SCC 企业 - 云编排的 2024 年 7 月 10 日更新 和修复用例现已推出。更新用例 。
此用例提供对 Google Cloud 和 App Engine 的 Security Command Center 的企业层级。如需应用更新,请按照 执行本页中的程序。
更新过程包括以下简要步骤:
- 停用连接器并删除,使系统做好更新准备 某些现有策略方案。
- 安装最新版本的 SCC Enterprise – Cloud 编排和修复用例。
- 验证安装并运行更新后的 playbook。
确认您拥有所需的角色
要完成此过程 您必须被授予以下任一 SOC Security Operations 控制台中的角色:
- 管理员
- 漏洞管理器
- 威胁管理器
如需详细了解安全操作控制台中的 SOC 角色和 用户所需的权限,请参阅 控制对 Security Operations 控制台中功能的访问权限。
使系统做好更新准备
在更新用例之前,您需要停用 SCC Enterprise – Urgent Posture Findings Connector 和 删除当前用例版本提供的 playbook。
停用连接器
为避免出现未附加 playbook 的提醒,请停用 SCC Enterprise – Urgent Posture Findings Connector 连接器 然后再删除 playbook。Security Command Center 注入收集的发现结果 。
要停用该连接器,请完成以下步骤:
- 在 Security Operations 控制台中,转到 Settings > SOAR Settings > 提取 > 连接器。
- 在 SCCEnterprise 下,选择 SCC Enterprise - 紧急 Posture Findings Connector。
- 切换切换开关以停用连接器。
- 点击保存。
删除 playbook
为避免 playbook 重复,请删除您使用的默认 playbook 应用场景的当前版本。在以下日期之前删除 playbook 升级用例不会影响支持请求管理。
如需删除默认 playbook,请完成以下步骤:
- 在 Security Operations 控制台中,转到响应 > playbook。
- 如需在 Playbook 页面上从块中过滤 playbook,请将 下拉过滤器从全部显示改为playbook。
- 选择简化使用场景。该文件夹包含以下内容
默认 playbook:
<ph type="x-smartling-placeholder">
- </ph>
- AWS 威胁响应指南
- GCP 威胁响应指南
- IAM Recommender 响应
- 状况发现结果 - 通用
- 使用 Jira 发现安全状况
- 使用 ServiceNow 发现状况
- 在 playbook 网页导航栏中,点击修改以选择多项内容。
- 在简化用例旁边,点击 done_all 全选 选择文件夹中的所有 playbook。
- 在 Playbook 网页导航栏中,点击 list 菜单 > 删除。这时会出现一个窗口,要求您确认或取消 删除所选 playbook。
点击确认。
现在,您可以更新用例版本了。
安装 Security Command Center Enterprise 用例
将最新版本的 SCC Enterprise 用例安装到最新版本 并检查用例中提供的所有集成是否均正常运行 功能。
安装最新用例
要安装最新版本的 SCC Enterprise - Cloud 编排和修复用例时,请完成以下步骤:
- 在 Security Operations 控制台中,转到 Marketplace > 使用场景。
- 点击过滤器图标,打开按类别过滤对话框。 。
- 在按类别过滤对话框中,输入
SCC Enterprise
。通过 用例部分中显示了相应用例。 在 SCC 企业 - 云编排 和修复用例,请查看日期。
- 如果日期早于 2024 年 7 月 10 日,或者 说明中没有日期,请删除相应用例。最新 自动替换为已删除的用例。
如果 SCC Enterprise - Cloud 上的日期 编排和修复用例为 2024 年 7 月 10 日, 确认最新用例中的策略方案 安装步骤:
- 点击用例以打开安装向导。
- 展开 Playbook 类别,并记下任何新增或更新 playbook。
- 在 Response >Playbook 页面。 搜索新的或更新的 playbook。如果您发现新的 更新后的 playbook,则用例安装已完成。
要完成用例的安装,请点击 SCC Enterprise – Cloud 编排和修复用例,并遵循 安装向导中的说明。
在新用例中应用并验证配置
您需要验证 正确更新。对于某些功能,您需要 手动应用新用例中的更新。
验证用例中的集成版本
为了确保用例中的集成处于最新状态, 请完成以下步骤:
- 在 Security Operations 控制台中,转到 Marketplace > Integrations(集成)。
- 在 Type(类型)字段中,选择 All Integrations(所有集成)。
- 在状态字段中,选择可用升级。所有 系统会显示需要升级的集成。
- 如需升级集成,请点击集成中的圆形升级图标 然后完成升级向导。升级 Security Command Center 必须提供企业集成。
验证同步作业
安装最新的用例版本并验证 集成版本,请检查 Sync SCC Data 作业是否包含 更新后的参数。
如需验证同步作业,请完成以下步骤:
- 在 Security Operations 控制台中,转到响应 > 作业调度程序。
- 在 GoogleSecurityCommandCenter 下,选择同步 SCC 数据。
在参数部分,检查项目 ID 和 配额项目 ID 参数值相同。
如果值相同,则表示作业是最新的。您可以继续 更新案例视图微件。
如果这些值不同,请继续阅读下一部分。
更新同步作业参数
如果同步作业在 您需要手动输入 Project ID 和 Quota Project ID 参数。
如需指定正确的参数值,请完成以下步骤:
- 依次前往设置 > SOAR 设置 > 提取 > 连接器。
- 在 SCCEnterprise 下,选择 SCC Enterprise - 紧急 Posture Findings Connector。
- 在参数部分中,复制配额项目 ID 的值 参数。
- 转到响应 > 作业调度程序。
- 在 GoogleSecurityCommandCenter 下,选择同步 SCC 数据。
- 在同步 SCC 数据作业的参数部分中,输入 项目 ID 和配额项目 ID 字段中复制的值。
- 点击保存。
更新案例视图 widget
- 在 Security Operations 控制台中,转到 Settings > SOAR “Settings”(设置)>“Case Data”(支持请求数据)>“Views”(视图)。
- 选择 Default Case View(默认案例视图)。
- 选择预定义标签页。
- 在 Default Case View 面板中,删除以下微件:
- 发现结果摘要(配置错误)
- 发现结果摘要(漏洞)
- SCC - 发现结果状态
- SCC 后续步骤
- 票务信息
将微件从 Predefinition(预定义)标签页拖动到 Default Case View(默认案例视图)中 并按以下建议顺序排列
- 支持请求摘要
- 恶意组合攻击路径
- 发现结果
- AI 调查/Gemini 摘要
- 发现结果摘要
- SCC - 发现结果状态
- 受影响的资产
- 受影响的 AWS 资产
- 票务信息
- 待处理的操作
- 提醒
- 实体图
- 实体的突出显示字段
- 最新案例墙活动
- 建议
- 统计信息
点击 Save View。
验证 widget
为确保您能获得正确的信息,请验证以下内容 微件包含正确的使用情况:
- 恶意组合攻击路径
- 发现
- 实体图
- AI 调查/Gemini 摘要
如需验证 widget,请完成以下步骤:
- 在 Security Operations 控制台中,转到设置 > SOAR 设置 > 案例数据 > 视图。
- 选择 Default Case View(默认案例视图)。
- 对于恶意组合攻击路径和查找 widget, 点击设置 配置。
- 在高级设置下的条件部分中,选择条件
应如下所示:
[Case.Tags] () Toxic Combination
。如果不是,请更新 条件,然后点击保存。 - 对于实体图和 AI 调查/Gemini 摘要 小程序,点击设置 配置。
- 在高级设置下的条件部分中,
条件应为:
[Case.Tags] !() Toxic Combination
。 如果没有,请更新条件,然后点击保存。
创建提醒分组规则
如需支持最新用例版本的更新,请创建新提醒 分组规则。
如需创建提醒规则,请完成以下步骤:
- 在 Security Operations 控制台中,转到设置 > SOAR 设置 > 高级 > 提醒分组。
- 在规则部分中,点击 add 添加。通过 系统会打开添加分组规则窗口。
- 在类别字段中,选择数据源。
- 在数据源字段中,选择 SCCEnterprise。
- 在 Group By 字段中,选择 Source Grouping Identifier。
- 点击创建。
- 在提醒分组页面中,点击保存。
启用 Playbook
如需启用 playbook 以处理漏洞和错误配置, 请完成以下步骤:
- 在 Security Operations 控制台中,转到响应 > playbook。
选择 Siemplify Use Cases 文件夹。
如果您没有与工单系统集成,请确保 已启用 Posture Findings - Generic playbook。
如果您已与票务系统集成,请完成以下步骤:
- 选择 Posture Findings - Generic playbook。
- 切换切换开关即可停用该功能。
- 点击保存。
- 如果您已与 Jira 集成,请选择 Posture Findings With Jira
playbook。
- 切换切换开关以启用 Playbook。
- 点击保存。
- 如果您已与 ServiceNow 集成,请选择安全状况发现结果
ServiceNow 指南。
- 切换切换开关以启用 Playbook。
- 点击保存。
重新运行 playbook
如需将新的 playbook 应用于现有提醒,请重新运行 playbook。正在重新运行 playbook 不会为现有提醒创建新的工单。
如需重新运行 playbook,请完成以下步骤:
- 在 Security Operations 控制台中,前往案例。
- 选择一个未结支持请求。
- 在案例视图中,选择要重新运行 playbook 的提醒。
- 在 Playbook 标签页中,点击 playbook 名称旁边的 重新运行 Playbook。
更新连接器
更新用例不会自动更新连接器。为确保 确保数据注入在用例更新后按预期运行; 更新连接器。
要更新连接器,请完成以下步骤:
- 在 Security Operations 控制台中,转到 Settings > SOAR 设置 > 提取 > 连接器。
- 在 SCCEnterprise 下,选择 SCC Enterprise - Urgent Posture Findings Connector。
- 点击缓存 更新。
- 切换切换开关以启用连接器。
- 点击保存。
验证更新配置
为了确保所有用例组件都已成功更新,请测试 连接器和作业。
测试连接器
- 在 Security Operations 控制台中,转到设置 > SOAR 设置 > 提取 > Connectors。
- 在 SCCEnterprise 下,选择 SCC Enterprise - 紧急 Posture Findings Connector。
- 转到测试标签页。
- 点击运行连接器一次。如果连接器配置正确, 复选标记。
测试作业
- 在 Security Operations 控制台中,前往 响应 > 作业调度程序。
- 在 GoogleSecurityCommandCenter 下,选择同步 SCC 数据。
- 点击立即运行。如果作业按预期运行,则作业状态为
Success
。
问题排查
在 Finding Summary(查找摘要)微件中,如果 发现结果提醒的格式有误或缺失,请在以下位置重新运行手册: 一条提醒。
同步 SCC 数据作业会显示以下错误:
TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)
等待十分钟,然后点击立即运行。如果错误仍然存在,请完成 执行下列步骤:
- 在作业参数部分,删除组织 ID 参数值。
- 输入 Organization ID 参数值。
- 点击保存。
- 点击立即运行。