Asigna tickets según los casos de postura

En esta página, se documenta el mecanismo de asignación automática de tickets en Security Command Center Enterprise y se explica cómo asignar o reasignar tickets de forma manual con la consola de operaciones de seguridad.

La tecnología de SecOps de Google permite transferir resultados, crear casos, agruparlos y crear y asignar tickets.

Descripción general

Una persona asignada al ticket es la persona responsable de abordar y solucionar las vulnerabilidades. El ticket se asigna al destinatario respectivo de forma automática según el valor del propietario del recurso heredado del hallazgo a través de la jerarquía de recursos de Google Cloud o el valor configurado en el parámetro Propietario de resguardo del conector.

Asignar boletos automáticamente

El flujo automático predeterminado para asignar un ticket consiste en los siguientes pasos:

  1. Determinar el propietario del recurso de un hallazgo.

  2. Crear casos y agrupar en ellos los hallazgos relacionados.

  3. Crear y asignar tickets según los casos.

Determina el propietario del recurso

Mientras transfieres y agrupas los resultados en casos, el Conector de hallazgos urgentes de la empresa: SCC Enterprise analiza todos los resultados para los valores del propietario del recurso y del propietario de resguardo. El valor del propietario alternativo configurado en el parámetro del conector Propietario de resguardo es la opción final para garantizar que se asigne un resultado personalizado a la persona correcta para que lo solucione cuando todas las demás opciones prioritarias fallan.

Si quieres obtener más información para definir el propietario del recurso en Security Command Center Enterprise, consulta Determina la propiedad de los resultados de postura.

Crear casos y agrupar hallazgos

Después de que el conector transfirió un resultado, Security Command Center lo reenvía a un caso nuevo si es el primero de su tipo o a un caso existente si los parámetros de resultado cumplen con un mecanismo de agrupación. En un caso, el resultado se convierte en un evento en el que se basa la alerta. En esencia, una alerta es un contenedor de resultados que incluye toda la información sobre un resultado.

Para obtener más información sobre cómo se agrupan los resultados en casos, consulta Cómo agrupar los resultados en casos.

Crear y asignar tickets

Cuando se crea un caso, se genera automáticamente un ticket en un sistema de tickets integrado. Toda la información contenida en un caso se sincroniza de forma bidireccional con un ticket correspondiente, lo que significa que cada vez que hay una actualización (como un resultado nuevo, un comentario nuevo o un cambio de estado) aparece la misma actualización en el ticket y viceversa.

Security Command Center Enterprise asigna de forma automática el ticket creado al propietario del recurso de los resultados agrupados en un caso. Todos los resultados de un caso tienen el mismo propietario de recursos.

Asignar entradas manualmente

Para asignar tickets manualmente, debes ejecutar acciones manuales en los casos.

Asigna problemas de Jira en los casos

Para asignar manualmente un problema de Jira en un caso, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Cases.
  2. Selecciona un caso relacionado con el ticket de ITSM.
  3. En la pestaña Case Overview, haz clic en Manual Action.
  4. En el campo Buscar de la acción manual, ingresa Jira.
  5. En los resultados de la búsqueda en la integración de Jira, selecciona la acción AssignIssue. Se abrirá la ventana de diálogo de acciones.

  6. Para configurar el parámetro Clave de problema, ingresa el siguiente marcador de posición: [Case.Ticket_ID]

    El marcador de posición recupera de forma dinámica el ID de problema de Jira correspondiente al caso seleccionado.

    1. Para configurar el parámetro Clave de problema para un problema específico, ingresa el ID del problema de Jira en el siguiente formato: SCCE-NUMBER

    Puedes encontrar el ID del problema en la URL del problema de Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Para configurar el parámetro Persona asignada, ingresa la dirección de correo electrónico del destinatario del ticket de Jira.

    Como alternativa, puedes ingresar el nombre del destinatario del ticket tal como se muestra en Jira. La acción admite el uso de nombres de usuario o nombres que se muestran.

  8. Haz clic en Ejecutar.

Asigna tickets de ServiceNow en casos

Para asignar un ticket de ServiceNow de forma manual en un caso, completa los siguientes pasos:

  1. Recupera el valor sys_id para obtener el ID de usuario asignado de ServiceNow.
  2. Asigna el ticket de ServiceNow.

Recupera el valor sys_id

  1. En la consola de Security Operations, ve a Cases.
  2. Selecciona un caso relacionado con el ticket de ServiceNow.
  3. En la pestaña Case Overview, haz clic en Manual Action.
  4. En el campo Buscar de la acción manual, ingresa ServiceNow.
  5. En los resultados de la búsqueda en la integración ServiceNow, selecciona la acción Obtener detalles del usuario. Se abrirá la ventana de diálogo de acciones.
  6. Para configurar el campo del parámetro Emails, ingresa la dirección de correo electrónico del destinatario del ticket de ServiceNow.
  7. Haz clic en Ejecutar. Espera hasta que se ejecute la acción.
  8. Dirígete a Case Wall y haz clic en Refresh Case.
  9. En el registro de datos ServiceNow_Get User Details, haz clic en Ver más.
  10. En la sección Resultado de JSON, busca la clave sys_id y guarda su valor para usarla en la siguiente sección.

Asigna el ticket de ServiceNow

  1. Ve a la pestaña Case Overview y haz clic en Manual Action.
  2. En el campo Buscar de la acción manual, ingresa ServiceNow.
  3. En los resultados de la búsqueda en la integración ServiceNow, selecciona la acción Actualizar registro. Se abrirá la ventana de diálogo de acciones.
  4. Para configurar el parámetro Nombre de la tabla, ingresa el siguiente valor: u_scc_enterprise_cloud_posture_ticket

  5. Para configurar el parámetro Object JSON Data, ingresa el siguiente código:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    En el código, usa el valor sys_id que recuperaste en la sección anterior.

  6. Para configurar el parámetro Record Sys ID, ingresa el siguiente marcador de posición: [Case.Ticket_ID]

    El marcador de posición recupera de forma dinámica el ID del ticket de ServiceNow correspondiente al caso seleccionado.

    Como alternativa, para el parámetro Record Sys ID puedes proporcionar un ID de ticket (Descripción general del caso > widget Ticket Information > Ticket ID).

  7. Haz clic en Ejecutar.

Próximos pasos

Obtén más información sobre cómo agrupar los resultados en casos.

Obtén más información sobre cómo silenciar los resultados en Security Command Center.

Obtén más información sobre cómo silenciar los resultados en los casos.