ポスチャー ケースに基づいてチケットを割り当てる

このページでは、Security Command Center Enterprise での自動チケット割り当てのメカニズムと、セキュリティ運用コンソールを使用してチケットを手動で割り当てまたは再割り当てする方法について説明します。

概要

チケットの割り当て先は、脆弱性に対処して修復する担当者です。チケットは、Google Cloud リソース階層に従って検出結果によって継承されたリソース オーナーの値、またはコネクタの Fallback Owner パラメータで構成された値のいずれかに基づいて、それぞれの担当者に自動的に割り当てられます。

チケットを自動的に割り当てる

チケットの割り当てのデフォルトの自動フローは、次のステップで構成されます。

  1. 検出結果のリソース オーナーを決定する。

  2. ケースを作成し、関連する検出結果をグループ化する。

  3. ケースに基づいてチケットを作成して割り当てる。

リソース オーナーを決定する

SCC Enterprise - Urgent Posture Findings コネクタは、検出結果を取り込んでケースにグループ化する際に、リソース オーナーとフォールバック オーナーの値のすべての検出結果を分析します。Fallback Owner コネクタ パラメータで構成されたフォールバック オーナーの値は、他のすべての優先オプションが失敗した場合に、カスタム検出結果が適切な担当者に割り当てられるようにするための最終的なオプションです。

Security Command Center Enterprise でリソース オーナーを定義する方法については、ポスチャーの検出結果の所有権を特定するをご覧ください。

ケースの作成と検出結果のグループ化

コネクタが取り込んだ検出結果が新しい種類の場合、Security Command Center は検出結果を新しいケースに転送します。検出結果パラメータがグループ化メカニズムに準拠している場合は、既存のケースに転送します。場合によっては、その検出結果がアラートのベースとなるイベントになります。基本的に、アラートは、検出結果に関するすべての情報を含む検出結果コンテナです。

検出結果をケースにグループ化する方法については、ケースの検出結果をグループ化するをご覧ください。

チケットの作成と割り当て

ケースを作成すると、統合されたチケット発行システムでチケットが自動的に作成されます。ケースに含まれるすべての情報は、対応するチケットと双方向で同期されます。つまり、新しい検出結果、新しいコメント、ステータス変更などの更新があるたびに、同じ更新がチケットに示され、その逆も行われます。

Security Command Center Enterprise は、ケースにグループ化された検出結果のリソース オーナーに作成されたチケットを自動的に割り当てます。ケース内のすべての検出結果は、同じリソース オーナーを持ちます。

チケットを手動で割り当てる

チケットを手動で割り当てるには、ケースに対して手動で対応する必要があります。

ケースに Jira の問題を割り当てる

ケースに Jira の問題を手動で割り当てるには、次の操作を行います。

  1. Google Cloud コンソールで、[リスク] > [ケース] に移動します。
  2. ITSM チケットに関連するケースを選択します。
  3. [Case Overview] タブで [Manual Action] をクリックします。
  4. [Manual Action] の検索フィールドに「Jira」と入力します。
  5. 検索結果で、Jira 統合の下の [Assign Issue] アクションを選択します。アクション ダイアログ ウィンドウが開きます。

  6. [Issue Key] パラメータを構成するには、プレースホルダ [Case.Ticket_ID] を入力します。

    このプレースホルダは、選択したケースに対応する Jira の問題 ID を動的に取得します。

    1. 特定の問題の [Issue Key] パラメータを構成するには、SCCE-NUMBER の形式で Jira の問題 ID を入力します。

    問題 ID は Jira の問題 URL で確認できます。

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. [Assignee] パラメータを構成するには、Jira チケットの割り当て先のメールアドレスを入力します。

    また、Jira に表示されるチケットの担当者の名前を入力することもできます。このアクションでは、ユーザー名または表示名を使用できます。

  8. [実行] をクリックします。

ケースに ServiceNow チケットを割り当てる

ケースに ServiceNow チケットを手動で割り当てるには、次の操作を行います。

  1. sys_id 値を取得して、ServiceNow の割り当て先 ID を取得します。
  2. ServiceNow チケットを割り当てます。

sys_id の値を取得する

  1. Google Cloud コンソールで、[リスク] > [ケース] に移動します。
  2. ServiceNow チケットに関連するケースを選択します。
  3. [Case Overview] タブで [Manual Action] をクリックします。
  4. [Manual Action] の検索フィールドに「ServiceNow」と入力します。
  5. 検索結果で、[Get User Details] アクションを選択します。アクション ダイアログ ウィンドウが開きます。
  6. [Emails] パラメータ フィールドを構成するには、ServiceNow チケットの割り当て先のメールアドレスを入力します。
  7. [実行] をクリックします。アクションが実行されるまで待ちます。
  8. [Case Wall] に移動し、[Refresh Case] をクリックします。
  9. [ServiceNow_Get User Details] データレコードで、[詳細を表示] をクリックします。
  10. [JSON Result] セクションで sys_id キーを探し、その値を保存して、次のセクションで使用します。

ServiceNow チケットを割り当てる

  1. [Case Overview] タブに移動し、[Manual Action] をクリックします。
  2. [Manual Action] の検索フィールドに「ServiceNow」と入力します。
  3. ServiceNow 統合の検索結果で、[Update Record] アクションを選択します。アクション ダイアログ ウィンドウが開きます。
  4. [Table Name] パラメータを構成するには、u_scc_enterprise_cloud_posture_ticket の値を入力します。

  5. [Object Json Data] パラメータを構成するには、次のコードを入力します。

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    コードでは、前のセクションで取得した sys_id 値を使用します。

  6. [Record Sys ID] パラメータを構成するには、プレースホルダ [Case.Ticket_ID] を入力します。

    このプレースホルダは、選択したケースに対応する ServiceNow チケット ID を動的に取得します。

    また、[Record Sys ID] パラメータにチケット ID を指定することもできます([Case Overview] > [Ticket Information] ウィジェット > [Ticket ID])。

  7. [実行] をクリックします。

次のステップ

ケースの検出結果をグループ化する方法を確認する。

Security Command Center で検出結果をミュートする方法を確認する。

ケースの検出結果をミュートする方法を確認する。