将 Security Command Center Enterprise 与服务工单系统集成

本文档介绍了如何在配置安全编排、自动化和响应 (SOAR) 后,将 Security Command Center 的企业版与服务工单系统集成。

与票务系统集成是可选的,并且需要手动配置。如果您使用的是默认的 Security Command Center Enterprise 配置,则无需执行此过程。您可以稍后随时与票务系统集成。

概览

您可以使用控制台和 API 跟踪发现结果,并采用默认的 Security Command Center Enterprise 版配置。如果贵组织使用工单系统来跟踪问题,请在配置 Google 安全运营实例后与 Jira 或 ServiceNow 集成。

收到资源的发现结果后,SCC Enterprise - Urgent Posture Findings 连接器会对其进行分析,并将其分组为新案例或现有案例,具体取决于发现结果类型。

如果您与服务工单系统集成,Security Command Center 每次为发现结果创建新支持请求时都会创建新工单。每当有支持请求更新时,Security Command Center 都会自动更新相关工单。

单个支持请求可以包含多个发现。Security Command Center 会为每个支持请求创建一个工单,并将支持请求内容和信息与相应工单同步,以便工单分配者知道如何进行补救。

支持请求与其工单之间的同步是双向的:

  • 支持请求中的更改(例如状态更新或新评论)会自动反映在关联的工单中。

  • 同样,工单详情会同步回工单,并使用工单系统中的信息丰富工单。

准备工作

在配置 Jira 或 ServiceNow 之前,请在 SCC Enterprise - 紧急状态发现连接器中为后备所有者参数提供有效的电子邮件地址,并确保此电子邮件地址可在您的工单系统中分配。

与 Jira 集成

请务必完成所有集成步骤,以便将支持请求更新与 Jira 问题同步,并确保正确的 Playbook 流程。

支持请求优先级会反映在 Jira 问题严重性中。

在 Jira 中创建新项目

如需在 Jira 中为 Security Command Center Enterprise 问题创建一个名为 SCC Enterprise Project (SCCE) 的新项目,请在支持请求中运行手动操作。您可以使用任何现有支持请求,也可以模拟一个支持请求。如需详细了解如何模拟支持请求,请参阅 Google SecOps 文档中的模拟支持请求页面。

若要创建新的 Jira 项目,您需要拥有 Jira 管理员级凭据。

如需创建新的 Jira 项目,请完成以下步骤:

  1. 在安全运营控制台中,前往支持请求
  2. 选择一个现有支持请求或您模拟的支持请求。
  3. 支持请求概览标签页中,点击手动操作
  4. 在手动操作 Search(搜索)字段中,输入 Create SCC Enterprise
  5. SCCEnterprise 集成下的搜索结果中,选择 Create SCC Enterprise Cloud Posture Ticket Type Jira 操作。系统随即会打开对话框窗口。

  6. 如需配置 API Root 参数,请输入 Jira 实例的 API 根,例如 https://YOUR_DOMAIN_NAME.atlassian.net

  7. 如需配置 Username 参数,请输入您用来以管理员身份登录 Jira 的用户名。

  8. 如需配置密码参数,请输入您用来以管理员身份登录 Jira 的密码。

  9. 如需配置 API 令牌参数,请输入在 Jira 控制台中生成的 Atlassian 管理员账号的 API 令牌。

  10. 点击 Execute。等待操作完成。

可选:配置自定义 Jira 问题布局

  1. 以管理员身份登录 Jira。
  2. 依次选择 Projects > SCC Enterprise Project (SCCE)
  3. 调整和重新排列问题字段。如需详细了解如何管理问题字段,请参阅 Jira 文档中的配置问题字段布局

配置 Jira 集成

  1. 在安全运营控制台中,依次选择响应 > 集成设置
  2. 选择默认环境
  3. 在集成 Search 字段中,输入 JiraJira 集成会作为搜索结果返回。
  4. 点击 Configure Instance(配置实例)。 系统随即会打开对话框窗口。

  5. 如需配置 API Root 参数,请输入 Jira 实例的 API 根,例如 https://YOUR_DOMAIN_NAME.atlassian.net

  6. 如需配置用户名参数,请输入您用于登录 Jira 的用户名。请勿使用您的管理员凭据。

  7. 如需配置 API 令牌参数,请输入在 Jira 控制台中生成的非管理员 Atlassian 账号的 API 令牌。

  8. 点击保存

  9. 如需测试您的配置,请点击测试

启用“使用 Jira 生成安全状况报告”手册

  1. 在安全运营控制台中,依次选择响应 > 预设响应方案
  2. 在 Playbook 搜索栏中,输入 Generic
  3. 选择 Posture Findings - Generic 手册。此 Playbook 默认处于启用状态。
  4. 将开关切换为停用 Playbook
  5. 点击保存
  6. 在 Playbook 搜索栏中,输入 Jira
  7. 选择 Posture Findings With Jira 手册。此 Playbook 默认处于停用状态。
  8. 将开关切换为启用 Playbook
  9. 点击保存

与 ServiceNow 集成

请务必完成所有集成步骤,以便将 Google SecOps 支持请求的更新与 ServiceNow 工单同步,并确保正确的 Playbook 流程。

创建和配置 ServiceNow 自定义工单类型

请务必创建和配置 ServiceNow 自定义工单类型,在 ServiceNow 界面中启用“活动”标签页,并避免使用错误的工单布局。

创建 ServiceNow 自定义工单类型

若要创建自定义 ServiceNow 工单类型,您需要拥有 ServiceNow 管理员级凭据。

如需创建自定义工单类型,请完成以下步骤:

  1. 在安全运营控制台中,前往支持请求
  2. 选择一个现有支持请求或您模拟的支持请求。
  3. 支持请求概览标签页中,点击手动操作
  4. 在手动操作 Search(搜索)字段中,输入 Create SCC Enterprise
  5. SCCEnterprise 集成下的搜索结果中,选择 Create SCC Enterprise Cloud Posture Ticket Type SNOW 操作。系统随即会打开对话框窗口。

  6. 如需配置 API Root 参数,请输入 ServiceNow 实例的 API 根,例如 https://INSTANCE_NAME.service-now.com/api/now/v1/

  7. 如需配置 Username 参数,请输入您用来以管理员身份登录 ServiceNow 的用户名。

  8. 如需配置 Password 参数,请输入您用来以管理员身份登录 ServiceNow 的密码。

  9. 如需配置 Table Role 参数,请将该字段留空,或者提供值(如果有)。此参数仅接受一个角色值。

    默认情况下,Table Role 字段为空,以便在 ServiceNow 中创建新的自定义角色,专门用于管理 Security Command Center Enterprise 工单。只有被授予此新自定义角色的 ServiceNow 用户才能访问 Security Command Center Enterprise 工单。

    如果您已为在 ServiceNow 中管理突发事件的用户创建专用角色,并且希望使用此角色来管理 Security Command Center Enterprise 发现结果,请在表格角色字段中输入现有的 ServiceNow 角色名称。例如,如果您提供现有的 incident_handler_role 值,则在 ServiceNow 中被授予 incident_handler_role 角色的所有用户都可以访问 Security Command Center Enterprise 工单。

  10. 点击 Execute。等待操作完成。

配置 ServiceNow 自定义工单布局

为确保 ServiceNow 界面准确显示与支持请求和支持请求评论相关的更新,请完成以下步骤:

  1. 在您的 ServiceNow 管理员账号中,前往全部标签页。
  2. 搜索字段中,输入 SCC Enterprise
  3. 在下拉列表中,选择 SCC Enterprise Cloud Posture Ticket,然后运行搜索。
  4. 选择姿势测试工单。系统随即会打开 ServiceNow 工单布局页面。
  5. 在 ServiceNow 工单布局页面上,依次选择其他操作 > 配置 > 表单布局
  6. 前往表单视图和部分部分。
  7. 部分字段中,选择 u_scc_enterprise_cloud_posture_ticket
  8. 点击保存。页面更新后,工单模板中的字段会分布在两列中。
  9. 依次选择其他操作 > 配置 > 表单布局
  10. 前往表单视图和部分部分。
  11. 部分字段中,选择摘要
  12. 点击保存。页面更新后,工单模板将采用新的摘要结构。

配置 ServiceNow 集成

  1. 在安全运营控制台中,依次选择响应 > 集成设置
  2. 选择默认环境
  3. 在集成 Search 字段中,输入 ServiceNowServiceNow 集成会作为搜索结果返回。
  4. 点击 Configure Instance(配置实例)。 系统随即会打开对话框窗口。

  5. 如需配置 API Root 参数,请输入 ServiceNow 实例的 API 根,例如 https://INSTANCE_NAME.service-now.com/api/now/v1/

  6. 如需配置用户名参数,请输入您用于登录 ServiceNow 的用户名。请勿使用您的管理员凭据。

  7. 如需配置密码参数,请输入您用于登录 ServiceNow 的密码。请勿使用您的管理员凭据。

  8. 点击保存

  9. 如需测试您的配置,请点击测试

启用“使用 SNOW 获取状况发现结果”手册

  1. 在安全运营控制台中,依次选择响应 > 预设响应方案
  2. 在 Playbook 搜索栏中,输入 Generic
  3. 选择 Posture Findings - Generic 手册。此 Playbook 默认处于启用状态。
  4. 将开关切换为停用 Playbook
  5. 点击保存
  6. 在 Playbook 搜索栏中,输入 SNOW
  7. 选择 Posture Findings With SNOW 手册。此 Playbook 默认处于停用状态。
  8. 将开关切换为启用 Playbook
  9. 点击保存

启用支持请求数据同步

Security Command Center 会自动同步支持请求及其对应的工单中的信息,确保支持请求与工单中的优先级、状态、备注和其他相关数据保持一致。

为了同步支持请求数据,Security Command Center 使用称为同步作业的内部自动流程。Sync SCC-Jira TicketsSync SCC-ServiceNow Tickets 作业可在 Security Command Center 和集成的工单系统之间同步支持请求数据。这两个作业最初处于停用状态,您需要启用它们才能启动自动支持请求数据同步。

关闭支持请求会自动解决相应的工单。在 Jira 或 ServiceNow 中解决工单也会触发同步作业来关闭支持请求。

准备工作

如需启用支持请求同步,您必须在安全运营控制台中获得以下 SOC 角色中的任一角色:

  • 管理员
  • 漏洞管理器
  • 威胁管理器

如需详细了解安全运营控制台中的 SOC 角色以及用户所需的权限,请参阅控制对安全运营控制台中功能的访问权限

为票务系统启用同步

为确保自动同步支持请求和工单中的信息,请启用与您集成的服务工单系统相关的同步作业。

如需启用同步作业,请完成以下步骤:

  1. 在安全运营控制台中,依次选择响应 > 作业调度程序

  2. 选择正确的同步作业:

    • 如果您已与 Jira 集成,请选择 Sync SCC-Jira Tickets 作业。

    • 如果您已与 ServiceNow 集成,请选择 Sync SCC-ServiceNow Tickets 作业。

  3. 切换开关以启用所选作业。

  4. 点击保存,即可让 Security Command Center 自动将支持请求数据与服务工单系统同步。

为现有支持请求创建工单

Security Command Center 仅会为您在集成票务系统后创建的支持请求自动创建工单,不会将新的 Playbook 回溯性地附加到现有提醒。如需为在与服务工单系统集成之前打开的支持请求创建服务工单,请使用以下任一方法:

  • 关闭没有工单的支持请求,然后等待 SCC 重新提交发现结果并为支持请求提醒分配新的 Playbook。

  • 在您与工单系统集成之前打开的支持请求中的任何提醒中手动添加 Playbook。

关闭无工单的支持请求

如需关闭没有工单的支持请求,请完成以下步骤:

  1. 在安全运营控制台中,前往支持请求

  2. 点击 打开过滤器。系统随即会打开支持请求队列过滤条件面板。

  3. 支持请求队列过滤条件中,指定以下内容:

    1. 时间范围字段中,指定未解决支持请求的时间段。
    2. 逻辑运算符设为
    3. 对于逻辑运算符下的第一个值,选择代码
    4. 将条件设置为 IS
    5. 对于第二个值,请选择 Internal-SCC-Ticket-Info
    6. 点击应用以更新支持请求队列中的支持请求,并仅显示与您指定的过滤条件匹配的支持请求。

  4. 从支持请求队列中选择支持请求。

  5. “支持请求”视图中,依次选择 Close Case(关闭支持请求)。系统会打开关闭支持请求窗口。

  6. 关闭支持请求窗口中,指定以下内容:

    1. 原因字段选择一个值,说明关闭支持请求的原因。

    2. 根本原因字段选择一个值,说明关闭支持请求的原因。

    3. 可选:添加评论。

    4. 点击关闭以关闭支持请求。然后,Security Command Center 会将发现结果重新提交到新支持请求,并自动为其附加正确的操作手册。

手动向提醒添加 Playbook

如需手动将 Playbook 附加到现有支持请求中的提醒,请完成以下步骤:

  1. 在安全运营控制台中,前往支持请求

  2. 点击 打开过滤器。系统随即会打开支持请求队列过滤条件面板。

  3. 支持请求队列过滤条件中,指定以下内容:

    1. 时间范围字段中,指定未解决支持请求的时间段。
    2. 逻辑运算符设为
    3. 对于逻辑运算符下的第一个值,选择代码
    4. 将条件设置为 IS
    5. 对于第二个值,请选择 Internal-SCC-Ticket-Info
    6. 点击应用以更新支持请求队列中的支持请求,并仅显示与您指定的过滤条件匹配的支持请求。

  4. 从案例队列中选择相应支持请求。

  5. 选择支持请求中包含的任何提醒。

  6. 在提醒视图中,前往手册标签页。

  7. 依次点击添加“添加 Playbook”。 系统随即会显示添加 Playbook 窗口,其中列出了可用的 Playbook。

  8. 添加 Playbook 窗口的搜索字段中,输入 Posture Findings

    • 如果您已与 Jira 集成,请选择 Posture Findings With Jira 手册。
    • 如果您已与 ServiceNow 集成,请选择 Posture Findings With SNOW 手册。

  9. 点击添加,将操作手册添加到提醒。

完成后,该 Playbook 会为支持请求创建工单,并自动使用支持请求中的信息填充工单。

向支持请求中的单个警报添加 playbook 即可创建工单并触发数据同步。

后续步骤