Neste documento, explicamos como integrar o nível Enterprise do Security Command Center a sistemas de tíquetes depois de configurar a orquestração, a automação e a resposta de segurança (SOAR).
A integração com sistemas de tíquetes é opcional e exige configuração manual. Se você usa a configuração padrão do Security Command Center Enterprise, não precisa realizar esse procedimento. Você pode fazer isso a qualquer momento.
Visão geral
É possível rastrear descobertas usando o console e as APIs com a configuração padrão do Security Command Center Enterprise. Se a organização usa sistemas de tíquetes para rastrear problemas, faça a integração com o Jira ou o ServiceNow depois de configurar sua instância do Google Security Operations.
Ao receber descobertas de recursos, o conector de descobertas de posturas urgentes do SCC Enterprise as analisa e agrupa em casos novos ou atuais, dependendo do tipo de descoberta.
Se você fizer a integração com um sistema de tíquetes, o Security Command Center vai criar um novo tíquete sempre que um novo caso for criado para descobertas. O Security Command Center atualiza automaticamente o tíquete relacionado sempre que um caso é atualizado.
Um único caso pode conter várias descobertas. O Security Command Center cria um tíquete para cada caso e sincroniza o conteúdo e as informações com o tíquete correspondente para que os atribuídos saibam o que corrigir.
A sincronização entre um caso e um tíquete funciona nos dois sentidos:
As mudanças em um caso, como uma atualização de status ou um novo comentário, são refletidas automaticamente no tíquete associado.
Da mesma forma, os detalhes do tíquete são sincronizados de volta ao caso, enriquecendo-o com informações do sistema de emissão de tíquetes.
Antes de começar
Antes de configurar o Jira ou o ServiceNow, forneça um endereço de e-mail válido para o parâmetro Proprietário substituto no Conector de descobertas de posturas urgentes do SCC Enterprise e verifique se esse e-mail pode ser atribuído no seu sistema de tíquetes.
Integrar com o Jira
Conclua todas as etapas de integração para sincronizar as atualizações de caso com os problemas do Jira e garantir o fluxo correto do playbook.
Uma prioridade de caso é refletida na gravidade do problema do Jira.
Criar um projeto no Jira
Para criar um projeto no Jira para os problemas do Security Command Center Enterprise chamado Projeto do SCC Enterprise (SCCE), execute uma ação manual no caso. É possível usar um caso existente ou simular um. Para mais informações sobre como simular casos, consulte a página Simular casos na documentação do Google SecOps.
Para criar um projeto do Jira, é necessário ter credenciais de administrador do Jira.
Para criar um projeto do Jira, siga estas etapas:
- No console do Google Cloud , acesse Risco > Casos.
- Selecione um caso simulado ou existente.
- Na guia Visão geral do caso, clique em Ação manual.
- No campo Pesquisar da ação manual, insira
Create SCC Enterprise. - Nos resultados da pesquisa, em Integração do SCCEnterprise, selecione a ação Criar tipo de tíquete de postura de nuvem do SCC Enterprise Jira. A janela de diálogo será aberta.
Para configurar o parâmetro Raiz da API, insira a raiz da API da sua instância do Jira, como
https://YOUR_DOMAIN_NAME.atlassian.net.Para configurar o parâmetro Nome de usuário, insira o nome de usuário que você usa para fazer login no Jira como administrador.
Para configurar o parâmetro Senha, insira a senha que você usa para fazer login no Jira como administrador.
Para configurar o parâmetro Token da API, insira o token da API da sua conta de administrador da Atlassian gerado no console do Jira.
Clique em Executar. Aguarde até que a ação seja concluída.
Opcional: configurar um layout personalizado de evento do Jira
- Faça login no Jira como administrador.
- Acesse Projetos > Projeto empresarial do SCC (SCCE).
- Ajuste e reordene os campos de problema. Para mais detalhes sobre como gerenciar campos de problemas, consulte Configurar o layout do campo de problema na documentação do Jira.
Configurar a integração com o Jira
- No console Google Cloud , acesse Resposta > Playbooks para abrir a navegação do console de operações de segurança.
- Na navegação do console do Security Operations, acesse Resposta > Configuração de integrações.
- Selecione o ambiente padrão.
- No campo Pesquisar da integração, insira
Jira. A integração com o Jira aparece como um resultado da pesquisa. - Clique em Configurar instância. A janela de diálogo é aberta.
Para configurar o parâmetro Raiz da API, insira a raiz da API da sua instância do Jira, como
https://YOUR_DOMAIN_NAME.atlassian.netPara configurar o parâmetro Nome de usuário, insira o nome de usuário que você usa para fazer login no Jira. Não use suas credenciais de administrador.
Para configurar o parâmetro Token da API, insira o token da API da sua conta da Atlassian não administrativa gerada no console do Jira.
Clique em Salvar.
Para testar sua configuração, clique em Testar.
Ativar o playbook "Descobertas de postura com Jira"
- No console Google Cloud , acesse Resposta > Playbooks para abrir a página Playbooks do console de operações de segurança.
- Na barra de pesquisa do Playbook, digite
Generic. - Selecione o playbook Descobertas de postura – genérico. Esse playbook é ativado por padrão.
- Mova a chave para desativar o playbook.
- Clique em Salvar.
- Na barra de pesquisa do Playbook, digite
Jira. - Selecione o playbook Posture Findings With Jira. Esse playbook fica desativado por padrão.
- Mude a opção para ativar o playbook.
- Clique em Salvar.
Integrar com o ServiceNow
Conclua todas as etapas de integração para sincronizar as atualizações de casos do Google SecOps com tíquetes do ServiceNow e garantir o fluxo correto do playbook.
Criar e configurar um tipo de tíquete personalizado do ServiceNow
Crie e configure o tipo de tíquete personalizado do ServiceNow, ative a guia "Atividades" na interface do ServiceNow e evite usar o layout de tíquete incorreto.
Criar um tipo de tíquete personalizado do ServiceNow
Para criar um tipo de tíquete personalizado do ServiceNow, são necessárias credenciais de administrador do ServiceNow.
Para criar um tipo de ingresso personalizado, siga estas etapas:
- No console do Google Cloud , acesse Risco > Casos.
- Selecione um caso simulado ou existente.
- Na guia Visão geral do caso, clique em Ação manual.
- No campo Pesquisar da ação manual, insira
Create SCC Enterprise. - Nos resultados da pesquisa na integração SCCEnterprise, selecione a ação Criar tipo de tíquete de postura de nuvem do SCC Enterprise SNOW. A janela de diálogo será aberta.
Para configurar o parâmetro Raiz da API, insira a raiz da API da sua instância do ServiceNow, como
https://INSTANCE_NAME.service-now.com/api/now/v1/Para configurar o parâmetro Nome de usuário, insira o nome de usuário que você usa para fazer login no ServiceNow como administrador.
Para configurar o parâmetro Senha, digite a senha que você usa para fazer login no ServiceNow como administrador.
Para configurar o parâmetro Função da tabela, deixe o campo vazio ou forneça um valor, se tiver. Esse parâmetro aceita apenas um valor de função.
Por padrão, o campo Função da tabela fica vazio para criar uma função personalizada no ServiceNow e gerenciar especificamente os tíquetes do Security Command Center Enterprise. Somente os usuários do ServiceNow que receberam essa nova função personalizada têm acesso aos tickets do Security Command Center Enterprise.
Se você já tiver uma função dedicada para usuários que gerenciam incidentes no ServiceNow e quiser usar essa função para gerenciar as descobertas do Security Command Center Enterprise, insira o nome da função do ServiceNow no campo Função da tabela. Por exemplo, se você fornecer o valor
incident_handler_roleatual, todos os usuários que receberam a funçãoincident_handler_roleno ServiceNow poderão acessar os tíquetes do Security Command Center Enterprise.Clique em Executar. Aguarde até que a ação seja concluída.
Configurar um layout de tíquete personalizado do ServiceNow
Para garantir que a interface do ServiceNow mostre com precisão as atualizações relacionadas a casos e comentários de casos, siga estas etapas:
- Na sua conta de administrador do ServiceNow, acesse a guia Todos.
- No campo Pesquisar, insira
SCC Enterprise. - Na lista suspensa, selecione SCC Enterprise Cloud Posture Ticket e faça uma pesquisa.
- Selecione o Teste de postura. A página de layout do tíquete do ServiceNow é aberta.
- Na página de layout do tíquete do ServiceNow, acesse Outras ações > Configurar > Layout do formulário.
- Acesse a seção Visualização e seção do formulário.
- No campo Seção, selecione u_scc_enterprise_cloud_posture_ticket.
- Clique em Salvar. Depois que a página for atualizada, o modelo de tíquete terá campos distribuídos em duas colunas.
- Acesse Outras ações > Configurar > Layout do formulário.
- Acesse a seção Visualização e seção do formulário.
- No campo Seção, selecione Resumo.
- Clique em Salvar. Depois que a página for atualizada, o modelo de tíquete terá a nova estrutura de resumo.
Configurar a integração do ServiceNow
- No console Google Cloud , acesse Resposta > Playbooks para abrir a navegação do console de operações de segurança.
- Na navegação do console Security Operations, acesse Resposta > Configuração de integrações.
- Selecione o ambiente padrão.
- No campo Pesquisar da integração, insira
ServiceNow. A integração do ServiceNow aparece como um resultado da pesquisa. - Clique em Configurar instância. A janela de diálogo é aberta.
Para configurar o parâmetro Raiz da API, insira a raiz da API da sua instância do ServiceNow, como
https://INSTANCE_NAME.service-now.com/api/now/v1/Para configurar o parâmetro Username, insira o nome de usuário que você usa para fazer login no ServiceNow. Não use suas credenciais de administrador.
Para configurar o parâmetro Senha, insira a senha que você usa para fazer login no ServiceNow. Não use suas credenciais de administrador.
Clique em Salvar.
Para testar sua configuração, clique em Testar.
Ativar o manual de procedimentos "Postura de segurança com SNOW"
- No console Google Cloud , acesse Resposta > Playbooks.
- Na barra de pesquisa do Playbook, digite
Generic. - Selecione o playbook Descobertas de postura – genérico. Esse playbook é ativado por padrão.
- Mova a chave para desativar o playbook.
- Clique em Salvar.
- Na barra de pesquisa do Playbook, digite
SNOW. - Selecione o playbook Posture Findings With SNOW. Esse playbook fica desativado por padrão.
- Mude a opção para ativar o playbook.
- Clique em Salvar.
Ativar a sincronização de dados de caso
O Security Command Center sincroniza automaticamente as informações entre um caso e o tíquete correspondente, garantindo prioridade, status, comentários e outros dados relevantes correspondentes entre um caso e o tíquete.
Para sincronizar dados de casos, o Security Command Center usa processos automáticos internos chamados de jobs de sincronização. Os jobs Sincronizar tíquetes do SCC-Jira e Sincronizar tíquetes do SCC-ServiceNow sincronizam dados de casos entre o Security Command Center e os sistemas de tíquetes integrados. Os dois jobs são desativados inicialmente e precisam ser ativados para iniciar a sincronização automática de dados de caso.
Ao fechar um caso, o tíquete correspondente é resolvido automaticamente. A resolução de um ticket no Jira ou no ServiceNow aciona os jobs de sincronização para fechar o caso também.
Antes de começar
Para ativar a sincronização de casos, você precisa ter um dos seguintes papéis do SOC na página Configurações da SOAR:
- Administrador
- Gerente de vulnerabilidades
- Gerenciador de ameaças
Para mais detalhes sobre os papéis e as permissões do SOC necessários para os usuários, consulte Controlar o acesso aos recursos nas páginas do console do Security Operations.
Ativar a sincronização para sistemas de tíquetes
Para garantir que as informações em casos e tíquetes sejam sincronizadas automaticamente, ative o job de sincronização relevante para o sistema de tíquetes integrado.
Para ativar o job de sincronização, siga estas etapas:
No console Google Cloud , acesse o Security Command Center.
No menu de navegação, clique em Resposta > Playbooks. A página Playbooks é aberta no console do Security Operations.
Clique em Response > JobScheduler.
Escolha o job de sincronização correto:
Se você fez a integração com o Jira, selecione o job Sincronizar tíquetes do SCC-Jira.
Se você fez a integração com o ServiceNow, selecione o job Sincronizar tíquetes do SCC-ServiceNow.
Mova a chave para ativar o job selecionado.
Clique em Salvar para ativar a sincronização automática dos dados de caso do Security Command Center com um sistema de tíquetes.
Criar tíquetes para casos atuais
O Security Command Center cria tíquetes automaticamente apenas para casos abertos depois que você se integra a um sistema de tíquetes e não anexa retroativamente novos playbooks a alertas existentes. Para criar tíquetes de casos abertos antes da integração com um sistema de tíquetes, use uma das seguintes abordagens:
Feche um caso sem tíquete e aguarde até que o SCC ingira novamente as descobertas e atribua um novo playbook aos alertas do caso.
Adicione manualmente um playbook a qualquer alerta em um caso aberto antes da integração com um sistema de tíquetes.
Encerrar um caso sem tíquete
Para fechar um caso sem tíquete, siga estas etapas:
No console Google Cloud , acesse o Security Command Center.
Na navegação, clique em Risco > Casos. A página Casos é aberta no console de operações de segurança.
Clique em
Abrir filtro. O painel Filtro da fila de casos é aberto.No Filtro da fila de casos, especifique o seguinte:
- No campo Período, especifique o período dos casos abertos.
- Defina o Operador lógico como AND.
- Para o primeiro valor em Operador lógico, selecione Tags.
- Defina a condição como É.
- Para o segundo valor, selecione Internal-SCC-Ticket-Info.
- Clique em Aplicar para atualizar os casos na fila e mostrar apenas aqueles que correspondem ao filtro especificado.
Na fila de casos, selecione o caso.
Na Visualização de caso, selecione
Fechar caso. A janela Fechar caso é aberta.Na janela Fechar caso, especifique o seguinte:
Selecione um valor para o campo Motivo e informe por que o caso está sendo encerrado.
Selecione um valor para o campo Causa principal e informe o motivo do encerramento do caso.
Opcional: adicione um comentário.
Clique em Fechar para encerrar o caso. Em seguida, o Security Command Center reingere as descobertas em um novo caso e anexa automaticamente um playbook correto a elas.
Adicionar um playbook manualmente a um alerta
Para anexar manualmente um playbook a um alerta em um caso aberto, siga estas etapas:
No console Google Cloud , acesse o Security Command Center.
Clique em Risco > Casos. A página Casos é aberta no console do Security Operations.
Clique em
Abrir filtro. O painel Filtro da fila de casos é aberto.No Filtro da fila de casos, especifique o seguinte:
- No campo Período, especifique o período dos casos abertos.
- Defina o Operador lógico como AND.
- Para o primeiro valor em Operador lógico, selecione Tags.
- Defina a condição como É.
- Para o segundo valor, selecione Internal-SCC-Ticket-Info.
- Clique em Aplicar para atualizar os casos na fila e mostrar apenas aqueles que correspondem ao filtro especificado.
Na fila de casos, selecione o caso.
Selecione um alerta em um caso.
Em uma visualização de alerta, acesse a guia Playbooks.
Clique em Adicionar Adicionar playbook. A janela Adicionar um playbook com uma lista de playbooks disponíveis é exibida.
No campo de pesquisa da janela Adicionar um playbook, insira
Posture Findings.- Se você fez a integração com o Jira, selecione o playbook Postura Findings With Jira.
- Se você fez a integração com o ServiceNow, selecione o playbook Posture Findings With SNOW.
Clique em Adicionar para incluir um playbook em um alerta.
Ao concluir, o playbook cria um tíquete para um caso e preenche automaticamente o tíquete com informações do caso.
Adicionar um playbook a um único alerta em um caso é suficiente para criar um ticket e acionar a sincronização de dados.
A seguir
Saiba como determinar a propriedade das descobertas de postura.
Saiba como agrupar descobertas em casos.
Saiba como atribuir tíquetes com base em casos de postura.