本文說明設定自動化安全性調度管理和應變 (SOAR) 後,如何將 Security Command Center Enterprise 方案與支援單處理系統整合。
與票務系統整合是選用功能,需要手動設定。如果您使用預設的 Security Command Center Enterprise 設定,則不需要執行這項程序。你隨時可以整合售票系統。
總覽
您可以使用控制台和 API,透過預設的 Security Command Center Enterprise 設定追蹤發現項目。如果貴機構使用票證系統追蹤問題,請在設定 Google Security Operations 執行個體後,與 Jira 或 ServiceNow 整合。
收到資源的發現項目後,SCC Enterprise - Urgent Posture Findings Connector 會分析這些項目,並根據發現項目類型,將其歸入新案件或現有案件。
如果您整合支援單處理系統,Security Command Center 每次為發現項目建立新案件時,都會建立新的支援單。案件更新時,Security Command Center 會自動更新相關票證。
單一案件可包含多項發現。Security Command Center 會為每個案件建立一張單據,並將案件內容和資訊同步至對應的單據,讓單據指派對象瞭解要修正的內容。
案件和支援單之間的同步作業是雙向的:
支援記錄中的變更 (例如狀態更新或新增留言) 會自動反映在相關聯的單號中。
同樣地,系統會將支援單詳細資料同步回案件,並從支援單系統擷取資訊,充實案件內容。
事前準備
設定 Jira 或 ServiceNow 之前,請先在 SCC Enterprise – Urgent Posture Findings Connector 中,為「Fallback Owner」參數提供有效的電子郵件地址,並確認該電子郵件地址可在票證系統中指派。
與 Jira 整合
請務必完成所有整合步驟,將案件更新與 Jira 問題同步處理,並確保劇本流程正確無誤。
案件優先順序會反映在 Jira 問題嚴重性中。
在 Jira 中建立新專案
如要為 Security Command Center Enterprise 問題在 Jira 中建立新專案,並命名為「SCC Enterprise Project (SCCE)」,請在案件中執行手動動作。你可以使用任何現有案件或模擬案件。如要進一步瞭解如何模擬案件,請參閱 Google SecOps 說明文件的「模擬案件」頁面。
如要建立新的 Jira 專案,必須具備 Jira 管理員層級的憑證。
如要建立新的 Jira 專案,請完成下列步驟:
- 在 Google Cloud 控制台中,依序前往「風險」>「案件」。
- 選取現有案件或模擬案件。
- 在「案件總覽」分頁中,按一下「手動操作」。
- 在手動動作「Search」(搜尋) 欄位中,輸入
Create SCC Enterprise。 - 在「SCCEnterprise」整合服務下方的搜尋結果中,選取「Create SCC Enterprise Cloud Posture Ticket Type Jira」(建立 SCC Enterprise Cloud Posture Ticket Type Jira) 動作。對話方塊視窗隨即開啟。
如要設定 API 根目錄參數,請輸入 Jira 執行個體的 API 根目錄,例如:
https://YOUR_DOMAIN_NAME.atlassian.net如要設定「使用者名稱」參數,請輸入您用來以管理員身分登入 Jira 的使用者名稱。
如要設定「Password」參數,請輸入您用來以管理員身分登入 Jira 的密碼。
如要設定 API 權杖參數,請輸入在 Jira 控制台中產生的 Atlassian 管理員帳戶 API 權杖。
按一下 [Execute] (執行)。等待動作完成。
選用:設定自訂 Jira 問題版面配置
- 以管理員身分登入 Jira。
- 依序前往「Projects」>「SCC Enterprise Project (SCCE)」。
- 調整及重新排序問題欄位。如要進一步瞭解如何管理問題欄位,請參閱 Jira 說明文件中的「設定問題欄位版面配置」。
設定 Jira 整合
- 在 Google Cloud 控制台中,依序前往「Response」>「Playbooks」,開啟 Security Operations 控制台導覽。
- 在 Security Operations 控制台導覽中,依序前往「Response」>「Integrations Setup」。
- 選取「預設環境」。
- 在整合的「搜尋」欄位中,輸入
Jira。Jira 整合功能會以搜尋結果的形式傳回。 - 按一下 「設定執行個體」。 對話方塊視窗隨即開啟。
如要設定 API 根目錄參數,請輸入 Jira 執行個體的 API 根目錄,例如:
https://YOUR_DOMAIN_NAME.atlassian.net如要設定「使用者名稱」參數,請輸入用來登入 Jira 的使用者名稱。請勿使用管理員憑證。
如要設定 API 權杖參數,請輸入在 Jira 控制台中產生的非管理員 Atlassian 帳戶 API 權杖。
按一下 [儲存]。
如要測試設定,請按一下「測試」。
啟用「Posture Findings With Jira」劇本
- 在 Google Cloud 控制台中,依序前往「Response」(回應) >「Playbooks」(劇本),開啟 Security Operations 控制台的「Playbooks」(劇本) 頁面。
- 在 Playbook 的「Search」(搜尋) 列中,輸入
Generic。 - 選取「Posture Findings - Generic」Playbook。這項教戰手冊預設為啟用。
- 將切換鈕切換為停用應對手冊。
- 按一下 [儲存]。
- 在 Playbook 的「Search」(搜尋) 列中,輸入
Jira。 - 選取「Posture Findings With Jira」劇本。這項應對手冊預設為停用。
- 切換切換鈕啟用劇本。
- 按一下 [儲存]。
與 ServiceNow 整合
請務必完成所有整合步驟,將 Google SecOps 案件的更新內容與 ServiceNow 票證同步處理,並確保劇本流程正確無誤。
建立及設定 ServiceNow 自訂支援單類型
請務必建立及設定 ServiceNow 自訂工單類型,在 ServiceNow UI 中啟用「活動」分頁,並避免使用錯誤的工單版面配置。
建立 ServiceNow 自訂支援單類型
如要建立自訂 ServiceNow 支援單類型,必須具備 ServiceNow 管理員層級的憑證。
如要建立自訂票證類型,請完成下列步驟:
- 在 Google Cloud 控制台中,依序前往「風險」>「案件」。
- 選取現有案件或模擬案件。
- 在「案件總覽」分頁中,按一下「手動操作」。
- 在手動動作「Search」(搜尋) 欄位中,輸入
Create SCC Enterprise。 - 在「SCCEnterprise」整合服務的搜尋結果中,選取「Create SCC Enterprise Cloud Posture Ticket Type SNOW」(建立 SCC Enterprise Cloud Posture 票證類型 SNOW) 動作。對話方塊視窗隨即開啟。
如要設定「API Root」(API 根目錄) 參數,請輸入 ServiceNow 執行個體的 API 根目錄,例如:
https://INSTANCE_NAME.service-now.com/api/now/v1/如要設定「Username」(使用者名稱) 參數,請輸入您用來以管理員身分登入 ServiceNow 的使用者名稱。
如要設定「Password」(密碼) 參數,請輸入您以管理員身分登入 ServiceNow 時使用的密碼。
如要設定「Table Role」(表格角色) 參數,請將欄位留空,或提供值 (如有)。這個參數只接受一個角色值。
根據預設,「Table Role」(表格角色) 欄位為空白,可在 ServiceNow 中建立新的自訂角色,專門管理 Security Command Center Enterprise 服務單。只有獲派這個新自訂角色的 ServiceNow 使用者,才能存取 Security Command Center Enterprise 票證。
如果您已為 ServiceNow 中的事件管理使用者設定專屬角色,並想使用這個角色管理 Security Command Center Enterprise 發現項目,請在「Table Role」欄位中輸入現有的 ServiceNow 角色名稱。舉例來說,如果您提供現有的
incident_handler_role值,所有在 ServiceNow 中獲派incident_handler_role角色的使用者,都能存取 Security Command Center Enterprise 支援單。按一下 [Execute] (執行)。等待動作完成。
設定 ServiceNow 自訂支援單版面配置
如要確保 ServiceNow UI 能準確顯示案件和案件留言的相關更新,請完成下列步驟:
- 在 ServiceNow 管理員帳戶中,前往「全部」分頁。
- 在「搜尋」欄位中輸入
SCC Enterprise。 - 在下拉式清單中選取「SCC Enterprise Cloud Posture Ticket」,然後執行搜尋。
- 選取「姿勢測試票券」。系統會開啟 ServiceNow 服務單版面配置頁面。
- 在 ServiceNow 服務單版面配置頁面中,依序前往「其他動作」>「設定」>「表單版面配置」。
- 前往「表單檢視畫面和區段」部分。
- 在「Section」(區段) 欄位中,選取「u_scc_enterprise_cloud_posture_ticket」。
- 按一下 [儲存]。頁面更新後,票證範本的欄位會分成兩欄。
- 依序點選「其他動作」>「設定」>「表單版面配置」。
- 前往「表單檢視畫面和區段」部分。
- 在「Section」(區段) 欄位中,選取「Summary」(摘要)。
- 按一下 [儲存]。頁面更新後,票證範本就會採用新的摘要結構。
設定 ServiceNow 整合
- 在 Google Cloud 控制台中,依序前往「Response」>「Playbooks」,開啟 Security Operations 控制台導覽。
- 在 Security Operations 控制台導覽中,依序前往「Response」>「Integrations Setup」。
- 選取「預設環境」。
- 在整合的「搜尋」欄位中,輸入
ServiceNow。ServiceNow 整合功能會以搜尋結果的形式傳回。 - 按一下 「設定執行個體」。 對話方塊視窗隨即開啟。
如要設定「API Root」(API 根目錄) 參數,請輸入 ServiceNow 執行個體的 API 根目錄,例如:
https://INSTANCE_NAME.service-now.com/api/now/v1/如要設定「Username」(使用者名稱) 參數,請輸入用於登入 ServiceNow 的使用者名稱。請勿使用管理員憑證。
如要設定「Password」(密碼) 參數,請輸入用來登入 ServiceNow 的密碼。請勿使用管理員憑證。
按一下 [儲存]。
如要測試設定,請按一下「測試」。
啟用「Posture Findings With SNOW」應對手冊
- 在 Google Cloud 控制台中,依序前往「Response」>「Playbooks」。
- 在 Playbook 的「Search」(搜尋) 列中,輸入
Generic。 - 選取「Posture Findings - Generic」Playbook。這項教戰手冊預設為啟用。
- 將切換鈕切換為停用應對手冊。
- 按一下 [儲存]。
- 在 Playbook 的「Search」(搜尋) 列中,輸入
SNOW。 - 選取「Posture Findings With SNOW」劇本。這項應對手冊預設為停用。
- 切換切換鈕啟用劇本。
- 按一下 [儲存]。
啟用案件資料同步
Security Command Center 會自動同步案件和對應單號之間的資訊,確保案件和單號的優先順序、狀態、註解和其他相關資料一致。
如要同步處理案件資料,Security Command Center 會使用稱為同步處理工作的內部自動程序。「Sync SCC-Jira Tickets」(同步處理 SCC-Jira 支援單) 和「Sync SCC-ServiceNow Tickets」(同步處理 SCC-ServiceNow 支援單) 作業會同步處理 Security Command Center 與整合式支援單系統之間的案件資料。這兩項工作一開始都會停用,您必須啟用才能啟動自動案件資料同步。
關閉案件後,系統會自動解決對應的服務單。在 Jira 或 ServiceNow 中解決支援單後,同步處理作業也會一併關閉案件。
事前準備
如要啟用案件同步功能,您必須在 SOAR 設定頁面中獲得下列任一 SOC 角色:
- 管理員
- 安全漏洞管理員
- 威脅管理員
如要進一步瞭解使用者所需的 SOC 角色和權限,請參閱「控管 Security Operations 控制台頁面中各項功能的存取權」。
啟用票務系統的同步功能
如要確保案件和單號中的資訊會自動同步處理,請啟用與您整合的票務系統相關的同步處理工作。
如要啟用同步作業,請完成下列步驟:
在 Google Cloud 控制台中,前往 Security Command Center。
在導覽選單中,依序點選「Response」>「Playbooks」。 Security Operations 控制台會開啟「Playbooks」(劇本) 頁面。
按一下「Response」>「JobScheduler」。
選擇正確的同步處理作業:
如果已與 Jira 整合,請選取「Sync SCC-Jira Tickets」工作。
如果已與 ServiceNow 整合,請選取「Sync SCC-ServiceNow Tickets」(同步處理 SCC-ServiceNow 支援單) 工作。
切換切換按鈕,啟用所選工作。
按一下「儲存」,即可啟用 Security Command Center,自動將案件資料與支援單處理系統同步。
為現有案件建立支援單
只有在您整合票證系統後開啟的案件,Security Command Center 才會自動建立票證,且不會追溯將新應對手冊附加至現有快訊。如要為整合票務系統前開啟的案件建立工單,請使用下列其中一種方法:
關閉沒有支援單的案件,然後等待 SCC 重新擷取發現項目,並為案件快訊指派新的劇本。
如果您在整合票證系統前開啟案件,可以手動將應對手冊新增至案件中的任何快訊。
關閉沒有支援單的案件
如要關閉沒有單號的案件,請完成下列步驟:
在 Google Cloud 控制台中,前往 Security Command Center。
在導覽列中,依序點按「風險」> 案件。「案件」頁面會在 Security Operations 控制台中開啟。
按一下「開啟篩選器」
。「案件佇列篩選器」面板隨即開啟。在「案件佇列篩選器」中,指定下列項目:
- 在「時間範圍」欄位中,指定未結案件的時間範圍。
- 將「邏輯運算子」設為「AND」。
- 在「邏輯運算子」下方的第一個值,選取「代碼」。
- 將條件設為「是」。
- 第二個值請選取「Internal-SCC-Ticket-Info」Internal-SCC-Ticket-Info。
- 按一下「套用」,即可更新案件佇列中的案件,並只顯示符合指定篩選條件的案件。
從案件佇列選取案件。
在「案件檢視畫面」中,選取
「結案」。「Close Case」視窗會隨即開啟。在「Close Case」(結案) 視窗中,指定下列項目:
選取「原因」欄位的值,說明結案原因。
選取「根本原因」欄位的值,說明關閉案件的原因。
選用:新增留言。
按一下「關閉」即可關閉案件。Security Command Center 接著會將發現項目重新擷取到新案件中,並自動附加正確的劇本。
手動將應對手冊新增至快訊
如要手動將劇本附加至現有案件中的快訊,請完成下列步驟:
在 Google Cloud 控制台中,前往 Security Command Center。
依序點選「風險」>「案件」。「案件」頁面隨即會在 Security Operations 控制台中開啟。
按一下「開啟篩選器」
。「案件佇列篩選器」面板隨即開啟。在「案件佇列篩選器」中,指定下列項目:
- 在「時間範圍」欄位中,指定未結案件的時間範圍。
- 將「邏輯運算子」設為「AND」。
- 在「邏輯運算子」下方的第一個值,選取「代碼」。
- 將條件設為「是」。
- 第二個值請選取「Internal-SCC-Ticket-Info」Internal-SCC-Ticket-Info。
- 按一下「套用」,即可更新案件佇列中的案件,並只顯示符合指定篩選條件的案件。
從案件佇列選取案件。
選取案件中的任何快訊。
在快訊檢視畫面中,前往「Playbooks」(劇本) 分頁。
按一下「新增」新增 Playbook。 「新增劇本」視窗隨即會顯示可用劇本清單。
在「Add a Playbook」(新增 Playbook) 視窗的搜尋欄位中,輸入
Posture Findings。- 如果已與 Jira 整合,請選取「Posture Findings With Jira」劇本。
- 如果已與 ServiceNow 整合,請選取「Posture Findings With SNOW」劇本。
按一下「新增」,將劇本新增至快訊。
完成後,應對手冊會建立案件的票證,並自動填入案件資訊。
在案件中新增應對手冊至單一快訊,即可建立工單並觸發資料同步。
後續步驟
瞭解如何判斷姿勢發現項目的擁有權。
瞭解如何在案件中將調查結果分組。
瞭解如何根據姿勢案例指派支援單。