Asigna tickets según los casos de postura

Esta página documenta el mecanismo de asignación automática de tickets en Security Command Center Enterprise y explica cómo asignar o reasignar manualmente tickets usando la consola de operaciones de seguridad.

Transferir resultados, crear casos, agrupar resultados y crear y asignar con la tecnología de Google SecOps.

Descripción general

El destinatario de un ticket es una persona responsable de abordar y corregir el vulnerabilidades. El ticket se asigna automáticamente al destinatario correspondiente en función del valor de propietario del recurso heredado por el hallazgo Jerarquía de recursos de Google Cloud o el valor configurado en el parámetro Propietario de resguardo del conector.

Asignar boletos automáticamente

El flujo automático predeterminado para asignar un ticket consta de los siguientes pasos:

  1. Determinación del propietario del recurso de un hallazgo.

  2. Crear casos y agrupar los hallazgos relacionados en ellos.

  3. Crear y asignar tickets según los casos.

Determina el propietario del recurso

Mientras se transfieren y agrupan los resultados en casos, el SCC Enterprise - Urgent Posture Findings Connector analiza todos los hallazgos los valores de propietario del recurso y propietario de resguardo. El valor del propietario de resguardo configurado en el parámetro del conector de Propietario de resguardo es la opción final para garantizar que un hallazgo personalizado se asigna a la persona correcta para su corrección cuando todos los demás no se pudieron seleccionar las opciones prioritarias.

Para obtener más información sobre cómo definir el propietario del recurso en Security Command Center Empresa, consulta Determina la propiedad de la postura de análisis de datos.

Crear casos y agrupar los resultados

Después de que el conector transfiere un hallazgo, Security Command Center reenvía el hallazgo a un nuevo caso si es primero de un tipo o caso existente si los parámetros de búsqueda cumplen con un mecanismo de agrupación. En una caso, el hallazgo se convierte en un evento en el que se basa la alerta. Básicamente, Una alerta es un contenedor de hallazgo que incluye toda la información sobre un hallazgo.

Para obtener más información sobre cómo se agrupan los resultados en casos, consulta Agrupar los resultados en casos.

Crear y asignar tickets

Cuando se crea un caso, se crea automáticamente un ticket en un ticket integrado en un sistema de archivos. Toda la información incluida en un caso se sincroniza bidireccionalmente con el ticket correspondiente, lo que significa que cada cada vez que hay una actualización en un caso, como un hallazgo nuevo, un comentario nuevo o un estado cambio, aparece la misma actualización en el ticket y viceversa.

Security Command Center Enterprise asigna automáticamente el ticket creado a el propietario del recurso de los hallazgos agrupados en un caso. Todos los hallazgos de un caso el mismo propietario del recurso.

Asignar boletos manualmente

La asignación manual de tickets requiere que ejecutes acciones manuales en los casos.

Asigna problemas de Jira en los casos

Para asignar manualmente un problema de Jira en un caso, completa los siguientes pasos:

  1. En la consola de Operaciones de seguridad, ve a Casos.
  2. Selecciona un caso relacionado con el ticket de ITSM.
  3. En la pestaña Case Overview, haz clic en Manual Action.
  4. En el campo Buscar de la acción manual, ingresa Jira.
  5. En los resultados de la búsqueda, debajo de la integración de Jira, selecciona la opción Assign Problema. Se abrirá la ventana de diálogo de acción.

  6. Para configurar el parámetro Issue Key, ingresa el siguiente marcador de posición: [Case.Ticket_ID]

    El marcador de posición recupera de forma dinámica el ID de problema de Jira que corresponde al caso seleccionado.

    1. Para configurar el parámetro Clave del problema para un problema específico, ingresa el ID del problema de Jira en el siguiente formato: SCCE-NUMBER

    Puedes encontrar el ID del problema en la URL del problema de Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Para configurar el parámetro Assignee, ingresa la dirección de correo electrónico de Jira. usuario asignado al ticket.

    Como alternativa, puedes ingresar el nombre del destinatario del ticket tal como está que se muestran en Jira. La acción admite el uso de nombres de usuario o de y nombres de usuario.

  8. Haz clic en Ejecutar.

Asigna tickets de ServiceNow en casos

Para asignar manualmente un ticket de ServiceNow en un caso, completa los los siguientes pasos:

  1. Recupera el valor sys_id para obtener el ID de asignado de ServiceNow.
  2. Asigna el ticket ServiceNow.

Recupera el valor sys_id.

  1. En la consola de Operaciones de seguridad, ve a Casos.
  2. Selecciona un caso relacionado con el ticket de ServiceNow.
  3. En la pestaña Case Overview, haz clic en Manual Action.
  4. En el campo Buscar de la acción manual, ingresa ServiceNow.
  5. En los resultados de la búsqueda de la integración ServiceNow, selecciona la opción Obtener Detalles del usuario. Se abrirá la ventana de diálogo de acción.
  6. Para configurar el campo del parámetro Emails, ingresa la dirección de correo electrónico del Destinatario del ticket de ServiceNow.
  7. Haz clic en Ejecutar. Espera hasta que se ejecute la acción.
  8. Ve al Muro de casos y haz clic en Actualizar caso.
  9. En el registro de datos ServiceNow_Get User Details, haz clic en Ver más.
  10. En la sección Resultado de JSON (JSON Result), busca la clave sys_id y guarda su valor. para usarla en la siguiente sección.

Asigna el ticket de ServiceNow

  1. Dirígete a la pestaña Descripción general del caso y haz clic en Acción manual.
  2. En el campo Buscar de la acción manual, ingresa ServiceNow.
  3. En los resultados de la búsqueda de la integración ServiceNow, selecciona Update Record. Se abrirá la ventana de diálogo de acción.
  4. Para configurar el parámetro Nombre de la tabla, ingresa el siguiente valor: u_scc_enterprise_cloud_posture_ticket

  5. Para configurar el parámetro Object Json Data, ingresa el siguiente código:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    En el código, usa el valor sys_id que recuperaste en la sesión anterior. sección.

  6. Para configurar el parámetro Record Sys ID, ingresa el siguiente marcador de posición: [Case.Ticket_ID]

    El marcador de posición recupera de forma dinámica el ID del ticket de ServiceNow correspondiente al caso seleccionado.

    Como alternativa, para el parámetro Record Sys ID puedes proporcionar un ID de ticket (Case Overview > widget Ticket Information) > ID de boleto).

  7. Haz clic en Ejecutar.

Próximos pasos

Obtén información para agrupar los resultados en casos.

Obtén información para silenciar resultados en Security Command Center.

Obtén información sobre cómo puedes silenciar resultados en casos.