Auf dieser Seite wird der Mechanismus der automatischen Ticketzuweisung in Security Command Center Enterprise und erklärt, wie Sie manuelle Zuweisungen und Neuzuweisungen vornehmen über die Security Operations-Konsole.
Übersicht
Die Person, die ein Ticket erhält, ist für die Behebung des Problems Sicherheitslücken. Das Ticket wird automatisch der jeweiligen zuständigen Person zugewiesen. basierend auf dem Wert des Ressourceninhabers, der vom Ergebnis über die Google Cloud-Ressourcenhierarchie oder der Wert, der im Parameter Fallback-Inhaber des Connectors konfiguriert ist.
Tickets automatisch zuweisen
Der standardmäßige automatische Ablauf für die Zuweisung eines Tickets besteht aus den folgenden Schritten:
Ermitteln des Ressourceninhabers eines Ergebnisses.
Erstellen von Fällen und Gruppieren verwandter Ergebnisse.
Tickets anhand von Supportfällen erstellen und zuweisen
Ressourceninhaber ermitteln
Bei der Aufnahme und Gruppierung der Ergebnisse in Fälle Enterprise – Urgent Posture Findings Connector analysiert jedes Ergebnis Ressourceninhaber- und Fallback-Inhaberwerte. Der im Connector-Parameter Fallback Owner konfigurierte Wert für den Fallback-Inhaber ist die letzte Option, um sicherzustellen, dass eine benutzerdefinierte Abweichung der richtigen Person zur Behebung zugewiesen wird, wenn alle anderen priorisierten Optionen fehlgeschlagen sind.
Weitere Informationen zum Definieren des Ressourceneigentümers in Security Command Center Enterprise finden Sie unter Eigentümer für Ergebnisse zur Risikobewertung ermitteln.
Supportanfragen erstellen und Ergebnisse gruppieren
Nachdem der Connector ein Ergebnis aufgenommen hat, leitet Security Command Center das Ergebnis an einen neuen Fall weiter, wenn es sich um ein Erstergebnis handelt, oder an einen vorhandenen Fall, wenn die Ergebnisparameter einem Gruppierungsmechanismus entsprechen. In einer wird das Ergebnis zu einem Ereignis, auf dem die Benachrichtigung basiert. Eine Benachrichtigung ist im Grunde ein Container für Ergebnisse, der alle Informationen zu einem Ergebnis enthält.
Weitere Informationen zur Gruppierung von Ergebnissen in Fällen finden Sie unter Ergebnisse gruppieren in Cases.
Tickets erstellen und zuweisen
Wenn Sie eine Supportanfrage erstellen, wird automatisch ein Ticket in einem integrierten Ticketing-Dienst erstellt System. Alle Informationen in einem Fall werden bidirektional mit einem entsprechenden Ticket synchronisiert. Das bedeutet, dass jedes Mal, wenn es in einem Fall ein Update gibt, z. B. eine neue Erkenntnis, ein neuer Kommentar oder eine Statusänderung, dasselbe Update auch im Ticket angezeigt wird und umgekehrt.
Security Command Center Enterprise weist das erstellte Ticket automatisch Der Ressourceninhaber der in einem Fall gruppierten Ergebnisse. Alle Ergebnisse in einem Fall haben denselben Ressourceneigentümer.
Tickets manuell zuweisen
Wenn Sie Tickets manuell zuweisen möchten, müssen Sie manuelle Maßnahmen für Fälle ausführen.
Jira-Probleme in Supportanfragen zuweisen
So weisen Sie einem Fall manuell ein Jira-Problem zu:
- Gehen Sie in der Security Operations-Konsole zu Fälle.
- Wählen Sie einen Fall im Zusammenhang mit dem ITSM-Ticket aus.
- Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
- Geben Sie im Feld Suchen der manuellen Aktion
Jira
ein. - Wählen Sie in den Suchergebnissen unter der Jira-Integration die Aktion Issue zuweisen aus. Das Dialogfeld „Aktion“ wird geöffnet.
Geben Sie den folgenden Platzhalter ein, um den Parameter Issue Key (Problemschlüssel) zu konfigurieren:
[Case.Ticket_ID]
Über den Platzhalter wird dynamisch die Jira-Problem-ID abgerufen, die dem ausgewählten Fall entspricht.
- Wenn Sie den Parameter Issue Key (Problemschlüssel) für ein bestimmtes Problem konfigurieren möchten, geben Sie den Parameter
Jira-Problem-ID im folgenden Format:
SCCE-NUMBER
Die Problem-ID finden Sie in der Jira-Problem-URL:
https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID
- Wenn Sie den Parameter Issue Key (Problemschlüssel) für ein bestimmtes Problem konfigurieren möchten, geben Sie den Parameter
Jira-Problem-ID im folgenden Format:
Geben Sie zum Konfigurieren des Parameters Assignee (Zugewiesener) die E-Mail-Adresse des Jira-Ticket-Inhabers ein.
Alternativ können Sie den Namen der Person, die das Ticket zugewiesen hat, so eingeben, wie er ist. die in Jira angezeigt werden. Die Aktion unterstützt die Verwendung von Nutzernamen oder angezeigten Namen.
Klicken Sie auf Ausführen.
ServiceNow-Tickets in Fällen zuweisen
So weisen Sie einem Fall manuell ein ServiceNow-Ticket zu:
- Rufen Sie den Wert für
sys_id
ab, um die ServiceNow-Zugewiesenen-ID zu erhalten. - Weisen Sie das ServiceNow-Ticket zu.
sys_id
-Wert abrufen
- Gehen Sie in der Security Operations-Konsole zu Fälle.
- Wählen Sie einen Fall im Zusammenhang mit dem ServiceNow-Ticket aus.
- Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
- Geben Sie in das Feld Suchen der manuellen Maßnahme
ServiceNow
ein. - Wählen Sie in den Suchergebnissen unter der Integration von ServiceNow die Option Get Nutzerdetails Aktion ausführen. Das Dialogfeld „Aktion“ wird geöffnet.
- Um das Parameterfeld E-Mails zu konfigurieren, geben Sie die E-Mail-Adresse des Zuständige Person für ServiceNow-Ticket.
- Klicken Sie auf Ausführen. Warten Sie, bis die Aktion ausgeführt wurde.
- Rufe das Fall-Repository auf und klicke auf Fall aktualisieren.
- Klicken Sie im Datensatz ServiceNow_Get User Details auf Mehr anzeigen.
- Suchen Sie im Abschnitt JSON-Ergebnis den Schlüssel
sys_id
und speichern Sie seinen Wert finden Sie im nächsten Abschnitt.
ServiceNow-Ticket zuweisen
- Rufen Sie den Tab Übersicht der Anfrage auf und klicken Sie auf Manuelle Aktion.
- Geben Sie in das Feld Suchen der manuellen Maßnahme
ServiceNow
ein. - Wählen Sie in den Suchergebnissen unter der Integration von ServiceNow das Symbol Update Record (Eintrag aktualisieren) ausgewählt werden. Das Dialogfeld mit den Aktionen wird geöffnet.
- Geben Sie den folgenden Wert ein, um den Parameter Table Name zu konfigurieren:
u_scc_enterprise_cloud_posture_ticket
Geben Sie den folgenden Code ein, um den Parameter Object Json Data zu konfigurieren:
{ "u_assigned_to": "SYS_ID_VALUE" }
Verwenden Sie im Code den Wert
sys_id
, den Sie im vorherigen Schritt abgerufen haben .Geben Sie den folgenden Platzhalter ein, um den Parameter Record Sys ID zu konfigurieren:
[Case.Ticket_ID]
Der Platzhalter ruft dynamisch die ServiceNow-Ticket-ID ab. für den ausgewählten Fall.
Alternativ kannst du für den Parameter Record Sys ID eine Ticket-ID angeben (Fallübersicht > Ticketinformationen-Widget > Ticket-ID).
Klicken Sie auf Ausführen.
Nächste Schritte
Weitere Informationen zum Gruppieren von Ergebnissen in Supportanfragen
Ergebnisse in Security Command Center ausblenden
Ergebnisse in Fällen ausblenden