Assegna i ticket in base ai casi di postura

Questa pagina documenta il meccanismo di assegnazione automatica di ticket in Security Command Center Enterprise e spiega come assegnare o riassegnare manualmente utilizzando la Security Operations Console.

Importazione dei risultati, creazione di casi, raggruppamento dei risultati e creazione e assegnazione ticket è fornito da Google SecOps.

Panoramica

L'assegnatario di un ticket è una persona responsabile della gestione del le vulnerabilità. Il ticket viene assegnato automaticamente al rispettivo assegnatario in base al valore del proprietario della risorsa ereditato dal risultato Gerarchia delle risorse di Google Cloud o il valore configurato nel parametro Fallback Owner del connettore.

Assegna automaticamente biglietti

Il flusso automatico predefinito per l'assegnazione di un ticket è costituito dai seguenti elementi: seguenti passaggi:

  1. Determinazione del proprietario della risorsa di un risultato.

  2. Creare casi e raggruppare i risultati correlati al loro interno.

  3. Creazione e assegnazione dei ticket in base ai casi.

Determinazione del proprietario della risorsa

Durante l'importazione e il raggruppamento dei risultati in casi, la SCC Enterprise - Urgent Posture Findings Connector analizza ogni risultato per i valori del proprietario della risorsa e del proprietario di riserva. Il valore del proprietario di riserva configurato in Il parametro del connettore Proprietario di riserva è l'ultima opzione per garantire che risultato personalizzato assegnato a una persona corretta per la correzione quando tutti gli altri con priorità non riuscite.

Per saperne di più sulla definizione del proprietario della risorsa in Security Command Center Enterprise, consulta Determinare la proprietà della postura risultati.

Creazione dei casi e raggruppamento dei risultati

Dopo che il connettore ha importato un risultato, Security Command Center inoltra il risultato a un nuovo caso se è il primo di un tipo, se i parametri dei risultati sono conformi a un meccanismo di raggruppamento. In un caso, il risultato diventa un evento su cui si basa l'avviso. In pratica, un avviso è un contenitore dei risultati che include tutte le informazioni relative a un risultato.

Per saperne di più su come i risultati vengono raggruppati in casi, consulta Raggruppare i risultati in di assistenza.

Creazione e assegnazione dei ticket

La creazione di una richiesta comporta la creazione automatica di un ticket in una sezione di gestione delle richieste integrata di un sistema operativo completo. Tutte le informazioni contenute in una richiesta viene sincronizzato in modo bidirezionale con un ticket corrispondente, nel senso che ogni volta che è presente un aggiornamento in una richiesta, come un nuovo risultato, un nuovo commento o uno stato modifica, lo stesso aggiornamento appare nel ticket e viceversa.

Security Command Center Enterprise assegna automaticamente il ticket creato a il proprietario della risorsa dei risultati raggruppati in una richiesta. Tutti i risultati di una richiesta hanno lo stesso proprietario della risorsa.

Assegna i biglietti manualmente

L'assegnazione manuale dei ticket richiede l'esecuzione di azioni manuali sulle richieste.

Assegna i problemi Jira nei casi

Per assegnare manualmente un problema Jira in una richiesta, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Richieste.
  2. Seleziona una richiesta correlata al ticket ITSM.
  3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
  4. Nel campo Ricerca dell'azione manuale, inserisci Jira.
  5. Nei risultati di ricerca, sotto l'integrazione di Jira, seleziona il pulsante Assegna Problema. Si apre la finestra di dialogo delle azioni.

  6. Per configurare il parametro Issue Key, inserisci il seguente segnaposto: [Case.Ticket_ID]

    Il segnaposto recupera in modo dinamico l'ID problema Jira corrispondente al caso selezionato.

    1. Per configurare il parametro Issue Key per un problema specifico, inserisci il parametro ID problema Jira nel seguente formato: SCCE-NUMBER

    Puoi trovare l'ID problema nell'URL del problema su Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Per configurare il parametro Assignee (Assegnatario), inserisci l'indirizzo email del server Jira l'assegnatario del ticket.

    In alternativa, puoi inserire il nome dell'assegnatario del ticket così com'è. visualizzato in Jira. L'azione supporta l'utilizzo di nomi utente o nomi visualizzati names.

  8. Fai clic su Execute (Esegui).

Assegna ticket ServiceNow nelle richieste

Per assegnare manualmente un ticket ServiceNow in una richiesta, completa la seguenti passaggi:

  1. Recupera il valore sys_id per ottenere l'ID assegnatario di ServiceNow.
  2. Assegna il ticket ServiceNow.

Recupera il valore sys_id

  1. Nella Security Operations Console, vai a Richieste.
  2. Seleziona una richiesta relativa al ticket ServiceNow.
  3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
  4. Nel campo Ricerca dell'azione manuale, inserisci ServiceNow.
  5. Nei risultati di ricerca sotto l'integrazione di ServiceNow, seleziona la casella Ottieni Dettagli utente. Si apre la finestra di dialogo delle azioni.
  6. Per configurare il campo del parametro Email, inserisci l'indirizzo email del Assegnatario di ticket ServiceNow.
  7. Fai clic su Execute (Esegui). Attendi l'esecuzione dell'azione.
  8. Vai alla Bacheca di richieste e fai clic su Aggiorna richiesta.
  9. Nel record di dati ServiceNow_Get User Details (Dettagli utente), fai clic su Visualizza altro.
  10. Nella sezione Risultato JSON, trova la chiave sys_id e salva il relativo valore per utilizzarlo nella sezione seguente.

Assegna il ticket ServiceNow

  1. Vai alla scheda Panoramica della richiesta e fai clic su Azione manuale.
  2. Nel campo Ricerca dell'azione manuale, inserisci ServiceNow.
  3. Nei risultati di ricerca sotto l'integrazione di ServiceNow, seleziona il valore Update Record (Aggiorna record). Si apre la finestra di dialogo delle azioni.
  4. Per configurare il parametro Nome tabella, inserisci il seguente valore: u_scc_enterprise_cloud_posture_ticket

  5. Per configurare il parametro Object Json Data, inserisci il codice seguente:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    Nel codice, utilizza il valore sys_id recuperato nella precedente .

  6. Per configurare il parametro Record Sys ID, inserisci il seguente segnaposto: [Case.Ticket_ID]

    Il segnaposto recupera in modo dinamico l'ID ticket ServiceNow corrispondente alla richiesta selezionata.

    In alternativa, per il parametro Record Sys ID puoi fornire un ID biglietto (Panoramica richiesta > widget Informazioni biglietto > ID biglietto).

  7. Fai clic su Execute (Esegui).

Passaggi successivi

Scopri come raggruppare i risultati in casi specifici.

Scopri come disattivare i risultati in Security Command Center.

Scopri come disattivare i risultati in casi specifici.