Aggiorna il caso d'uso Enterprise

L'aggiornamento del 10 luglio 2024 del programma SCC Enterprise – Cloud Orchestration e correzione. Aggiorna il caso d'uso appena possibile.

Questo caso d'uso fornisce aggiornamenti alle funzionalità delle operazioni di sicurezza del Livello Enterprise di Security Command Center. Per applicare gli aggiornamenti: le procedure riportate in questa pagina.

La procedura di aggiornamento include i seguenti passaggi generali:

  1. Prepara il sistema per l'aggiornamento disattivando un connettore ed eliminando alcuni playbook esistenti.
  2. Installa la versione più recente di SCC Enterprise – Cloud caso d'uso di orchestrazione e correzione.
  3. Convalida l'installazione ed esegui i playbook aggiornati.

Verifica di disporre dei ruoli richiesti

Per completare questa procedura, devi ottenere uno dei seguenti SOC: ruoli nella Security Operations Console:

  • Amministratore
  • Gestore delle vulnerabilità
  • Gestore delle minacce

Per ulteriori dettagli sui ruoli SOC nella Security Operations Console e le autorizzazioni necessarie per gli utenti, consulta Controlla l'accesso alle funzionalità nella Security Operations Console.

Preparare il sistema per l'aggiornamento

Prima di aggiornare il caso d'uso, devi disabilitare SCC Enterprise - Urgent Posture Findings Connector e eliminare i playbook forniti dalla versione del caso d'uso attuale.

Disattiva il connettore

Per evitare di avere avvisi senza playbook allegati, disattiva la Connettore SCC Enterprise - Urgent Posture Findings prima di eliminare i playbook. Security Command Center importa i risultati raccolti mentre il connettore è disabilitato quando lo aggiorni e abiliti il connettore.

Per disabilitare il connettore, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Settings (Impostazioni) > SOAR Settings (Impostazioni SOAR) > Importazione > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Connettore dei risultati della postura.
  3. Attiva l'opzione di attivazione/disattivazione per disattivare il connettore.
  4. Fai clic su Salva.

Elimina playbook

Per evitare la duplicazione dei playbook, elimina i playbook predefiniti che utilizzi nella versione attuale del tuo caso d'uso. Eliminazione dei playbook prima del giorno l'upgrade del caso d'uso non influisce sulla gestione dei casi.

Per eliminare i playbook predefiniti, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Risposta > Playbook.
  2. Per filtrare i playbook dai blocchi nella pagina Playbook, modifica il filtro del menu a discesa da Mostra tutto a Playbook.
  3. Seleziona Casi d'uso di Siemplify. La cartella contiene: playbook predefiniti:
    • Guida pratica per la risposta alle minacce di AWS
    • Guida pratica per la risposta alle minacce per Google Cloud
    • Risposta del motore per suggerimenti IAM
    • Risultati della postura - Generici
    • Risultati di postura con Jira
    • Risultati della postura con ServiceNow
  4. Nella pagina di navigazione delle guide pratiche, fai clic su Modifica per selezionare più elementi.
  5. Accanto a Casi d'uso di Siemplify, fai clic su done_all Seleziona tutto per selezionare tutti i playbook nella cartella.
  6. Nella pagina di navigazione Playbook, fai clic su Menu elenco > Elimina. Viene visualizzata una finestra che richiede la conferma o l'annullamento del eliminazione dei playbook selezionati.

  7. Fai clic su Conferma.

    Ora puoi aggiornare la versione del tuo caso d'uso.

Installa il caso d'uso di Security Command Center Enterprise

Per installare l'ultima versione del caso d'uso di SCC Enterprise nella versione più recente e verificare che tutte le integrazioni fornite nel caso d'uso siano ad oggi.

Installa il caso d'uso più recente

Per installare la versione più recente di SCC Enterprise – Cloud di orchestrazione e correzione, completa i seguenti passaggi:

  1. Nella console Security Operations Console, vai a Marketplace > Casi d'uso.
  2. Apri la finestra di dialogo Filtra per categorie facendo clic sull'icona del filtro. .
  3. Nella finestra di dialogo Filtra per categorie, digita SCC Enterprise. La viene visualizzato nella sezione Casi d'uso.

  4. Nella descrizione del modulo SCC Enterprise - Cloud Orchestration and Remediation, verificare la data.

    • Se la data è precedente al 10 luglio 2024 o non c'è alcuna data nella descrizione, elimina il caso d'uso. Ultime novità viene visualizzato automaticamente al posto di quello eliminato.

    • Se la data indicata nel campo SCC Enterprise – Cloud Orchestrazione e correzione è il 10 luglio 2024, per confermare che i playbook nel caso d'uso più recente vengono installati svolgendo i seguenti passaggi:

      1. Fai clic sul caso d'uso per aprire l'installazione guidata.
      2. Espandere la categoria di playbook e prendere nota di eventuali aggiornamenti i playbook.
      3. Nella sezione Risposta > Playbooks nella Security Operations Console. cerca il playbook nuovo o aggiornato. Se trovi il nuovo aggiornato, l'installazione del caso d'uso è già stata completata.

  5. Per completare l'installazione e il caso d'uso, fai clic sul pulsante SCC Enterprise – caso d'uso di Cloud Orchestration and Remediation e seguire le istruzioni nella procedura guidata di installazione.

Applica e convalida le configurazioni del nuovo caso d'uso

È necessario verificare che le varie caratteristiche incluse nel più recenti siano aggiornati correttamente. Per alcune funzionalità, è necessario e applicare manualmente gli aggiornamenti del nuovo caso d'uso.

Convalida le versioni dell'integrazione nel caso d'uso

Per garantire che le integrazioni nel caso d'uso siano aggiornate, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Marketplace > Integrazioni.
  2. Nel campo Type (Tipo), seleziona All Integrations (Tutte le integrazioni).
  3. Nel campo Stato, seleziona Upgrade disponibile. Tutte le vengono visualizzate le integrazioni che richiedono un upgrade.
  4. Per eseguire l'upgrade di un'integrazione, fai clic sull'icona circolare di upgrade nell'integrazione e completa la procedura guidata di upgrade. Upgrade di Security Command Center L'integrazione Enterprise è obbligatoria.

Convalida il job di sincronizzazione

Dopo aver installato l'ultima versione del caso d'uso e convalidato il di integrazione, verifica che il job Sync SCC Data contenga parametri aggiornati.

Per convalidare il job di sincronizzazione, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Risposta > Pianificazione job.
  2. In GoogleSecurityCommandCenter, seleziona Sync SCC Data (Sincronizza dati SCC).

  3. Nella sezione Parametri, verifica che i campi ID progetto e I valori del parametro ID progetto quota sono uguali.

    Se i valori sono uguali, il job è aggiornato. Puoi procedere all'aggiornamento dei widget di visualizzazione richieste.

    Se i valori sono diversi, vai alla sezione seguente.

Aggiorna i parametri del job di sincronizzazione

Se l'aggiornamento automatico del job di sincronizzazione non riesce durante devi inserire manualmente i valori per Parametri ID progetto e ID progetto quota.

Per specificare i valori parametro corretti, completa i seguenti passaggi:

  1. Vai a Impostazioni > Impostazioni SOAR > Importazione. > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Connettore dei risultati della postura.
  3. Nella sezione Parametri, copia il valore dell'ID progetto quota .
  4. Vai a Risposta > Pianificazione job.
  5. In GoogleSecurityCommandCenter, seleziona Sync SCC Data (Sincronizza dati SCC).
  6. Nella sezione Parametri del job Sincronizzazione dati SCC, inserisci il valore copiato nei campi ID progetto e ID progetto quota.
  7. Fai clic su Salva.

Aggiorna i widget della visualizzazione delle richieste

  1. In Security Operations Console, vai a Settings (Impostazioni) > SOAR Impostazioni > Dati della richiesta > Visualizzazioni.
  2. Seleziona Visualizzazione richieste predefinita.
  3. Seleziona la scheda Predefinito.
  4. Dal riquadro Visualizzazione richieste predefinita, elimina i seguenti widget:
    • Individuazione del riepilogo (configurazione errata)
    • Riepilogo dei risultati (vulnerabilità)
    • SCC - Stato del risultato
    • Passaggi successivi per SCC
    • Informazioni sul biglietto

  5. Trascina i widget dalla scheda Predefinito alla Visualizzazione richieste predefinita. nel seguente ordine consigliato:

    1. Riepilogo richiesta
    2. Percorso di attacco della combinazione tossica
    3. Risultati
    4. AI Investigation/Gemini Riepilogo
    5. Riepilogo risultati
    6. SCC - Stato del risultato
    7. Asset interessati
    8. Asset AWS interessati
    9. Informazioni sui biglietti
    10. Azioni in attesa
    11. Avvisi
    12. Grafico delle entità
    13. Entità in evidenza
    14. Attività più recente della bacheca richieste
    15. Consigli
    16. Statistiche

  6. Fai clic su Salva visualizzazione.

Convalida widget

Per assicurarti di ricevere le informazioni corrette, verifica quanto segue: widget contengono la condizione corretta:

  • Percorso di attacco di combinazione tossica
  • Ricerca
  • Grafico delle entità
  • Indagine sull'IA/riepilogo di Gemini

Per convalidare i widget, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Settings (Impostazioni) > Impostazioni SOAR > Dati della richiesta > Visualizzazioni.
  2. Seleziona Visualizzazione richieste predefinita.
  3. Per entrambi i widget Percorso di attacco di combinazione tossica e Ricerca, fai clic su Impostazioni Configurazione.
  4. In Impostazioni avanzate, nella sezione Condizioni, la condizione deve essere: [Case.Tags] () Toxic Combination. In caso contrario, aggiorna la condizione e fai clic su Salva.
  5. Sia per il Grafico delle entità che per il riepilogo dell'indagine sull'IA/Gemini widget, fare clic su impostazioni Configurazione.
  6. In Impostazioni avanzate, nella sezione Condizioni, deve essere la seguente: [Case.Tags] !() Toxic Combination. In caso contrario, aggiorna la condizione e fai clic su Salva.

Crea una regola di raggruppamento degli avvisi

Per supportare gli aggiornamenti della versione più recente del caso d'uso, crea un nuovo avviso di una regola di raggruppamento.

Per creare una regola di avviso, segui questi passaggi:

  1. Nella Security Operations Console, vai a Settings (Impostazioni) > Impostazioni SOAR > Avanzate > Raggruppamento avvisi.
  2. Nella sezione Regole, fai clic su add Aggiungi. La Si apre la finestra Aggiungi regola di raggruppamento.
  3. Nel campo Categoria, seleziona Origine dati.
  4. Nel campo Origine dati, seleziona SCCEnterprise.
  5. Nel campo Raggruppa per, seleziona Identificatore di raggruppamento di origine.
  6. Fai clic su Crea.
  7. Nella pagina Raggruppamento avvisi, fai clic su Salva.

Abilita playbook

Per abilitare un playbook per l'elaborazione di vulnerabilità e configurazioni errate, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Risposta > Playbook.

  2. Seleziona la cartella Siemplify Use Cases (Casi d'uso di Siemplify).

    Se non hai effettuato l'integrazione con i sistemi di gestione delle richieste di assistenza, assicurati che il Il playbook Risultati postura - Generico è abilitato.

    Se hai eseguito l'integrazione con i sistemi di gestione delle richieste di assistenza, completa i seguenti passaggi:

    1. Seleziona il playbook Risultati postura - Generici.
    2. Sposta il pulsante di attivazione/disattivazione per disattivarlo.
    3. Fai clic su Salva.
    4. Se hai eseguito l'integrazione con Jira, seleziona Posture Findings With Jira. .
      1. Attiva il pulsante di attivazione/disattivazione per attivare il playbook.
      2. Fai clic su Salva.
    5. Se hai eseguito l'integrazione con ServiceNow, seleziona il campo Posture Findings With il playbook ServiceNow.
      1. Attiva il pulsante di attivazione/disattivazione per attivare il playbook.
      2. Fai clic su Salva.

Riesegui i playbook

Per applicare i nuovi playbook agli avvisi esistenti, eseguili di nuovo. Nuova esecuzione in corso... un playbook non crea nuovi ticket per gli avvisi esistenti.

Per eseguire di nuovo un playbook, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Richieste.
  2. Seleziona una richiesta aperta.
  3. Nella Visualizzazione richiesta, seleziona un avviso su cui eseguire nuovamente un playbook.
  4. Nella scheda Playbook, accanto al nome del playbook, fai clic su Esegui di nuovo il playbook.

Aggiorna il connettore

L'aggiornamento del caso d'uso non comporta l'aggiornamento automatico del connettore. Per garantire che l'importazione dati funzioni come previsto dopo l'aggiornamento del caso d'uso, aggiornare il connettore.

Per aggiornare il connettore, completa i seguenti passaggi:

  1. In Security Operations Console, vai a Settings (Impostazioni) > SOAR Impostazioni > Importazione > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Connettore Urgent Posture Findings.
  3. Fai clic su Aggiorna memorizzata nella cache.
  4. Attiva l'opzione di attivazione/disattivazione per attivare il connettore.
  5. Fai clic su Salva.

Verificare la configurazione dell'aggiornamento

Per assicurarti che tutti i componenti del caso d'uso vengano aggiornati correttamente, testa la il connettore e il job.

Testa il connettore

  1. Nella Security Operations Console, vai a Settings (Impostazioni) > Impostazioni SOAR > Importazione > Connettori.
  2. In SCCEnterprise, seleziona SCC Enterprise - Urgent Connettore dei risultati della postura.
  3. Vai alla scheda Test.
  4. Fai clic su Esegui il connettore una volta. Se la configurazione del connettore è corretta, viene visualizzato il segno di spunta.

Testa il job

  1. In Security Operations Console, vai a Risposta > Pianificazione job.
  2. In GoogleSecurityCommandCenter, seleziona Sync SCC Data (Sincronizza dati SCC).
  3. Fai clic su Esegui ora. Se il job funziona come previsto, lo stato del job è Success.

Risoluzione dei problemi

  • Nel widget Ricerca di riepilogo, se la sezione Passaggi successivi di una l'avviso sui risultati non è formattato correttamente o non è presente, esegui nuovamente il playbook un avviso per la richiesta interessata.

  • Il job Sync SCC Data mostra il seguente errore:

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    Attendi dieci minuti e fai clic su Esegui ora. Se l'errore persiste, completa segui questi passaggi:

    1. Nella sezione Parametri del job, elimina l'ID organizzazione. .
    2. Inserisci il valore parametro ID organizzazione.
    3. Fai clic su Salva.
    4. Fai clic su Esegui ora.