Menetapkan tiket berdasarkan kasus postur

Halaman ini mendokumentasikan mekanisme penetapan tiket otomatis di Security Command Center Enterprise dan menjelaskan cara menetapkan atau menetapkan ulang tiket secara manual menggunakan konsol Security Operations.

Ringkasan

Penerima tiket adalah orang yang bertanggung jawab untuk mengatasi dan memperbaiki kerentanan. Tiket ditetapkan ke penerima masing-masing secara otomatis berdasarkan nilai pemilik resource yang diwarisi oleh temuan melalui hierarki resource Google Cloud atau nilai yang dikonfigurasi di parameter Pemilik Penggantian konektor.

Menetapkan tiket secara otomatis

Alur otomatis default untuk menetapkan tiket terdiri dari langkah-langkah berikut:

  1. Menentukan pemilik resource temuan.

  2. Membuat kasus dan mengelompokkan temuan terkait ke dalamnya.

  3. Membuat dan menetapkan tiket berdasarkan kasus.

Menentukan pemilik resource

Saat menyerap dan mengelompokkan temuan ke dalam kasus, SCC Enterprise - Urgent Posture Findings Connector menganalisis setiap temuan untuk nilai pemilik resource dan pemilik penggantian. Nilai pemilik penggantian yang dikonfigurasi di parameter konektor Pemilik Penggantian adalah opsi terakhir untuk memastikan bahwa temuan kustom ditetapkan ke orang yang benar untuk perbaikan saat semua opsi lain yang diprioritaskan gagal.

Untuk informasi selengkapnya tentang cara menentukan pemilik resource di Security Command Center Enterprise, lihat Menentukan kepemilikan untuk temuan postur.

Membuat kasus dan mengelompokkan temuan

Setelah konektor menyerap temuan, Security Command Center akan meneruskan temuan ke kasus baru jika temuan tersebut merupakan yang pertama, atau kasus yang ada jika parameter temuan mematuhi mekanisme pengelompokan. Dalam kasus tertentu, temuan menjadi peristiwa yang menjadi dasar pemberitahuan. Pada dasarnya, pemberitahuan adalah penampung temuan yang menyertakan semua informasi tentang temuan.

Untuk mempelajari lebih lanjut cara pengelompokan temuan ke dalam kasus, lihat Mengelompokkan temuan dalam kasus.

Membuat dan menetapkan tiket

Membuat kasus akan otomatis membuat tiket dalam sistem penjualan tiket terpadu. Semua informasi yang terdapat dalam kasus disinkronkan secara dua arah dengan tiket yang sesuai, yang berarti setiap kali ada pembaruan dalam kasus seperti temuan baru, komentar baru, atau perubahan status, pembaruan yang sama akan muncul di tiket dan sebaliknya.

Security Command Center Enterprise otomatis menetapkan tiket yang dibuat kepada pemilik resource temuan yang dikelompokkan dalam kasus. Semua temuan dalam kasus memiliki pemilik resource yang sama.

Menetapkan tiket secara manual

Untuk menetapkan tiket secara manual, Anda harus menjalankan tindakan manual pada kasus.

Menetapkan masalah Jira dalam kasus

Untuk menetapkan masalah Jira secara manual dalam kasus, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Kasus.
  2. Pilih kasus yang terkait dengan tiket ITSM.
  3. Di tab Ringkasan Kasus, klik Tindakan Manual.
  4. Di kolom Telusuri tindakan manual, masukkan Jira.
  5. Di hasil penelusuran pada bagian integrasi Jira, pilih tindakan Assign Issue. Jendela dialog tindakan akan terbuka.

  6. Untuk mengonfigurasi parameter Kunci Masalah, masukkan placeholder berikut: [Case.Ticket_ID]

    Placeholder secara dinamis mengambil ID masalah Jira yang sesuai dengan kasus yang dipilih.

    1. Untuk mengonfigurasi parameter Kunci Masalah untuk masalah tertentu, masukkan ID masalah Jira dalam format berikut: SCCE-NUMBER

    Anda dapat menemukan ID masalah di URL masalah Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Untuk mengonfigurasi parameter Assignee, masukkan alamat email penerima tiket Jira.

    Atau, Anda dapat memasukkan nama penerima tiket seperti yang ditampilkan di Jira. Tindakan ini mendukung penggunaan nama pengguna atau nama yang ditampilkan.

  8. Klik Jalankan.

Menetapkan tiket ServiceNow dalam kasus

Untuk menetapkan tiket ServiceNow secara manual dalam kasus, selesaikan langkah-langkah berikut:

  1. Ambil nilai sys_id untuk mendapatkan ID penerima ServiceNow.
  2. Tetapkan tiket ServiceNow.

Mengambil nilai sys_id

  1. Di konsol Security Operations, buka Kasus.
  2. Pilih kasus yang terkait dengan tiket ServiceNow.
  3. Di tab Ringkasan Kasus, klik Tindakan Manual.
  4. Di kolom Telusuri tindakan manual, masukkan ServiceNow.
  5. Di hasil penelusuran pada integrasi ServiceNow, pilih tindakan Get User Details. Jendela dialog tindakan akan terbuka.
  6. Untuk mengonfigurasi kolom parameter Emails, masukkan alamat email penerima tiket ServiceNow.
  7. Klik Jalankan. Tunggu hingga tindakan dieksekusi.
  8. Buka Repositori Kasus, lalu klik Muat Ulang Kasus.
  9. Di data ServiceNow_Get User Details, klik Lihat lainnya.
  10. Di bagian Hasil JSON, temukan kunci sys_id dan simpan nilainya untuk menggunakannya di bagian berikut.

Menetapkan tiket ServiceNow

  1. Buka tab Ringkasan Kasus, lalu klik Tindakan Manual.
  2. Di kolom Telusuri tindakan manual, masukkan ServiceNow.
  3. Di hasil penelusuran pada integrasi ServiceNow, pilih tindakan Update Record. Jendela dialog tindakan akan terbuka.
  4. Untuk mengonfigurasi parameter Nama Tabel, masukkan nilai berikut: u_scc_enterprise_cloud_posture_ticket

  5. Untuk mengonfigurasi parameter Object Json Data, masukkan kode berikut:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    Dalam kode, gunakan nilai sys_id yang Anda ambil di bagian sebelumnya.

  6. Untuk mengonfigurasi parameter Record Sys ID, masukkan placeholder berikut: [Case.Ticket_ID]

    Placeholder secara dinamis mengambil ID tiket ServiceNow yang sesuai dengan kasus yang dipilih.

    Atau, untuk parameter Record Sys ID, Anda dapat memberikan Ticket ID (Case Overview > widget Ticket Information > Ticket ID).

  7. Klik Jalankan.

Apa langkah selanjutnya?

Pelajari cara mengelompokkan temuan dalam kasus.

Pelajari cara menonaktifkan temuan di Security Command Center.

Pelajari cara membisukan temuan dalam kasus.