将 Security Command Center Enterprise 与服务工单系统集成

本文档介绍了在配置安全编排、自动化和响应 (SOAR) 后,如何将 Security Command Center 的企业版与工单系统集成。

与工单系统集成是可选的,需要手动配置。如果您使用默认的 Security Command Center Enterprise 配置,则无需执行此程序。您可以随时与票务系统集成。

概览

您可以使用控制台和 API 跟踪发现结果,并采用默认的 Security Command Center Enterprise 配置。如果您的组织使用工单系统来跟踪问题,请在配置 Google Security Operations 实例后与 Jira 或 ServiceNow 集成。

在收到资源发现结果后,SCC Enterprise - Urgent Posture Findings 连接器会分析这些结果,并根据发现结果类型将其归入新案例或现有案例。

如果您与工单系统集成,Security Command Center 每次为发现结果创建新支持请求时,都会创建一个新工单。每次更新支持请求时,Security Command Center 都会自动更新相关工单。

一个病例可以包含多项发现。Security Command Center 会为每个支持请求创建一个工单,并将支持请求内容和信息与相应工单同步,以便工单受理人了解需要采取哪些补救措施。

支持在支持请求与工单之间进行双向同步:

  • 支持请求中的更改(例如状态更新或新评论)会自动反映在关联的工单中。

  • 同样,工单详细信息会同步回支持请求,并使用工单系统中的信息来丰富支持请求。

准备工作

在配置 Jira 或 ServiceNow 之前,请在 SCC Enterprise – Urgent Posture Findings Connector 中为 Fallback Owner 参数提供有效的电子邮件地址,并确保此电子邮件地址可在您的工单系统中分配。

与 Jira 集成

请务必完成所有集成步骤,以便将支持请求更新与 Jira 问题同步,并确保剧本流程正确无误。

支持请求优先级会反映在 Jira 问题严重程度中。

在 Jira 中创建新项目

如需在 Jira 中为 Security Command Center Enterprise 问题创建一个名为 SCC Enterprise Project (SCCE) 的新项目,请在支持服务工单中运行手动操作。您可以使用任何现有用例或模拟用例。如需详细了解如何模拟案例,请参阅 Google SecOps 文档中的模拟案例页面。

创建新的 Jira 项目需要 Jira 管理员级凭据。

如需创建新的 Jira 项目,请完成以下步骤:

  1. 在 Google Cloud 控制台中,依次前往风险 > 支持请求
  2. 选择现有支持请求或您模拟的支持请求。
  3. 支持请求概览标签页中,点击人工操作
  4. 在手动操作的搜索字段中,输入 Create SCC Enterprise
  5. SCCEnterprise 集成下的搜索结果中,选择 Create SCC Enterprise Cloud Posture Ticket Type Jira 操作。系统会打开对话框窗口。

  6. 如需配置 API 根参数,请输入 Jira 实例的 API 根,例如 https://YOUR_DOMAIN_NAME.atlassian.net

  7. 如需配置用户名参数,请输入您以管理员身份登录 Jira 时所用的用户名。

  8. 如需配置 Password 参数,请输入您以管理员身份登录 Jira 时使用的密码。

  9. 如需配置 API 令牌参数,请输入在 Jira 控制台中生成的 Atlassian 管理员账号的 API 令牌。

  10. 点击 Execute。等待操作完成。

可选:配置自定义 Jira 问题布局

  1. 以管理员身份登录 Jira。
  2. 依次前往项目 > SCC 企业项目 (SCCE)
  3. 调整并重新排序问题字段。如需详细了解如何管理问题字段,请参阅 Jira 文档中的配置问题字段布局

配置 Jira 集成

  1. 在 Google Cloud 控制台中,依次前往响应 > 剧本,打开 Security Operations 控制台导航。
  2. 在 Security Operations 控制台导航栏中,依次前往“响应”>“集成设置”
  3. 选择默认环境
  4. 在集成搜索字段中,输入 JiraJira 集成作为搜索结果返回。
  5. 点击 配置实例。 系统会打开对话框窗口。

  6. 如需配置 API 根目录参数,请输入 Jira 实例的 API 根目录,例如 https://YOUR_DOMAIN_NAME.atlassian.net

  7. 如需配置用户名参数,请输入您用于登录 Jira 的用户名。请勿使用您的管理员凭据。

  8. 如需配置 API 令牌参数,请输入在 Jira 控制台中生成的非管理员 Atlassian 账号的 API 令牌。

  9. 点击保存

  10. 如需测试配置,请点击测试

启用“安全状况发现结果与 Jira”剧本

  1. 在 Google Cloud 控制台中,依次前往响应 > 剧本,打开 Security Operations 控制台的剧本页面。
  2. 在 Playbook 搜索栏中,输入 Generic
  3. 选择 Posture Findings - Generic playbook。此剧本默认处于启用状态。
  4. 切换开关以停用 playbook
  5. 点击保存
  6. 在 Playbook 搜索栏中,输入 Jira
  7. 选择 Posture Findings With Jira playbook。此剧本默认处于停用状态。
  8. 切换开关以启用 playbook
  9. 点击保存

与 ServiceNow 集成

请务必完成所有集成步骤,以将 Google SecOps 支持请求的更新与 ServiceNow 工单同步,并确保正确的剧本流程。

创建和配置 ServiceNow 自定义工单类型

请务必创建并配置 ServiceNow 自定义工单类型,在 ServiceNow 界面中启用“活动”标签页,并避免使用错误的工单布局。

创建 ServiceNow 自定义工单类型

创建自定义 ServiceNow 工单类型需要 ServiceNow 管理员级凭据。

如需创建自定义支持请求类型,请完成以下步骤:

  1. 在 Google Cloud 控制台中,依次前往风险 > 支持请求
  2. 选择现有支持请求或您模拟的支持请求。
  3. 支持请求概览标签页中,点击人工操作
  4. 在手动操作的搜索字段中,输入 Create SCC Enterprise
  5. SCCEnterprise 集成下的搜索结果中,选择 Create SCC Enterprise Cloud Posture Ticket Type SNOW 操作。系统会打开对话框窗口。

  6. 如需配置 API 根参数,请输入 ServiceNow 实例的 API 根,例如 https://INSTANCE_NAME.service-now.com/api/now/v1/

  7. 如需配置用户名参数,请输入您以管理员身份登录 ServiceNow 时所用的用户名。

  8. 如需配置密码参数,请输入您以管理员身份登录 ServiceNow 时使用的密码。

  9. 如需配置表格角色参数,请将相应字段留空;如果您有值,则提供相应值。此形参仅接受一个角色值。

    默认情况下,Table Role 字段为空,以便在 ServiceNow 中创建新的自定义角色,专门用于管理 Security Command Center Enterprise 支持请求。 只有获得此新自定义角色的 ServiceNow 用户才能访问 Security Command Center Enterprise 工单。

    如果您已为在 ServiceNow 中管理突发事件的用户设置了专用角色,并且希望使用此角色来管理 Security Command Center Enterprise 发现结果,请在表格角色字段中输入现有的 ServiceNow 角色名称。例如,如果您提供现有的 incident_handler_role 值,则 ServiceNow 中获授 incident_handler_role 角色的所有用户都可以访问 Security Command Center Enterprise 支持请求。

  10. 点击 Execute。等待操作完成。

配置 ServiceNow 自定义工单布局

为确保 ServiceNow 界面准确显示与支持请求和支持请求评论相关的更新,请完成以下步骤:

  1. 在您的 ServiceNow 管理员账号中,前往全部标签页。
  2. 搜索字段中,输入 SCC Enterprise
  3. 在下拉列表中,选择 SCC Enterprise Cloud Posture Ticket,然后运行搜索。
  4. 选择安全状况测试工单。系统会打开 ServiceNow 工单布局页面。
  5. 在 ServiceNow 工单布局页面上,依次前往其他操作 > 配置 > 表单布局
  6. 前往表单视图和部分部分。
  7. 部分字段中,选择 u_scc_enterprise_cloud_posture_ticket
  8. 点击保存。页面更新后,工单模板的字段会分布在两列中。
  9. 依次前往其他操作 > 配置 > 表单布局
  10. 前往表单视图和部分部分。
  11. 部分字段中,选择摘要
  12. 点击保存。页面更新后,工单模板将采用新的“摘要”结构。

配置 ServiceNow 集成

  1. 在 Google Cloud 控制台中,依次前往响应 > 剧本,打开 Security Operations 控制台导航。
  2. 在 Security Operations 控制台导航栏中,依次前往响应 > 集成设置
  3. 选择默认环境
  4. 在集成搜索字段中,输入 ServiceNowServiceNow 集成会显示为搜索结果。
  5. 点击 配置实例。 系统会打开对话框窗口。

  6. 如需配置 API 根参数,请输入 ServiceNow 实例的 API 根,例如 https://INSTANCE_NAME.service-now.com/api/now/v1/

  7. 如需配置用户名参数,请输入您用于登录 ServiceNow 的用户名。请勿使用您的管理员凭据。

  8. 如需配置密码参数,请输入您用于登录 ServiceNow 的密码。请勿使用您的管理员凭据。

  9. 点击保存

  10. 如需测试配置,请点击测试

启用“通过 SNOW 发现姿势”剧本

  1. 在 Google Cloud 控制台中,依次前往响应 > 剧本
  2. 在 Playbook 搜索栏中,输入 Generic
  3. 选择 Posture Findings - Generic playbook。此剧本默认处于启用状态。
  4. 切换开关以停用 playbook
  5. 点击保存
  6. 在 Playbook 搜索栏中,输入 SNOW
  7. 选择 Posture Findings With SNOW playbook。此剧本默认处于停用状态。
  8. 切换开关以启用 playbook
  9. 点击保存

启用支持服务请求数据同步

Security Command Center 会自动同步支持请求与相应工单之间的信息,确保支持请求与工单之间的优先级、状态、评论和其他相关数据保持一致。

为了同步支持请求数据,Security Command Center 使用称为同步作业的内部自动流程。同步 SCC-Jira 工单同步 SCC-ServiceNow 工单作业用于在 Security Command Center 和集成的工单系统之间同步支持请求数据。这两个作业最初处于停用状态,您需要启用它们才能启动自动病例数据同步。

关闭支持请求会自动解决相应工单。在 Jira 或 ServiceNow 中解决工单会触发同步作业,从而关闭相应支持请求。

准备工作

如需启用支持请求同步,您必须在 SOAR 设置页面上获得以下任一 SOC 角色:

  • 管理员
  • Vulnerability Manager
  • Threat Manager

如需详细了解用户所需的 SOC 角色和权限,请参阅控制对 Security Operations 控制台页面中功能的访问权限

为工单系统启用同步功能

为确保工单和支持请求中的信息自动同步,请启用与您集成的工单系统相关的同步作业。

如需启用同步作业,请完成以下步骤:

  1. 在 Google Cloud 控制台中,前往 Security Command Center。

    进入 Security Command Center

  2. 在导航菜单中,依次点击响应 > 剧本。 系统会在安全运维控制台中打开剧本页面。

  3. 依次点击响应 > JobScheduler

  4. 选择正确的同步作业:

    • 如果您已与 Jira 集成,请选择 Sync SCC-Jira Tickets 作业。

    • 如果您已与 ServiceNow 集成,请选择 Sync SCC-ServiceNow Tickets 作业。

  5. 切换开关以启用所选作业。

  6. 点击保存,以使 Security Command Center 能够自动将支持请求数据与工单系统同步。

为现有支持请求创建工单

Security Command Center 仅针对在您与工单系统集成后打开的支持请求自动创建工单,并且不会追溯性地将新的 playbook 附加到现有提醒。如需为在与工单系统集成之前开立的支持请求创建工单,请使用以下方法之一:

  • 关闭没有工单的支持请求,并等待 SCC 重新提取发现结果,然后为支持请求提醒分配新的 playbook。

  • 手动向在您与工单系统集成之前打开的任何支持请求中的提醒添加 playbook。

关闭没有工单的支持请求

如需关闭没有工单的支持服务请求,请完成以下步骤:

  1. 在 Google Cloud 控制台中,前往 Security Command Center。

    进入 Security Command Center

  2. 在导航栏中,依次点击风险 > 支持请求。系统会在 Security Operations 控制台中打开支持请求页面。

  3. 点击 打开过滤条件。此时会打开支持请求队列过滤条件面板。

  4. 支持请求队列过滤条件中,指定以下内容:

    1. 时间范围字段中,指定未解决支持请求的时间段。
    2. 逻辑运算符设置为 AND
    3. 对于逻辑运算符下的第一个值,选择代码
    4. 将条件设置为 IS
    5. 对于第二个值,请选择 Internal-SCC-Ticket-Info
    6. 点击应用以更新支持请求队列中的支持请求,并仅显示与您指定的过滤条件匹配的支持请求。

  5. 从支持请求队列中选择相应支持请求。

  6. 支持请求视图中,选择 关闭支持请求。系统会打开关闭支持请求窗口。

  7. 关闭支持请求窗口中,指定以下内容:

    1. 原因字段选择一个值,以说明关闭支持请求的原因。

    2. 根本原因字段选择一个值,以说明关闭支持请求的原因。

    3. 可选:添加评论。

    4. 点击关闭以关闭支持请求。然后,Security Command Center 会将发现结果重新提取到新的支持请求中,并自动附加正确的 playbook。

手动向提醒添加 playbook

如需手动将剧本附加到现有支持请求中的提醒,请完成以下步骤:

  1. 在 Google Cloud 控制台中,前往 Security Command Center。

    进入 Security Command Center

  2. 依次点击风险> 举报。系统会在安全运维控制台中打开支持请求页面。

  3. 点击 打开过滤条件。此时会打开支持请求队列过滤条件面板。

  4. 支持请求队列过滤条件中,指定以下内容:

    1. 时间范围字段中,指定未解决支持请求的时间段。
    2. 逻辑运算符设置为 AND
    3. 对于逻辑运算符下的第一个值,选择代码
    4. 将条件设置为 IS
    5. 对于第二个值,请选择 Internal-SCC-Ticket-Info
    6. 点击应用以更新支持请求队列中的支持请求,并仅显示与您指定的过滤条件匹配的支持请求。

  5. 从支持请求队列中选择相应支持请求。

  6. 选择支持请求中包含的任何提醒。

  7. 在提醒视图中,前往 Playbook 标签页。

  8. 点击添加“添加 Playbook”。 系统会显示“添加 playbook”窗口,其中列出了可用的 playbook。

  9. 添加 Playbook 窗口的搜索字段中,输入 Posture Findings

    • 如果您已与 Jira 集成,请选择 Posture Findings With Jira playbook。
    • 如果您已与 ServiceNow 集成,请选择 Posture Findings With SNOW playbook。

  10. 点击添加,将剧本添加到提醒中。

完成后,playbook 会为支持请求创建一个工单,并自动使用支持请求中的信息填充该工单。

只需向支持请求中的单个提醒添加 playbook,即可创建工单并触发数据同步。

后续步骤