Integrare Security Command Center Enterprise con i sistemi di ticketing

Questo documento spiega come integrare il livello Enterprise di Security Command Center con i sistemi di gestione dei ticket dopo aver configurato l'organizzazione, l'automazione e la risposta di sicurezza (SOAR).

L'integrazione con i sistemi di gestione dei ticket è facoltativa e richiede la configurazione manuale. Se utilizzi la configurazione predefinita di Security Command Center Enterprise, non devi eseguire questa procedura. Puoi eseguire l'integrazione con un sistema di biglietteria in un secondo momento, in qualsiasi momento.

Panoramica

Puoi monitorare i risultati utilizzando la console e le API con la configurazione predefinita di Security Command Center Enterprise. Se la tua organizzazione utilizza sistemi di gestione dei ticket per monitorare i problemi, esegui l'integrazione con Jira o ServiceNow dopo aver configurato l'istanza di Google Security Operations.

Una volta ricevuti i risultati per le risorse, il connettore SCC Enterprise - Urgent Posture Findings li analizza e li raggruppa in casi nuovi o esistenti, a seconda del tipo di risultato.

Se esegui l'integrazione con un sistema di gestione dei ticket, Security Command Center crea un nuovo ticket ogni volta che crea un nuovo caso per i risultati. Security Command Center aggiorna automaticamente il ticket correlato ogni volta che una richiesta viene aggiornata.

Un singolo caso può contenere più risultati. Security Command Center crea un ticket per ogni richiesta e sincronizza i contenuti e le informazioni della richiesta con il ticket corrispondente per comunicare agli assegnatari del ticket cosa correggere.

La sincronizzazione tra una richiesta e il relativo ticket funziona in entrambi i modi:

• Le modifiche apportate a una richiesta, ad esempio un aggiornamento dello stato o un nuovo commento, vengono automaticamente riportate nel ticket associato.

• Allo stesso modo, i dettagli del ticket vengono sincronizzati nuovamente con la richiesta, arricchendola con le informazioni del sistema di gestione dei ticket.

Prima di iniziare

Prima di configurare Jira o ServiceNow, fornisci un indirizzo email valido per il parametro Fallback Owner nel connettore SCC Enterprise - Urgent Posture Findings e assicurati che questa email sia assegnabile nel tuo sistema di gestione dei ticket.

Eseguire l'integrazione con Jira

Assicurati di completare tutti i passaggi di integrazione per sincronizzare gli aggiornamenti della richiesta con i problemi di Jira e garantire il corretto flusso del playbook.

Una priorità della richiesta si riflette nella gravità del problema di Jira.

Crea un nuovo progetto in Jira

Per creare un nuovo progetto in Jira per i problemi di Security Command Center Enterprise denominato SCC Enterprise Project (SCCE), esegui un'azione manuale nel caso. Puoi utilizzare qualsiasi caso esistente o simularne uno. Per ulteriori informazioni sulla simulazione dei casi, consulta la pagina Simula casi nella documentazione di Google SecOps.

Per creare un nuovo progetto Jira sono necessarie credenziali a livello di amministratore Jira.

Per creare un nuovo progetto Jira:

1. Nella console Google Cloud , vai a Rischio > Richieste.
2. Seleziona una richiesta esistente o quella che hai simulato.
3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
4. Nel campo dell'azione manuale Cerca, inserisci Create SCC Enterprise.
5. Nei risultati di ricerca, seleziona l'azione Crea tipo di ticket Jira per SCC Enterprise Cloud Posture nell'integrazione SCCEnterprise. Si apre la finestra di dialogo.

6. Per configurare il parametro Radice API, inserisci la radice API della tua istanza Jira, ad esempio https://YOUR_DOMAIN_NAME.atlassian.net.

7. Per configurare il parametro Nome utente, inserisci il nome utente che utilizzi per accedere a Jira come amministratore.

8. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a Jira come amministratore.

9. Per configurare il parametro API Token, inserisci il token API del tuo account amministratore Atlassian generato nella console Jira.

10. Fai clic su Esegui. Attendi il completamento dell'azione.

(Facoltativo) Configurare il layout personalizzato dei problemi Jira

1. Accedi a Jira come amministratore.
2. Vai a Progetti > Progetto Enterprise SCC (SCCE).
3. Modifica e riordina i campi del problema. Per maggiori dettagli sulla gestione dei campi dei problemi, consulta Configurazione del layout dei campi dei problemi nella documentazione di Jira.

Configura l'integrazione Jira

1. Nella console Google Cloud , vai a Risposta > Playbook per aprire il menu di navigazione della console Security Operations.
2. Nel menu di navigazione della console Security Operations, vai a Risposta > Configurazione integrazioni.
3. Seleziona l'ambiente predefinito.
4. Nel campo Cerca dell'integrazione, inserisci Jira. L'integrazione Jira viene restituita come risultato di ricerca.
5. Fai clic su settings Configura istanza. Si apre la finestra di dialogo.

6. Per configurare il parametro Radice API, inserisci la radice API della tua istanza Jira, ad esempio https://YOUR_DOMAIN_NAME.atlassian.net.

7. Per configurare il parametro Nome utente, inserisci il nome utente che utilizzi per accedere a Jira. Non utilizzare le credenziali di amministratore.

8. Per configurare il parametro API Token, inserisci il token API del tuo account Atlassian non amministratore generato nella console Jira.

9. Fai clic su Salva.

10. Per testare la configurazione, fai clic su Test.

Attiva il playbook Posture Findings With Jira

1. Nella Google Cloud console, vai a Risposta > Playbook per aprire la pagina Playbook della console Security Operations.
2. Nella barra Cerca di Playbook, inserisci Generic.
3. Seleziona il playbook Posture Findings - Generic. Questo playbook è attivato per impostazione predefinita.
4. Sposta il pulsante di attivazione/disattivazione per disattivare il playbook.
5. Fai clic su Salva.
6. Nella barra Cerca di Playbook, inserisci Jira.
7. Seleziona la guida pratica Posture Findings With Jira. Questo playbook è disattivato per impostazione predefinita.
8. Attiva l'opzione per abilitare il playbook.
9. Fai clic su Salva.

Esegui l'integrazione con ServiceNow

Assicurati di completare tutti i passaggi di integrazione per sincronizzare gli aggiornamenti dei casi Google SecOps con i ticket ServiceNow e garantire il corretto flusso del playbook.

Crea e configura il tipo di ticket personalizzato ServiceNow

Assicurati di creare e configurare il tipo di ticket personalizzato ServiceNow, attiva la scheda Attività nell'interfaccia utente ServiceNow ed evita di utilizzare il layout del ticket errato.

Crea un tipo di ticket personalizzato ServiceNow

La creazione di un tipo di ticket ServiceNow personalizzato richiede credenziali a livello di amministratore ServiceNow.

Per creare un tipo di ticket personalizzato, completa i seguenti passaggi:

1. Nella console Google Cloud , vai a Rischio > Richieste.
2. Seleziona una richiesta esistente o quella che hai simulato.
3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
4. Nel campo dell'azione manuale Cerca, inserisci Create SCC Enterprise.
5. Nei risultati di ricerca, seleziona l'azione Crea tipo di ticket SNOW per SCC Enterprise Cloud Posture nell'integrazione SCCEnterprise. Si apre la finestra di dialogo.

6. Per configurare il parametro Radice API, inserisci la radice API della tua istanza ServiceNow, ad esempio https://INSTANCE_NAME.service-now.com/api/now/v1/

7. Per configurare il parametro Nome utente, inserisci il nome utente che utilizzi per accedere a ServiceNow come amministratore.

8. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a ServiceNow come amministratore.

9. Per configurare il parametro Ruolo tabella, lascia il campo vuoto o fornisci un valore, se ne hai uno. Questo parametro accetta un solo valore di ruolo.

   Per impostazione predefinita, il campo Ruolo tabella è vuoto per creare un nuovo ruolo personalizzato in ServiceNow per gestire in modo specifico i ticket di Security Command Center Enterprise. Solo gli utenti ServiceNow a cui è stato concesso questo nuovo ruolo personalizzato hanno accesso ai ticket di Security Command Center Enterprise.

   Se hai già un ruolo dedicato per gli utenti che gestiscono gli incidenti in ServiceNow e vuoi utilizzare questo ruolo per gestire i risultati di Security Command Center Enterprise, inserisci il nome del ruolo ServiceNow esistente nel campo Ruolo tabella. Ad esempio, se fornisci il valore incident_handler_role esistente, tutti gli utenti a cui è stato concesso il ruolo incident_handler_role in ServiceNow possono accedere ai ticket di Security Command Center Enterprise.

10. Fai clic su Esegui. Attendi il completamento dell'azione.

Configura il layout personalizzato dei ticket ServiceNow

Per assicurarti che l'interfaccia utente di ServiceNow mostri con precisione gli aggiornamenti relativi alle richieste di assistenza e ai relativi commenti, completa i seguenti passaggi:

1. Nel tuo account amministratore ServiceNow, vai alla scheda Tutti.
2. Nel campo Cerca, inserisci SCC Enterprise.
3. Nell'elenco a discesa, seleziona SCC Enterprise Cloud Posture Ticket ed esegui una ricerca.
4. Seleziona il ticket del test della postura. Si apre la pagina del layout del ticket ServiceNow.
5. Nella pagina del layout del ticket ServiceNow, vai a Altre azioni > Configura > Layout modulo.
6. Vai alla sezione Visualizzazione e sezione del modulo.
7. Nel campo Sezione, seleziona u_scc_enterprise_cloud_posture_ticket.
8. Fai clic su Salva. Dopo l'aggiornamento della pagina, il modello di ticket presenta campi distribuiti in due colonne.
9. Vai a Altre azioni > Configura > Layout modulo.
10. Vai alla sezione Visualizzazione e sezione del modulo.
11. Nel campo Sezione, seleziona Riepilogo.
12. Fai clic su Salva. Dopo l'aggiornamento della pagina, il modello di ticket ha la nuova struttura del riepilogo.

Configura l'integrazione di ServiceNow

1. Nella console Google Cloud , vai a Risposta > Playbook per aprire il menu di navigazione della console Security Operations.
2. Nel menu di navigazione della console Security Operations, vai a Risposta > Configurazione integrazioni.
3. Seleziona l'ambiente predefinito.
4. Nel campo Cerca dell'integrazione, inserisci ServiceNow. L'integrazione ServiceNow viene restituita come risultato di ricerca.
5. Fai clic su settings Configura istanza. Si apre la finestra di dialogo.

6. Per configurare il parametro Radice API, inserisci la radice API della tua istanza ServiceNow, ad esempio https://INSTANCE_NAME.service-now.com/api/now/v1/

7. Per configurare il parametro Nome utente, inserisci il nome utente che utilizzi per accedere a ServiceNow. Non utilizzare le credenziali di amministratore.

8. Per configurare il parametro Password, inserisci la password che utilizzi per accedere a ServiceNow. Non utilizzare le credenziali di amministratore.

9. Fai clic su Salva.

10. Per testare la configurazione, fai clic su Test.

Attiva il playbook Posture Findings With SNOW

1. Nella console Google Cloud , vai a Risposta > Playbook.
2. Nella barra Cerca di Playbook, inserisci Generic.
3. Seleziona il playbook Posture Findings - Generic. Questo playbook è attivato per impostazione predefinita.
4. Sposta il pulsante di attivazione/disattivazione per disattivare il playbook.
5. Fai clic su Salva.
6. Nella barra Cerca di Playbook, inserisci SNOW.
7. Seleziona il playbook Posture Findings With SNOW. Questo playbook è disattivato per impostazione predefinita.
8. Attiva l'opzione per abilitare il playbook.
9. Fai clic su Salva.

Attivare la sincronizzazione dei dati dei casi

Security Command Center sincronizza automaticamente le informazioni tra un caso e il relativo ticket, garantendo la corrispondenza di priorità, stato, commenti e altri dati pertinenti tra un caso e il relativo ticket.

Per sincronizzare i dati dei casi, Security Command Center utilizza processi automatici interni chiamati job di sincronizzazione. I job Sync SCC-Jira Tickets e Sync SCC-ServiceNow Tickets sincronizzano i dati dei casi tra Security Command Center e i sistemi di gestione dei ticket integrati. Entrambi i job sono inizialmente disattivati e richiedono l'attivazione per avviare la sincronizzazione automatica dei dati dei casi.

La chiusura di una richiesta risolve automaticamente il ticket corrispondente. La risoluzione di un ticket in Jira o ServiceNow attiva i job di sincronizzazione per chiudere anche la richiesta.

Prima di iniziare

Per attivare la sincronizzazione delle richieste, devi disporre di uno dei seguenti ruoli SOC nella pagina Impostazioni SOAR:

• Amministratore
• Gestore delle vulnerabilità
• Threat Manager

Per maggiori dettagli sui ruoli e sulle autorizzazioni SOC richiesti per gli utenti, vedi Controllare l'accesso alle funzionalità nelle pagine della console Security Operations.

Attivare la sincronizzazione per i sistemi di gestione dei ticket

Per assicurarti che le informazioni in casi e ticket vengano sincronizzate automaticamente, attiva il job di sincronizzazione pertinente al sistema di gestione dei ticket che hai integrato.

Per attivare il job di sincronizzazione, completa i seguenti passaggi:

1. Nella console Google Cloud , vai a Security Command Center.

   Vai a Security Command Center

2. Nel menu di navigazione, fai clic su Risposta > Playbook. Si apre la pagina Playbook nella console Security Operations.

3. Fai clic su Risposta > JobScheduler.

4. Scegli il job di sincronizzazione corretto:

   • Se hai eseguito l'integrazione con Jira, seleziona il job Sincronizza ticket SCC-Jira.

   • Se hai eseguito l'integrazione con ServiceNow, seleziona il job Sincronizza ticket SCC-ServiceNow.

5. Attiva/disattiva l'opzione per attivare il lavoro selezionato.

6. Fai clic su Salva per consentire a Security Command Center di sincronizzare automaticamente i dati dei casi con un sistema di gestione dei ticket.

Creare ticket per le richieste esistenti

Security Command Center crea automaticamente i ticket solo per i casi aperti dopo l'integrazione con un sistema di gestione dei ticket e non allega in modo retroattivo nuovi playbook agli avvisi esistenti. Per creare ticket per le richieste aperte prima dell'integrazione con un sistema di gestione dei ticket, utilizza uno dei seguenti approcci:

• Chiudi un caso senza ticket e attendi che SCC acquisisca nuovamente i risultati e assegni un nuovo playbook agli avvisi del caso.

• Aggiungi manualmente un playbook a qualsiasi avviso in una richiesta aperta prima dell'integrazione con un sistema di gestione dei ticket.

Chiudere una richiesta senza ticket

Per chiudere una richiesta che non ha un ticket, completa i seguenti passaggi:

1. Nella console Google Cloud , vai a Security Command Center.

   Vai a Security Command Center

2. Nel riquadro di navigazione, fai clic su Rischio > Casi. La pagina Casi si apre nella console Security Operations.

3. Fai clic su Apri filtro. Si apre il riquadro Filtro coda di richieste.

4. Nel filtro della coda delle richieste, specifica quanto segue:

   1. Nel campo Periodo di tempo, specifica il periodo di tempo per le richieste aperte.
   2. Imposta Operatore logico su AND.
   3. Per il primo valore in Operatore logico, seleziona Tag.
   4. Imposta la condizione su IS.
   5. Per il secondo valore, seleziona Internal-SCC-Ticket-Info.
   6. Fai clic su Applica per aggiornare le richieste nella coda e mostrare solo quelle che corrispondono al filtro specificato.

5. Seleziona la richiesta dalla coda.

6. Nella visualizzazione Richiesta, seleziona Chiudi richiesta. Si apre la finestra Chiudi richiesta.

7. Nella finestra Chiudi richiesta, specifica quanto segue:

   1. Seleziona un valore per il campo Motivo per indicare il motivo della chiusura della richiesta.

   2. Seleziona un valore per il campo Causa principale per indicare il motivo della chiusura della richiesta.

   3. (Facoltativo) Aggiungi un commento.

   4. Fai clic su Chiudi per chiudere la richiesta. Security Command Center esegue nuovamente l'importazione dei risultati in una nuova richiesta e allega automaticamente il playbook corretto.

Aggiungere manualmente un playbook a un avviso

Per allegare manualmente un playbook a un avviso in una richiesta esistente, completa i seguenti passaggi:

1. Nella console Google Cloud , vai a Security Command Center.

   Vai a Security Command Center

2. Fai clic su Rischio > Casi. La pagina Casi si apre nella console Security Operations.

3. Fai clic su Apri filtro. Si apre il riquadro Filtro coda di richieste.

4. Nel filtro della coda delle richieste, specifica quanto segue:

   1. Nel campo Periodo di tempo, specifica il periodo di tempo per le richieste aperte.
   2. Imposta Operatore logico su AND.
   3. Per il primo valore in Operatore logico, seleziona Tag.
   4. Imposta la condizione su IS.
   5. Per il secondo valore, seleziona Internal-SCC-Ticket-Info.
   6. Fai clic su Applica per aggiornare le richieste nella coda e mostrare solo quelle che corrispondono al filtro specificato.

5. Seleziona la richiesta dalla coda.

6. Seleziona un avviso contenuto in una richiesta.

7. Nella visualizzazione di un avviso, vai alla scheda Playbook.

8. Fai clic su Aggiungi Aggiungi playbook. Viene visualizzata la finestra Aggiungi un playbook con un elenco dei playbook disponibili.

9. Nel campo di ricerca della finestra Aggiungi un playbook, inserisci Posture Findings.

   • Se hai eseguito l'integrazione con Jira, seleziona il playbook Posture Findings With Jira.
   • Se hai eseguito l'integrazione con ServiceNow, seleziona il playbook Posture Findings With SNOW.

10. Fai clic su Aggiungi per aggiungere un playbook a un avviso.

Al termine, il playbook crea un ticket per una richiesta e lo compila automaticamente con le informazioni della richiesta.

L'aggiunta di un playbook a un singolo avviso all'interno di una richiesta è sufficiente per creare un ticket e attivare la sincronizzazione dei dati.

Passaggi successivi

• Scopri come determinare la proprietà per i risultati della postura.

• Scopri come raggruppare i risultati nei casi.

• Scopri come assegnare i ticket in base ai casi di postura.