Tickets anhand von Statusfällen zuweisen

Auf dieser Seite wird der Mechanismus der automatischen Ticketzuweisung in Security Command Center Enterprise dokumentiert und es wird erläutert, wie Tickets über die Security Operations-Konsole manuell zugewiesen oder neu zugewiesen werden.

Die Aufnahme von Ergebnissen, das Erstellen von Fällen, das Gruppieren von Ergebnissen sowie das Erstellen und Zuweisen von Tickets werden von Google SecOps unterstützt.

Überblick

Die Person, die ein Ticket erhält, ist für die Behebung und Behebung der Sicherheitslücken verantwortlich. Das Ticket wird der jeweiligen zuständigen Person automatisch anhand des Werts für den Ressourceninhaber zugewiesen, der vom Ergebnis in der Ressourcenhierarchie von Google Cloud übernommen wurde, oder auf dem Wert, der im Parameter Fallback-Inhaber des Connectors konfiguriert ist.

Tickets automatisch zuweisen

Der standardmäßige automatische Ablauf für die Zuweisung eines Tickets besteht aus den folgenden Schritten:

  1. Ermitteln des Ressourceninhabers eines Ergebnisses.

  2. Erstellen von Fällen und Gruppieren verwandter Ergebnisse.

  3. Tickets basierend auf Fällen erstellen und zuweisen.

Ressourceninhaber ermitteln

Beim Aufnehmen und Gruppieren von Ergebnissen in Supportanfragen analysiert der SCC Enterprise – Urgent Posture Findings Connector jedes Ergebnis auf Werte für den Ressourceninhaber und den Fallback-Inhaber. Der Wert des Fallback-Inhabers, der im Connector-Parameter Fallback-Inhaber konfiguriert wird, ist die letzte Option, mit der ein benutzerdefiniertes Ergebnis zur Abhilfe einer richtigen Person zugewiesen wird, wenn alle anderen priorisierten Optionen fehlgeschlagen sind.

Weitere Informationen zum Definieren des Ressourceninhabers in Security Command Center Enterprise finden Sie unter Inhaberschaft für Statusergebnisse bestimmen.

Fälle erstellen und Ergebnisse gruppieren

Nachdem der Connector ein Ergebnis aufgenommen hat, leitet Security Command Center das Ergebnis an einen neuen Fall weiter, wenn das Ergebnis zuerst eine Art ist, oder an einen vorhandenen Fall, wenn die Ergebnisparameter einem Gruppierungsmechanismus entsprechen. In einem Fall wird das Ergebnis zu einem Ereignis, auf dem die Benachrichtigung basiert. Eine Benachrichtigung ist im Wesentlichen ein Ergebniscontainer, der alle Informationen zu einem Ergebnis enthält.

Weitere Informationen zur Gruppierung von Ergebnissen in Fällen finden Sie unter Ergebnisse in Fällen gruppieren.

Tickets erstellen und zuweisen

Wenn Sie eine Anfrage erstellen, wird automatisch ein Ticket in einem integrierten Ticketing-System erstellt. Alle in einem Fall enthaltenen Informationen werden bidirektional mit einem entsprechenden Ticket synchronisiert. Das bedeutet, dass jedes Mal, wenn in einem Fall eine Aktualisierung erfolgt, z. B. ein neues Ergebnis, ein Kommentar oder eine Statusänderung, im Ticket dieselbe Aktualisierung angezeigt wird und umgekehrt.

Security Command Center Enterprise weist das erstellte Ticket automatisch dem Ressourceninhaber der in einem Fall gruppierten Ergebnisse zu. Alle Ergebnisse in einem Fall haben denselben Ressourceninhaber.

Tickets manuell zuweisen

Wenn Sie Tickets manuell zuweisen, müssen Sie manuelle Maßnahmen für Fälle ausführen.

Jira-Problemen in Anfragen zuweisen

Führen Sie die folgenden Schritte aus, um ein Jira-Problem in einem Fall manuell zuzuweisen:

  1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
  2. Wählen Sie einen Fall im Zusammenhang mit dem ITSM-Ticket aus.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie in das Feld Suchen der manuellen Maßnahme Jira ein.
  5. Wählen Sie in den Suchergebnissen unter der Integration von Jira die Aktion Assign Issue (Problem zuweisen) aus. Das Dialogfeld mit den Aktionen wird geöffnet.

  6. Geben Sie den folgenden Platzhalter ein, um den Parameter Issue Key (Problemschlüssel) zu konfigurieren: [Case.Ticket_ID]

    Der Platzhalter ruft dynamisch die Jira-Problem-ID für den ausgewählten Fall ab.

    1. Geben Sie die Jira-Problem-ID im folgenden Format ein, um den Parameter Issue Key (Problemschlüssel) für ein bestimmtes Problem zu konfigurieren: SCCE-NUMBER

    Die Problem-ID finden Sie in der Jira-Problem-URL:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Geben Sie zum Konfigurieren des Parameters Assignee die E-Mail-Adresse der zuständigen Person des Jira-Tickets ein.

    Alternativ können Sie den Namen der für das Ticket zuständigen Person so eingeben, wie er in Jira angezeigt wird. Die Aktion unterstützt die Verwendung von Nutzernamen oder angezeigten Namen.

  8. Klicken Sie auf Ausführen.

ServiceNow-Tickets in Fällen zuweisen

Führe die folgenden Schritte aus, um ein ServiceNow-Ticket in einem Fall manuell zuzuweisen:

  1. Rufen Sie den sys_id-Wert ab, um die ID des zugewiesenen ServiceNow-Mitarbeiters zu erhalten.
  2. Weisen Sie das ServiceNow-Ticket zu.

sys_id-Wert abrufen

  1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
  2. Wählen Sie einen Fall im Zusammenhang mit dem ServiceNow-Ticket aus.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie in das Feld Suchen der manuellen Maßnahme ServiceNow ein.
  5. Wählen Sie in den Suchergebnissen unter der Integration von ServiceNow die Aktion Get User Details (Nutzerdetails abrufen) aus. Das Dialogfeld mit den Aktionen wird geöffnet.
  6. Geben Sie die E-Mail-Adresse der für das ServiceNow-Ticket zuständigen Person ein, um das Parameterfeld Emails zu konfigurieren.
  7. Klicken Sie auf Ausführen. Warten Sie, bis die Aktion ausgeführt wurde.
  8. Gehen Sie zur Case Wall und klicken Sie auf Refresh Case.
  9. Klicken Sie im Datensatz ServiceNow_Get User Details auf Mehr anzeigen.
  10. Suchen Sie im Abschnitt JSON-Ergebnis nach dem Schlüssel sys_id und speichern Sie seinen Wert, um ihn im folgenden Abschnitt zu verwenden.

ServiceNow-Ticket zuweisen

  1. Rufen Sie den Tab Übersicht der Anfrage auf und klicken Sie auf Manuelle Aktion.
  2. Geben Sie in das Feld Suchen der manuellen Maßnahme ServiceNow ein.
  3. Wählen Sie in den Suchergebnissen unter der ServiceNow-Integration die Aktion Update Record (Eintrag aktualisieren) aus. Das Dialogfeld mit den Aktionen wird geöffnet.
  4. Geben Sie den folgenden Wert ein, um den Parameter Table Name zu konfigurieren: u_scc_enterprise_cloud_posture_ticket

  5. Geben Sie den folgenden Code ein, um den Parameter Object Json Data zu konfigurieren:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    Verwenden Sie im Code den Wert sys_id, den Sie im vorherigen Abschnitt abgerufen haben.

  6. Geben Sie den folgenden Platzhalter ein, um den Parameter Record Sys ID zu konfigurieren: [Case.Ticket_ID]

    Der Platzhalter ruft dynamisch die ServiceNow-Ticket-ID ab, die dem ausgewählten Fall entspricht.

    Alternativ können Sie für den Parameter Record Sys ID eine Ticket-ID angeben (Fallübersicht > Widget Ticketinformationen > Ticket-ID).

  7. Klicken Sie auf Ausführen.

Nächste Schritte

Weitere Informationen zum Gruppieren von Ergebnissen in Supportanfragen

Ergebnisse in Security Command Center ausblenden

Ergebnisse in Fällen ausblenden