ポスチャー ケースに基づいてチケットを割り当てる

このページでは、Security Command Center Enterprise での自動チケット割り当てのメカニズムと、セキュリティ運用コンソールを使用してチケットを手動で割り当てまたは再割り当てする方法について説明します。

検出結果の取り込み、ケースの作成、検出結果のグループ化、チケットの作成と割り当てには、Google SecOps を利用します。

概要

チケットの割り当て先は、脆弱性への対応と修正を行う担当者です。チケットは、Google Cloud リソース階層を介して検出結果によって継承されたリソース オーナーの値、またはコネクタの Fallback Owner パラメータで構成された値のいずれかに基づいて、それぞれの担当者に自動的に割り当てられます。

チケットを自動的に割り当てる

チケットを割り当てるデフォルトの自動フローは、次の手順で構成されます。

  1. 検出結果のリソース オーナーを決定する。

  2. ケースを作成し、関連する検出結果をケースにグループ化する。

  3. ケースに基づいてチケットを作成して割り当てる。

リソース オーナーの決定

SCC Enterprise - Urgent Posture Findings Connector は、検出結果をケースに取り込んでグループ化する際、リソース オーナーとフォールバック オーナーの値のすべての検出結果を分析します。Fallback Owner コネクタ パラメータで構成されたフォールバック オーナーの値は、他のすべての優先オプションが失敗した場合に、カスタム検出結果が適切な担当者に割り当てられるようにするための最終オプションです。

Security Command Center Enterprise でリソース オーナーを定義する方法については、ポスチャー検出結果の所有権を特定するをご覧ください。

ケースの作成と検出結果のグループ化

コネクタが検出結果を取り込むと、Security Command Center は、検出結果が最初の場合は新しいケースに転送し、検出結果パラメータがグループ化メカニズムに準拠している場合は既存のケースに転送します。場合によっては、その検出結果がアラートのベースとなるイベントになります。 基本的に、アラートは検出結果に関するすべての情報を含む検出コンテナです。

検出結果をケースにグループ化する方法については、検出結果をケースにグループ化するをご覧ください。

チケットの作成と割り当て

ケースを作成すると、統合されたチケット発行システムでチケットが自動的に作成されます。ケースに含まれるすべての情報は、対応するチケットと双方向で同期されます。つまり、新しい検出結果、新しいコメント、ステータス変更などの更新があるたびに、同じ更新がチケットに表示され、その逆も行われます。

Security Command Center Enterprise は、ケースにグループ化された検出結果のリソース オーナーに作成されたチケットを自動的に割り当てます。ケース内のすべての検出結果は、同じリソース オーナーを持ちます。

チケットを手動で割り当てる

チケットを手動で割り当てるには、ケースに対して手動による対応を行う必要があります。

ケースに Jira の問題を割り当てる

ケースに Jira の問題を手動で割り当てるには、次の手順を行います。

  1. セキュリティ運用コンソールで、[ケース] に移動します。
  2. ITSM チケットに関連するケースを選択します。
  3. [ケースの概要] タブで [手動での対応] をクリックします。
  4. 手動での対応の [検索] フィールドに「Jira」と入力します。
  5. 検索結果で、Jira 統合の下の [問題の割り当て] アクションを選択します。アクション ダイアログ ウィンドウが開きます。

  6. [Issue Key] パラメータを構成するには、プレースホルダ「[Case.Ticket_ID]」を入力します。

    プレースホルダにより、選択したケースに対応する Jira の問題 ID が動的に取得されます。

    1. 特定の問題の [Issue Key] パラメータを構成するには、次の形式で Jira の問題 ID を入力します。SCCE-NUMBER

    問題 ID は、Jira の問題の URL で確認できます。

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. [Assignee] パラメータを構成するには、Jira チケットの割り当て先のメールアドレスを入力します。

    または、Jira に表示されるチケットの担当者の名前を入力することもできます。アクションでは、ユーザー名または表示名の使用がサポートされています。

  8. [実行] をクリックします。

ケースに ServiceNow チケットを割り当てる

ケースに ServiceNow チケットを手動で割り当てるには、次の手順を行います。

  1. sys_id 値を取得して、ServiceNow の割り当て先 ID を取得します。
  2. ServiceNow チケットを割り当てます。

sys_id 値を取得する

  1. セキュリティ運用コンソールで、[ケース] に移動します。
  2. ServiceNow チケットに関連するケースを選択します。
  3. [ケースの概要] タブで [手動での対応] をクリックします。
  4. 手動での対応の [検索] フィールドに「ServiceNow」と入力します。
  5. ServiceNow 統合の検索結果で、[Get User Details] アクションを選択します。アクション ダイアログ ウィンドウが開きます。
  6. [Emails] パラメータ フィールドを構成するには、ServiceNow チケットの割り当て先のメールアドレスを入力します。
  7. [実行] をクリックします。アクションが実行されるまで待ちます。
  8. [ケースウォール] に移動し、[ケースを更新] をクリックします。
  9. [ServiceNow_Get User Details] データレコードで、[もっと見る] をクリックします。
  10. [JSON の結果] セクションで sys_id キーを探し、その値を保存して、次のセクションで使用します。

ServiceNow チケットを割り当てる

  1. [ケースの概要] タブに移動し、[手動での対応] をクリックします。
  2. 手動での対応の [検索] フィールドに「ServiceNow」と入力します。
  3. ServiceNow 統合の検索結果で、[Update Record] アクションを選択します。アクション ダイアログ ウィンドウが開きます。
  4. [Table Name] パラメータを構成するには、次の値を入力します。u_scc_enterprise_cloud_posture_ticket

  5. [Object Json Data] パラメータを構成するには、次のコードを入力します。

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    コードで、前のセクションで取得した sys_id 値を使用します。

  6. [Record Sys ID] パラメータを構成するには、プレースホルダ「[Case.Ticket_ID]」を入力します。

    このプレースホルダは、選択したケースに対応する ServiceNow チケット ID を動的に取得します。

    または、[Record Sys ID] パラメータにはチケット ID を指定することもできます([ケースの概要] > [チケット情報] ウィジェット > [チケット ID])。

  7. [実行] をクリックします。

次のステップ

ケースの検出結果をグループ化する方法を確認する。

Security Command Center で検出結果をミュートする方法を確認する。

ケースの検出結果をミュートする方法を確認する。