Assegna i ticket in base ai casi di postura

Questa pagina documenta il meccanismo di assegnazione automatica dei ticket in Security Command Center Enterprise e spiega come assegnare o riassegnare manualmente i ticket utilizzando la Security Operations Console.

L'importazione dei risultati, la creazione di casi, il raggruppamento dei risultati e la creazione e l'assegnazione di ticket si basano su Google SecOps.

Panoramica

L'assegnatario di un ticket è una persona responsabile dell'affrontare e risolvere le vulnerabilità. Il ticket viene assegnato automaticamente al rispettivo assegnatario in base al valore del proprietario della risorsa ereditato dal risultato tramite la gerarchia delle risorse di Google Cloud o al valore configurato nel parametro Proprietario di riserva del connettore.

Assegna automaticamente biglietti

Il flusso automatico predefinito per l'assegnazione di un ticket è costituito dai seguenti passaggi:

  1. Determinazione del proprietario della risorsa di un risultato.

  2. Creare casi e raggruppare i risultati correlati al loro interno.

  3. Creazione e assegnazione dei ticket in base ai casi.

Determinazione del proprietario della risorsa

Durante l'importazione e il raggruppamento dei risultati in casi, il connettore SCC Enterprise - Urgent Posture Findings analizza ogni risultato per i valori del proprietario della risorsa e del proprietario di riserva. Il valore del proprietario di riserva configurato nel parametro del connettore Proprietario di riserva è l'ultima opzione per garantire che un risultato personalizzato venga assegnato alla persona corretta per la correzione quando tutte le altre opzioni prioritarie hanno esito negativo.

Per saperne di più sulla definizione del proprietario della risorsa in Security Command Center Enterprise, consulta Determinare la proprietà per i risultati delle posture.

Creazione dei casi e raggruppamento dei risultati

Dopo che il connettore ha importato un risultato, Security Command Center inoltra il risultato a una nuova richiesta se quest'ultimo è il primo di un tipo o a una richiesta esistente se i parametri del risultato sono conformi a un meccanismo di raggruppamento. In un caso, il risultato diventa un evento su cui si basa l'avviso. Essenzialmente, un avviso è un container di risultati che include tutte le informazioni relative a un risultato.

Per scoprire di più su come vengono raggruppati i risultati in casi, consulta Raggruppare i risultati nei casi.

Creazione e assegnazione dei ticket

La creazione di una richiesta comporta la creazione automatica di un ticket in un sistema integrato di gestione delle richieste. Tutte le informazioni contenute in una richiesta vengono sincronizzate in modo bidirezionale con un ticket corrispondente, il che significa che ogni volta che c'è un aggiornamento in una richiesta come un nuovo risultato, un nuovo commento o una modifica di stato, lo stesso aggiornamento appare nel ticket e viceversa.

Security Command Center Enterprise assegna automaticamente il ticket creato al proprietario della risorsa dei risultati raggruppati in una richiesta. Tutti i risultati di una richiesta hanno lo stesso proprietario della risorsa.

Assegna i biglietti manualmente

L'assegnazione manuale dei ticket richiede l'esecuzione di azioni manuali sulle richieste.

Assegna i problemi Jira nei casi

Per assegnare manualmente un problema Jira in una richiesta, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Richieste.
  2. Seleziona una richiesta correlata al ticket ITSM.
  3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
  4. Nel campo Ricerca dell'azione manuale, inserisci Jira.
  5. Nei risultati di ricerca sotto l'integrazione di Jira, seleziona l'azione Assign Issue (Assegna problema). Si apre la finestra di dialogo delle azioni.

  6. Per configurare il parametro Issue Key, inserisci il seguente segnaposto: [Case.Ticket_ID]

    Il segnaposto recupera in modo dinamico l'ID problema Jira corrispondente alla richiesta selezionata.

    1. Per configurare il parametro Issue Key per un problema specifico, inserisci l'ID problema di Jira nel seguente formato: SCCE-NUMBER

    Puoi trovare l'ID problema nell'URL del problema su Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Per configurare il parametro Assignee, inserisci l'indirizzo email dell'assegnatario del ticket Jira.

    In alternativa, puoi inserire il nome dell'assegnatario del ticket così come viene visualizzato in Jira. L'azione supporta l'utilizzo di nomi utente o nomi visualizzati.

  8. Fai clic su Execute (Esegui).

Assegna ticket ServiceNow nelle richieste

Per assegnare manualmente un ticket ServiceNow in una richiesta, completa i seguenti passaggi:

  1. Recupera il valore sys_id per ottenere l'ID assegnatario di ServiceNow.
  2. Assegna il ticket ServiceNow.

Recupera il valore sys_id

  1. Nella Security Operations Console, vai a Richieste.
  2. Seleziona una richiesta relativa al ticket ServiceNow.
  3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
  4. Nel campo Ricerca dell'azione manuale, inserisci ServiceNow.
  5. Nei risultati di ricerca sotto l'integrazione di ServiceNow, seleziona l'azione Ottieni i dettagli dell'utente. Si apre la finestra di dialogo delle azioni.
  6. Per configurare il campo del parametro Email, inserisci l'indirizzo email dell'assegnatario del ticket ServiceNow.
  7. Fai clic su Execute (Esegui). Attendi l'esecuzione dell'azione.
  8. Vai alla Bacheca di richieste e fai clic su Aggiorna richiesta.
  9. Nel record di dati ServiceNow_Get User Details (Dettagli utente), fai clic su Visualizza altro.
  10. Nella sezione Risultato JSON, trova la chiave sys_id e salva il suo valore per utilizzarla nella sezione seguente.

Assegna il ticket ServiceNow

  1. Vai alla scheda Panoramica della richiesta e fai clic su Azione manuale.
  2. Nel campo Ricerca dell'azione manuale, inserisci ServiceNow.
  3. Nei risultati di ricerca sotto l'integrazione di ServiceNow, seleziona l'azione Update Record (Aggiorna record). Si apre la finestra di dialogo delle azioni.
  4. Per configurare il parametro Nome tabella, inserisci il seguente valore: u_scc_enterprise_cloud_posture_ticket

  5. Per configurare il parametro Object Json Data, inserisci il codice seguente:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    Nel codice, utilizza il valore sys_id recuperato nella sezione precedente.

  6. Per configurare il parametro Record Sys ID, inserisci il seguente segnaposto: [Case.Ticket_ID]

    Il segnaposto recupera in modo dinamico l'ID ticket ServiceNow corrispondente alla richiesta selezionata.

    In alternativa, per il parametro Record Sys ID puoi fornire un ID biglietto (Panoramica della richiesta > widget Informazioni biglietti > ID biglietto).

  7. Fai clic su Execute (Esegui).

Che cosa succede dopo?

Scopri come raggruppare i risultati in casi specifici.

Scopri come disattivare i risultati in Security Command Center.

Scopri come disattivare i risultati in casi specifici.