang sesuai, sehingga memastikan prioritas, status, komentar, dan data relevan lainnya antara kasus dan tiketnya cocok.
Untuk menyinkronkan data kasus, Security Command Center menggunakan proses otomatis internal yang disebut tugas sinkronisasi. Tugas Sync SCC-Jira Tickets dan Sync SCC-ServiceNow Tickets menyinkronkan data kasus antara Security Command Center dan sistem penyediaan tiket yang terintegrasi. Kedua tugas awalnya dinonaktifkan dan mengharuskan Anda mengaktifkannya untuk memulai sinkronisasi data kasus otomatis.
Menutup kasus akan otomatis menyelesaikan tiket yang sesuai. Menyelesaikan tiket di Jira atau ServiceNow akan memicu tugas sinkronisasi untuk menutup kasus tersebut juga.
Sebelum memulai
Untuk mengaktifkan sinkronisasi kasus, Anda harus diberi salah satu peran SOC berikut di halaman setelan SOAR:
- Administrator
- Pengelola Kerentanan
- Threat Manager
Untuk mengetahui detail selengkapnya tentang peran dan izin SOC yang diperlukan untuk pengguna, lihat Mengontrol akses ke fitur di halaman konsol Operasi Keamanan.
Mengaktifkan sinkronisasi untuk sistem tiket
Untuk memastikan informasi dalam kasus dan tiket disinkronkan secara otomatis, aktifkan tugas sinkronisasi yang relevan dengan sistem tiket yang Anda integrasikan.
Untuk mengaktifkan tugas sinkronisasi, selesaikan langkah-langkah berikut:
Di konsol Google Cloud , buka Security Command Center.
Di menu navigasi, klik Response > Playbooks. Halaman Playbook akan terbuka di konsol Security Operations.
Klik Response > JobScheduler.
Pilih tugas sinkronisasi yang benar:
Jika Anda terintegrasi dengan Jira, pilih tugas Sync SCC-Jira Tickets.
Jika Anda terintegrasi dengan ServiceNow, pilih tugas Sync SCC-ServiceNow Tickets.
Alihkan tombol untuk mengaktifkan tugas yang dipilih.
Klik Simpan untuk mengaktifkan Security Command Center menyinkronkan data kasus secara otomatis dengan sistem tiket.
Membuat tiket untuk kasus yang ada
Security Command Center otomatis membuat tiket hanya untuk kasus yang dibuka setelah Anda melakukan integrasi dengan sistem penyediaan tiket dan tidak secara retroaktif melampirkan playbook baru ke pemberitahuan yang ada. Untuk membuat tiket untuk kasus yang dibuka sebelum terintegrasi dengan sistem tiket, gunakan salah satu pendekatan berikut:
Tutup kasus yang tidak memiliki tiket dan tunggu hingga SCC memproses ulang temuan dan menetapkan playbook baru ke pemberitahuan kasus.
Menambahkan playbook secara manual ke pemberitahuan apa pun dalam kasus yang dibuka sebelum Anda mengintegrasikan dengan sistem tiket.
Menutup kasus tanpa tiket
Untuk menutup kasus yang tidak memiliki tiket, selesaikan langkah-langkah berikut:
Di konsol Google Cloud , buka Security Command Center.
Di navigasi, klik Kasus > Risiko. Halaman Kasus akan terbuka di konsol Operasi Keamanan.
Klik
Open Filter. Panel Filter antrean kasus akan terbuka.Di Filter antrean kasus, tentukan hal berikut:
- Di kolom Rentang Waktu, tentukan jangka waktu untuk kasus terbuka.
- Tetapkan Operator logis ke AND.
- Untuk nilai pertama di bagian Operator logika, pilih Tag.
- Tetapkan kondisi ke ADALAH.
- Untuk nilai kedua, pilih Internal-SCC-Ticket-Info.
- Klik Terapkan untuk memperbarui kasus dalam antrean kasus dan hanya menampilkan kasus yang cocok dengan filter yang Anda tentukan.
Dari antrean kasus, pilih kasus.
Di Tampilan kasus, pilih
Tutup Kasus. Jendela Tutup Kasus akan terbuka.Di jendela Tutup Kasus, tentukan hal berikut:
Pilih nilai untuk kolom Alasan untuk menyatakan alasan penutupan kasus.
Pilih nilai untuk kolom Akar Masalah untuk menyatakan penyebab penutupan kasus.
Opsional: Tambahkan komentar.
Klik Tutup untuk menutup kasus. Security Command Center kemudian memasukkan kembali temuan ke dalam kasus baru dan secara otomatis melampirkan playbook yang benar ke temuan tersebut.
Menambahkan playbook ke pemberitahuan secara manual
Untuk melampirkan playbook secara manual ke pemberitahuan dalam kasus yang ada, selesaikan langkah-langkah berikut:
Di konsol Google Cloud , buka Security Command Center.
Klik Risiko > Kasus. Halaman Kasus akan terbuka di konsol Operasi Keamanan.
Klik
Open Filter. Panel Filter antrean kasus akan terbuka.Di Filter antrean kasus, tentukan hal berikut:
- Di kolom Rentang Waktu, tentukan jangka waktu untuk kasus terbuka.
- Tetapkan Operator logis ke AND.
- Untuk nilai pertama di bagian Operator logika, pilih Tag.
- Tetapkan kondisi ke ADALAH.
- Untuk nilai kedua, pilih Internal-SCC-Ticket-Info.
- Klik Terapkan untuk memperbarui kasus dalam antrean kasus dan hanya menampilkan kasus yang cocok dengan filter yang Anda tentukan.
Dari antrean kasus, pilih kasus.
Pilih pemberitahuan apa pun yang ada dalam kasus.
Di tampilan pemberitahuan, buka tab Playbook.
Klik tambahkan Tambahkan Playbook. Jendela Tambahkan Playbook dengan daftar playbook yang tersedia akan muncul.
Di kolom penelusuran jendela Tambahkan Playbook, masukkan
Posture Findings.- Jika Anda terintegrasi dengan Jira, pilih playbook Posture Findings With Jira.
- Jika Anda terintegrasi dengan ServiceNow, pilih playbook Posture Findings With SNOW.
Klik Tambahkan untuk menambahkan playbook ke pemberitahuan.
Setelah selesai, playbook akan membuat tiket untuk kasus dan otomatis mengisi tiket dengan informasi dari kasus tersebut.
Menambahkan playbook ke satu pemberitahuan dalam kasus sudah cukup untuk membuat tiket dan memicu sinkronisasi data.
Langkah berikutnya
Pelajari cara menentukan kepemilikan untuk temuan postur tubuh.
Pelajari cara mengelompokkan temuan dalam kasus.
Pelajari cara menetapkan tiket berdasarkan kasus postur tubuh.