Attribuer des tickets en fonction des cas de stratégie

Cette page décrit le mécanisme d'attribution automatique des tickets dans Security Command Center Enterprise et explique comment attribuer ou réattribuer manuellement via la console Opérations de sécurité.

Ingestion des résultats, création de cas, regroupement des résultats, et création et attribution et les demandes d'assistance sont fournis par Google SecOps.

Présentation

Le destinataire du ticket est une personne chargée de traiter et de corriger les failles. La demande est automatiquement attribuée à la personne responsable. en fonction de la valeur du propriétaire de la ressource héritée par le résultat via le Hiérarchie des ressources Google Cloud ou la valeur configurée dans le paramètre Propriétaire de remplacement du connecteur.

Attribuer automatiquement les billets

Par défaut, le flux automatique d'attribution d'une demande se compose des procédez comme suit:

  1. Déterminer le propriétaire des ressources d'un résultat.

  2. Créer des cas et y regrouper les résultats associés

  3. Créer et attribuer des demandes en fonction des demandes

Déterminer le propriétaire de la ressource

Lors de l'ingestion et du regroupement des résultats par cas, la SCC Enterprise – Urgent Posture Findings Connector analyse tous les résultats pour le les valeurs de propriétaire de la ressource et de propriétaire de remplacement. La valeur "propriétaire de remplacement" configurée dans le paramètre du connecteur Propriétaire de remplacement est la dernière option pour garantir qu'un un résultat personnalisé est attribué à la personne concernée à des fins de correction lorsque tous les autres les options hiérarchisées ont échoué.

Pour en savoir plus sur la définition du propriétaire d'une ressource dans Security Command Center, Entreprise, consultez Déterminer la propriété de la stratégie résultats.

Créer des cas et regrouper les résultats

Une fois que le connecteur a ingéré un résultat, Security Command Center transfère le résultat à un nouveau cas s'il s'agit d'un résultat unique en son genre ou cas existant si les paramètres de résultat respectent un mécanisme de regroupement. Dans un le résultat devient un événement sur lequel se base l'alerte. En gros, Une alerte est un conteneur de résultat qui inclut toutes les informations sur un résultat.

Pour en savoir plus sur le regroupement des résultats par cas, consultez Regrouper les résultats dans cas d'utilisation.

Créer et attribuer des tickets

Lorsque vous créez une demande, une demande est automatiquement créée dans une solution intégrée du système d'exploitation. Toutes les informations contenues dans une demande est synchronisé de façon bidirectionnelle avec un ticket correspondant : L'heure de mise à jour d'une demande, comme un nouveau résultat, un nouveau commentaire ou un état la même mise à jour apparaît dans la demande et l'inverse.

Security Command Center Enterprise attribue automatiquement le ticket créé le propriétaire de la ressource des résultats regroupés dans une demande. Toutes les constatations d'une demande au même propriétaire de la ressource.

Attribuer les billets manuellement

L'attribution manuelle de tickets nécessite l'exécution d'actions manuelles sur les demandes.

Attribuer des problèmes Jira dans les demandes

Pour attribuer manuellement un problème Jira à une demande, procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à Demandes.
  2. Sélectionnez une demande liée à la demande ITSM.
  3. Dans l'onglet Présentation de la demande, cliquez sur Action manuelle.
  4. Dans le champ Rechercher de l'action manuelle, saisissez Jira.
  5. Dans les résultats de recherche sous l'intégration Jira, sélectionnez le bouton Attribuer Issue (Problème). La boîte de dialogue d'action s'ouvre.

  6. Pour configurer le paramètre Issue Key (Clé d'émission), saisissez l'espace réservé suivant: [Case.Ticket_ID]

    L'espace réservé récupère de manière dynamique l'identifiant du problème Jira correspondant à cas sélectionné.

    1. Pour configurer le paramètre Issue Key (Clé du problème) pour un problème spécifique, saisissez le ID du problème Jira au format suivant: SCCE-NUMBER

    Vous trouverez l'ID du problème dans l'URL du problème Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Pour configurer le paramètre Assignee (Personne responsable), saisissez l'adresse e-mail du responsable du ticket.

    Vous pouvez également saisir le nom de la personne responsable de la demande d'assistance affiché dans Jira. L'action prend en charge l'utilisation de noms d'utilisateur ou noms.

  8. Cliquez sur Exécuter.

Attribuer des tickets ServiceNow dans les cas

Pour attribuer manuellement un ticket ServiceNow dans une demande, effectuez la procédez comme suit:

  1. Récupérez la valeur sys_id pour obtenir l'ID de la personne responsable de ServiceNow.
  2. Attribuez la demande ServiceNow.

Récupérer la valeur sys_id

  1. Dans la console Opérations de sécurité, accédez à Demandes.
  2. Sélectionnez une demande liée à la demande ServiceNow.
  3. Dans l'onglet Présentation de la demande, cliquez sur Action manuelle.
  4. Dans le champ Rechercher de l'action manuelle, saisissez ServiceNow.
  5. Dans les résultats de recherche, sous l'intégration ServiceNow, sélectionnez le bouton Obtenir Informations sur l'utilisateur. La boîte de dialogue d'action s'ouvre.
  6. Pour configurer le champ de paramètre E-mails, saisissez l'adresse e-mail du Personne responsable de la demande d'assistance ServiceNow.
  7. Cliquez sur Exécuter. Attendez que l'action soit exécutée.
  8. Accédez à Case Wall (Mur des cas), puis cliquez sur Refresh Case (Actualiser le cas).
  9. Dans l'enregistrement de données ServiceNow_Get User Details (Détails relatifs à l'utilisateur), cliquez sur View more (Afficher plus).
  10. Dans la section Résultat JSON, recherchez la clé sys_id et enregistrez sa valeur. pour l'utiliser dans la section suivante.

Attribuer la demande ServiceNow

  1. Accédez à l'onglet Présentation de la demande, puis cliquez sur Action manuelle.
  2. Dans le champ Rechercher de l'action manuelle, saisissez ServiceNow.
  3. Dans les résultats de recherche, sous l'intégration ServiceNow, sélectionnez Update Record (Mettre à jour l'enregistrement). La boîte de dialogue d'action s'ouvre.
  4. Pour configurer le paramètre Nom de la table, saisissez la valeur suivante: u_scc_enterprise_cloud_posture_ticket

  5. Pour configurer le paramètre Données JSON de l'objet, saisissez le code suivant:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    Dans le code, utilisez la valeur sys_id que vous avez récupérée à l'étape précédente .

  6. Pour configurer le paramètre Record Sys ID (ID système de l'enregistrement), saisissez l'espace réservé suivant: [Case.Ticket_ID]

    L'espace réservé récupère de manière dynamique l'ID de ticket ServiceNow correspondant au cas sélectionné.

    Pour le paramètre Record Sys ID (ID système de l'enregistrement), vous pouvez également fournir un Identifiant de la demande (Présentation de la demande > Widget Informations sur la demande) > ID du billet).

  7. Cliquez sur Exécuter.

Étape suivante

Découvrez comment regrouper les résultats par cas.

Découvrez comment ignorer des résultats dans Security Command Center.

Découvrez comment ignorer des résultats dans les demandes.