Enterprise ユースケースを更新する

SCC Enterprise - クラウド オーケストレーションと修復ユースケースの 2024 年 7 月 10 日の更新が利用可能になりました。速やかにユースケースを更新してください。

このユースケースでは、Security Command Center の Enterprise ティアのセキュリティ運用機能を更新します。更新を適用するには、このページの手順に従ってください。

更新手順の概要は次のとおりです。

  1. コネクタを無効にして、特定の既存のハンドブックを削除することで、システムを更新する準備をします。
  2. SCC Enterprise - Cloud Orchestration and Remediation のユースケースの最新バージョンをインストールします。
  3. インストールを検証し、更新されたハンドブックを実行します。

必要なロールがあることを確認する

この手順を完了するには、セキュリティ運用コンソールで次の SOC ロールのいずれかが付与されている必要があります。

  • 管理者
  • 脆弱性マネージャー
  • 脅威マネージャー

セキュリティ運用コンソールの SOC のロールとユーザーに必要な権限の詳細については、セキュリティ運用コンソールで機能へのアクセスを制御するをご覧ください。

更新に向けてシステムを準備する

ユースケースを更新する前に、SCC Enterprise - Urgent Posture Findings Connector を無効にし、現在のユースケース バージョンで提供されるハンドブックを削除する必要があります。

コネクタを無効にする

ハンドブックがアタッチされていないアラートを回避するには、ハンドブックを削除する前に、SCC Enterprise - Urgent Posture Findings Connector コネクタを無効にします。コネクタを更新して有効にすると、コネクタが無効になっている間に収集された検出結果が Security Command Center によって取り込まれます。

コネクタを無効にするには、次の手順を行います。

  1. セキュリティ運用コンソールで、[設定] > [SOAR 設定] > [取り込み] > [コネクタ] に移動します。
  2. [SCCEnterprise] で、[SCCEnterprise] を選択します。
  3. スイッチを切り替えて、コネクタを無効にします。
  4. [保存] をクリックします。

ハンドブックを削除する

ハンドブックの重複を回避するには、ユースケースの現在のバージョンで使用するデフォルトのハンドブックを削除します。ユースケースをアップグレードする前にハンドブックを削除しても、ケースの管理には影響しません。

デフォルトのハンドブックを削除するには、次の手順を行います。

  1. セキュリティ運用コンソールで、[レスポンス] > [ハンドブック] に移動します。
  2. [ハンドブック] ページのブロックからハンドブックをフィルタするには、プルダウン フィルタを [すべて表示] から [ハンドブック] に変更します。
  3. [Siemplify のユースケース] を選択します。このフォルダには、次のデフォルトのハンドブックが含まれています。
    • AWS Threat Response ハンドブック
    • GCP Threat Response ハンドブック
    • IAM Recommender レスポンス
    • 体制の検出結果 - 一般
    • Jira による体制の検出結果
    • ServiceNow による体制の検出結果
  4. ハンドブックのページ ナビゲーションで [編集] をクリックして複数のアイテムを選択します。
  5. [Siemplify のユースケース] の横にある [done_all すべて選択] をクリックして、フォルダ内のすべてのハンドブックを選択します。
  6. [ハンドブック] ページのナビゲーションで、list [メニュー] > [削除] をクリックします。ウィンドウが表示され、選択したハンドブックの削除を確認またはキャンセルするよう求められます。

  7. [確認] をクリックします。

    これで、ユースケースのバージョンを更新できるようになりました。

Security Command Center Enterprise ユースケースをインストールする

SCC Enterprise ユースケースの最新バージョンを最新バージョンにインストールし、ユースケースで提供されるすべての統合が最新であることを確認します。

最新のユースケースをインストールする

SCC Enterprise - Cloud Orchestration and Remediation ユースケースの最新バージョンをインストールするには、次の手順を行います。

  1. セキュリティ運用コンソールで、[Marketplace] > [ユースケース] に移動します。
  2. フィルタ アイコン をクリックして [カテゴリでフィルタ] ダイアログを開きます。
  3. [カテゴリでフィルタ] ダイアログで「SCC Enterprise」と入力します。ユースケースが [ユースケース] セクションに表示されます。

  4. SCC Enterprise - クラウド オーケストレーションと修復のユースケースの説明で、日付を確認します。

    • 日付が 2024 年 7 月 10 日より早い場合、または説明に日付がない場合は、ユースケースを削除します。削除されたユースケースの代わりに最新のユースケースが自動的に表示されます。

    • SCC Enterprise – クラウド オーケストレーションと修復ユースケースの日付が 2024 年 7 月 10 日の場合は、次の手順に沿って、最新のユースケースのハンドブックがインストールされていることを確認します。

      1. ユースケースをクリックしてインストール ウィザードを開きます。
      2. ハンドブック カテゴリを開き、新しいハンドブックや更新されたハンドブックを確認します。
      3. セキュリティ運用コンソールの [レスポンス] > [ハンドブック] ページで、新規または更新されたハンドブックを検索します。新しいまたは更新されたハンドブックが見つかる場合、ユースケースのインストールはすでに完了しています。

  5. ユースケースのインストールを完了するには、[SCC Enterprise - Cloud Orchestration and Remediation] ユースケースをクリックし、インストール ウィザードの指示に従います。

新しいユースケースの構成を適用して検証する

最新のユースケースに含まれるさまざまな機能が正しく更新されていることを確認する必要があります。特定の機能については、新しいユースケースの更新を手動で適用する必要があります。

ユースケース内の統合バージョンを検証する

ユースケースの統合が最新であることを確認するには、次の手順を行います。

  1. セキュリティ運用コンソールで、[Marketplace] > [統合] に移動します。
  2. [タイプ] フィールドで [すべての統合] を選択します。
  3. [ステータス] フィールドで [利用可能なアップグレード] を選択します。アップグレードが必要なすべての統合が表示されます。
  4. 統合をアップグレードするには、統合カードの円形のアップグレード アイコンをクリックして、アップグレード ウィザードを完了します。Security Command Center Enterprise 統合のアップグレードが必要です。

同期ジョブを検証する

最新のユースケース バージョンをインストールして統合バージョンを検証したら、Sync SCC Data ジョブに更新されたパラメータが含まれていることを確認します。

同期ジョブを検証するには、次の手順を行います。

  1. セキュリティ運用コンソールで、[レスポンス] > [ジョブ スケジューラ] に移動します。
  2. GoogleSecurityCommandCenter で、[GoogleSecurityCommandCenter] を選択します。

  3. [パラメータ] セクションで、[プロジェクト ID] と [割り当てプロジェクト ID] のパラメータ値が同じであることを確認します。

    値が同じ場合、ジョブは最新です。ケースビュー ウィジェットの更新に進むことができます。

    値が異なる場合は、次のセクションに進みます。

同期ジョブ パラメータを更新する

ユースケースの更新中に同期ジョブが自動更新できなかった場合は、[プロジェクト ID] パラメータと [割り当てプロジェクト ID] パラメータの値を手動で入力する必要があります。

正しいパラメータ値を指定するには、次の手順を行います。

  1. [設定] > [SOAR 設定] > [取り込み] > [コネクタ] に移動します。
  2. [SCCEnterprise] で、[SCCEnterprise] を選択します。
  3. [パラメータ] セクションで、[割り当てプロジェクト ID] パラメータの値をコピーします。
  4. [レスポンス] > [ジョブ スケジューラ] に移動します。
  5. GoogleSecurityCommandCenter で、[GoogleSecurityCommandCenter] を選択します。
  6. [SCC データを同期] ジョブの [パラメータ] セクションで、コピーした値を [プロジェクト ID] と [割り当てプロジェクト ID ] フィールドに入力します。
  7. [保存] をクリックします。

ケースビュー ウィジェットを更新する

  1. セキュリティ運用コンソールで、[設定] > [SOAR 設定] > [ケースデータ] > [ビュー] に移動します。
  2. [デフォルト ケースビュー] を選択します。
  3. [事前定義] タブを選択します。
  4. [デフォルト ケースビュー] パネルで、次のウィジェットを削除します。
    • 検出結果の概要(構成ミス)
    • 検出結果の概要(脆弱性)
    • SCC - 検出結果の状態
    • SCC の次のステップ
    • チケット情報

  5. ウィジェットを [事前定義] タブから [デフォルト ケースビュー] にドラッグします。推奨される順序は次のとおりです。

    1. ケースの概要
    2. 有害な組み合わせの攻撃パス
    3. 検出
    4. AI 調査 / Gemini の概要
    5. 検出結果の概要
    6. SCC - 検出結果の状態
    7. 影響を受けるアセット
    8. 影響を受ける AWS アセット
    9. チケット情報
    10. 保留中のアクション
    11. アラート
    12. エンティティ グラフ
    13. エンティティ ハイライト
    14. 最新のケースウォールのアクティビティ
    15. 推奨事項
    16. 統計情報

  6. [Save View] をクリックします。

ウィジェットを検証する

正しい情報を取得するには、次のウィジェットに正しい条件が含まれていることを確認します。

  • 有害な組み合わせの攻撃パス
  • 検索中
  • エンティティ グラフ
  • AI 調査 / Gemini の概要

ウィジェットを検証するには、次の手順を行います。

  1. セキュリティ運用コンソールで、[設定] > [SOAR 設定] > [ケースデータ] > [ビュー] に移動します。
  2. [デフォルト ケースビュー] を選択します。
  3. [有害な組み合わせによる攻撃パス] ウィジェットと [検出結果] ウィジェットの両方で、[settings 構成] をクリックします。
  4. [詳細設定] の [条件] セクションで、条件は [Case.Tags] () Toxic Combination になります。そうでない場合は、条件を更新して [保存] をクリックします。
  5. [エンティティ グラフ] ウィジェットと [AI 調査 / Gemini の概要] ウィジェットの両方で、[settings 構成] をクリックします。
  6. [詳細設定] の [条件] セクションで、条件は [Case.Tags] !() Toxic Combination になります。そうでない場合は、条件を更新して [保存] をクリックします。

アラートのグループ化ルールを作成する

最新のユースケース バージョンの更新をサポートするには、新しいアラートのグループ化ルールを作成します。

アラートルールを作成するには、次の手順を行います。

  1. セキュリティ運用コンソールで、[設定] > [SOAR 設定] > [詳細] > [アラートのグループ化] に移動します。
  2. [ルール] セクションで、[add 追加] をクリックします。[グループ化ルールを追加] ウィンドウが開きます。
  3. [カテゴリ] フィールドで、[データソース] を選択します。
  4. [データソース] フィールドで [SCCEnterprise] を選択します。
  5. [グループ条件] フィールドで [ソースグループ化 ID] を選択します。
  6. [作成] をクリックします。
  7. [アラートのグループ化] ページで、[保存] をクリックします。

ハンドブックを有効にする

脆弱性と構成ミスを処理するハンドブックを有効にするには、次の手順を行います。

  1. セキュリティ運用コンソールで、[レスポンス] > [ハンドブック] に移動します。

  2. [Siemplify のユースケース] フォルダを選択します。

    チケット発行システムと統合していない場合は、[体制の検出結果 - 一般] ハンドブックが有効になっていることを確認します。

    チケット発行システムと統合した場合は、次の手順を行います。

    1. [体制の検出結果 – 一般] ハンドブックを選択します。
    2. スイッチを切り替えて無効にします。
    3. [保存] をクリックします。
    4. Jira と統合した場合は、[Jira による体制の検出結果] ハンドブックを選択します。
      1. スイッチを切り替えて、ハンドブックを有効にします。
      2. [保存] をクリックします。
    5. ServiceNow と統合した場合は、[ServiceNow による体制の検出結果] ハンドブックを選択します。
      1. スイッチを切り替えて、ハンドブックを有効にします。
      2. [保存] をクリックします。

ハンドブックを再実行する

新しいハンドブックを既存のアラートに適用するには、ハンドブックを再実行します。ハンドブックを再実行しても、既存のアラートに対して新しいチケットは作成されません。

ハンドブックを再実行する手順は次のとおりです。

  1. セキュリティ運用コンソールで、[ケース] に移動します。
  2. オープン ケースを選択します。
  3. [ケースビュー] で、ハンドブックを再実行するアラートを選択します。
  4. [ハンドブック] タブで、ハンドブック名の横にある [ハンドブックを再実行] をクリックします。

コネクタを更新する

ユースケースを更新しても、コネクタは自動的に更新されません。ユースケースの更新後にデータの取り込みが想定どおりに機能するようにするには、コネクタを更新します。

コネクタを更新するには、次の手順を行います。

  1. セキュリティ運用コンソールで、[設定] > [SOAR 設定] > [取り込み] > [コネクタ] に移動します。
  2. [SCCEnterprise] で、[SCCEnterprise] を選択します。
  3. cached [更新] をクリックします。
  4. スイッチを切り替えて、ハンドブックを有効にします。
  5. [保存] をクリックします。

更新の構成を確認する

すべてのユースケース コンポーネントが正常に更新されたことを確認するには、コネクタとジョブをテストします。

コネクタをテストする

  1. セキュリティ運用コンソールで、[設定] > [SOAR 設定] > [取り込み] > [コネクタ] に移動します。
  2. [SCCEnterprise] で、[SCCEnterprise] を選択します。
  3. [テスト] タブに移動します。
  4. [コネクタを 1 回実行] をクリックします。コネクタ構成が正しい場合は、チェックマークが表示されます。

ジョブをテストする

  1. セキュリティ運用コンソールで、[レスポンス] > [ジョブ スケジューラ] に移動します。
  2. [GoogleSecurityCommandCenter] で、[GoogleSecurityCommandCenter] を選択します。
  3. [今すぐ実行] をクリックします。ジョブが想定どおりに動作する場合、ジョブのステータスは Success になります。

トラブルシューティング

  • [検出結果の概要] ウィジェットで、検出アラートの [次のステップ] セクションの形式が正しくないか、セクション自体が存在しない場合は、影響を受けるケースのアラート 1 つでハンドブックを再実行します。

  • [SCC データを同期] ジョブで次のエラーが表示されます。

    TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)

    10 分待ってから、[今すぐ実行] をクリックします。エラーが解決しない場合は、次の手順を完了します。

    1. ジョブの [パラメータ] セクションで、[組織 ID] パラメータ値を削除します。
    2. [組織 ID] パラメータ値を入力します。
    3. [保存] をクリックします。
    4. [今すぐ実行] をクリックします。