En esta página, se documenta el mecanismo de asignación automática de tickets en Security Command Center Enterprise y se explica cómo asignar o reasignar tickets de forma manual con la consola de Security Operations.
Descripción general
La persona a la que se le asigna un ticket es responsable de abordar y corregir las vulnerabilidades. El ticket se asigna al encargado correspondiente automáticamente según el valor del propietario del recurso que hereda el hallazgo a través de la jerarquía de recursos de Google Cloud o el valor configurado en el parámetro Propietario de resguardo del conector.
Cómo asignar tickets automáticamente
El flujo automático predeterminado para asignar un ticket consta de los siguientes pasos:
Determinar el propietario del recurso de un hallazgo
Crear casos y agrupar en ellos los hallazgos relacionados
Crear y asignar tickets según los casos
Cómo determinar el propietario del recurso
Mientras transfieres y agrupas los resultados en casos, el Conector de SCC Enterprise - Urgent Posture Findings analiza cada resultado para los valores del propietario del recurso y del propietario de resguardo. El valor del propietario de resguardo configurado en el parámetro del conector Propietario de resguardo es la opción final para garantizar que un hallazgo personalizado se asigne a la persona correcta para su solución cuando fallan todas las demás opciones priorizadas.
Para obtener más información sobre cómo definir el propietario del recurso en Security Command Center Enterprise, consulta Determina la propiedad de los resultados de la postura.
Cómo crear casos y agrupar hallazgos
Después de que el conector transfiera un hallazgo, Security Command Center lo reenvía a un caso nuevo si es el primero de su tipo o a un caso existente si los parámetros del hallazgo cumplen con un mecanismo de agrupación. En un caso, el hallazgo se convierte en un evento en el que se basa la alerta. En esencia, una alerta es un contenedor de hallazgos que incluye toda la información sobre un hallazgo.
Para obtener más información sobre cómo se agrupan los hallazgos en casos, consulta Cómo agrupar hallazgos en casos.
Crea y asigna tickets
Cuando creas un caso, se crea automáticamente un ticket en un sistema de tickets integrado. Toda la información contenida en un caso se sincroniza de forma bidireccional con el ticket correspondiente, lo que significa que cada vez que hay una actualización en un caso, como un hallazgo nuevo, un comentario nuevo o un cambio de estado, la misma actualización aparece en el ticket y viceversa.
Security Command Center Enterprise asigna automáticamente el ticket creado al propietario del recurso de los resultados agrupados en un caso. Todos los hallazgos de un caso tienen el mismo propietario del recurso.
Cómo asignar entradas de forma manual
Para asignar tickets de forma manual, debes ejecutar acciones manuales en los casos.
Cómo asignar problemas de Jira en casos
Para asignar manualmente un problema de Jira en un caso, completa los siguientes pasos:
- En la consola de Security Operations, ve a Casos.
- Selecciona un caso relacionado con el ticket de ITSM.
- En la pestaña Descripción general del caso, haz clic en Acción manual.
- En el campo de acción manual Search, ingresa
Jira
. - En los resultados de la búsqueda de la integración de Jira, selecciona la acción Assign Issue. Se abrirá la ventana del cuadro de diálogo de acción.
Para configurar el parámetro Issue Key, ingresa el siguiente marcador de posición:
[Case.Ticket_ID]
El marcador de posición recupera de forma dinámica el ID de problema de Jira correspondiente al caso seleccionado.
- Para configurar el parámetro Issue Key de un problema específico, ingresa el ID de problema de Jira en el siguiente formato:
SCCE-NUMBER
Puedes encontrar el ID del problema en la URL del problema de Jira:
https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID
- Para configurar el parámetro Issue Key de un problema específico, ingresa el ID de problema de Jira en el siguiente formato:
Para configurar el parámetro Asignado, ingresa la dirección de correo electrónico del asignado del ticket de Jira.
Como alternativa, puedes ingresar el nombre del encargado del ticket como se muestra en Jira. La acción admite el uso de nombres de usuario o nombres visibles.
Haz clic en Ejecutar.
Cómo asignar tickets de ServiceNow en casos
Para asignar un ticket de ServiceNow de forma manual en un caso, completa los siguientes pasos:
- Recupera el valor
sys_id
para obtener el ID del asignado de ServiceNow. - Asigna el ticket de ServiceNow.
Cómo recuperar el valor de sys_id
- En la consola de Security Operations, ve a Casos.
- Selecciona un caso relacionado con el ticket de ServiceNow.
- En la pestaña Descripción general del caso, haz clic en Acción manual.
- En el campo de acción manual Search, ingresa
ServiceNow
. - En los resultados de la búsqueda de la integración de ServiceNow, selecciona la acción Get User Details. Se abrirá la ventana del cuadro de diálogo de acción.
- Para configurar el campo de parámetros Emails, ingresa la dirección de correo electrónico del asignado del ticket de ServiceNow.
- Haz clic en Ejecutar. Espera a que se ejecute la acción.
- Ve al Muro de casos y haz clic en Actualizar caso.
- En el registro de datos ServiceNow_Get User Details, haz clic en Ver más.
- En la sección Resultado JSON, busca la clave
sys_id
y guarda su valor para usarlo en la siguiente sección.
Asigna el ticket de ServiceNow
- Ve a la pestaña Descripción general del caso y haz clic en Acción manual.
- En el campo de acción manual Search, ingresa
ServiceNow
. - En los resultados de la búsqueda de la integración de ServiceNow, selecciona la acción Update Record. Se abrirá la ventana del cuadro de diálogo de acción.
- Para configurar el parámetro Nombre de la tabla, ingresa el siguiente valor:
u_scc_enterprise_cloud_posture_ticket
Para configurar el parámetro Object Json Data, ingresa el siguiente código:
{ "u_assigned_to": "SYS_ID_VALUE" }
En el código, usa el valor
sys_id
que recuperaste en la sección anterior.Para configurar el parámetro Record Sys ID, ingresa el siguiente marcador de posición:
[Case.Ticket_ID]
El marcador de posición recupera de forma dinámica el ID de ticket de ServiceNow correspondiente al caso seleccionado.
Como alternativa, para el parámetro Record Sys ID, puedes proporcionar un ID de ticket (widget Case Overview > Ticket Information > Ticket ID).
Haz clic en Ejecutar.
Próximos pasos
Obtén información para agrupar los resultados en casos.
Obtén información para silenciar resultados en Security Command Center.
Obtén información para silenciar los resultados en los casos.