Tickets basierend auf Sicherheitsfällen zuweisen

Auf dieser Seite wird der Mechanismus der automatischen Ticketzuweisung in Security Command Center Enterprise dokumentiert. Außerdem wird erläutert, wie Tickets über die Security Operations Console manuell zugewiesen oder neu zugewiesen werden.

Google SecOps unterstützt die Aufnahme von Ergebnissen, das Erstellen von Fällen, das Gruppieren von Ergebnissen sowie das Erstellen und Zuweisen von Tickets.

Überblick

Die Person, die für das Ticket zuständig ist, ist für das Beheben und Beheben der Sicherheitslücken verantwortlich. Das Ticket wird automatisch der jeweiligen zuständigen Person zugewiesen. Dabei wird entweder der Wert des Ressourceninhabers, der vom Ergebnis über die Ressourcenhierarchie von Google Cloud übernommen wurde, oder der Wert verwendet, der im Parameter Fallback Owner des Connectors konfiguriert ist.

Tickets automatisch zuweisen

Der standardmäßige automatische Ablauf zum Zuweisen eines Tickets umfasst die folgenden Schritte:

  1. Ressourceninhaber eines Ergebnisses ermitteln

  2. Fälle erstellen und zugehörige Ergebnisse darin gruppieren

  3. Tickets basierend auf Fällen erstellen und zuweisen

Ressourceninhaber ermitteln

Beim Aufnehmen und Gruppieren von Ergebnissen in Fällen analysiert der SCC Enterprise – Urgent Posture Findings Connector jedes Ergebnis für die Werte des Ressourceninhabers und des Fallback-Inhabers. Der Wert des Fallback-Inhabers, der im Connector-Parameter Fallback-Inhaber konfiguriert ist, ist die letzte Option, um sicherzustellen, dass ein benutzerdefiniertes Ergebnis zur Abhilfe der richtigen Person zugewiesen wird, wenn alle anderen priorisierten Optionen fehlgeschlagen sind.

Weitere Informationen zum Definieren des Ressourceninhabers in Security Command Center Enterprise finden Sie unter Inhaberschaft für Sicherheitsstatus ermitteln.

Supportanfragen erstellen und Ergebnisse gruppieren

Nachdem der Connector ein Ergebnis aufgenommen hat, leitet Security Command Center das Ergebnis an einen neuen Fall weiter, wenn das erste Ergebnis ist, oder an einen bereits vorhandenen, wenn die Ergebnisparameter einem Gruppierungsmechanismus entsprechen. In diesem Fall wird das Ergebnis zu einem Ereignis, auf dem die Benachrichtigung basiert. Im Wesentlichen ist eine Benachrichtigung ein Ergebniscontainer, der alle Informationen zu einem Ergebnis enthält.

Weitere Informationen dazu, wie Ergebnisse in Fällen gruppiert werden, finden Sie unter Ergebnisse in Fällen gruppieren.

Tickets erstellen und zuweisen

Beim Erstellen eines Falls wird automatisch ein Ticket in einem integrierten Ticketsystem erstellt. Alle in einem Fall enthaltenen Informationen werden bidirektional mit dem entsprechenden Ticket synchronisiert. Das bedeutet, dass bei jeder Aktualisierung in einem Fall, z. B. einem neuen Ergebnis, einem neuen Kommentar oder einer Statusänderung, dieselbe Aktualisierung im Ticket angezeigt wird und umgekehrt.

Security Command Center Enterprise weist das erstellte Ticket automatisch dem Ressourceninhaber der in einem Fall gruppierten Ergebnisse zu. Alle Ergebnisse in einem Fall haben denselben Ressourceninhaber.

Tickets manuell zuweisen

Wenn Sie Tickets manuell zuweisen möchten, müssen Sie manuelle Maßnahmen für Fälle ausführen.

Jira-Probleme in Supportanfragen zuweisen

Führen Sie die folgenden Schritte aus, um ein Jira-Problem in einem Fall manuell zuzuweisen:

  1. Gehen Sie in der Security Operations Console zu Fälle.
  2. Wählen Sie einen Fall aus, der sich auf das ITSM-Ticket bezieht.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie im Feld Suche der manuellen Maßnahme Jira ein.
  5. Wählen Sie in den Suchergebnissen unter der Jira-Integration die Aktion Assign Issue (Problem zuweisen) aus. Das Dialogfeld für Aktionen wird geöffnet.

  6. Geben Sie den folgenden Platzhalter ein, um den Parameter Issue Key (Problemschlüssel) zu konfigurieren: [Case.Ticket_ID]

    Der Platzhalter ruft die Jira-Problem-ID für den ausgewählten Fall dynamisch ab.

    1. Wenn Sie den Parameter Issue Key (Problemschlüssel) für ein bestimmtes Problem konfigurieren möchten, geben Sie die Jira-Problem-ID im folgenden Format ein: SCCE-NUMBER

    Sie finden die Problem-ID in der URL des Jira-Problems:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Geben Sie zum Konfigurieren des Parameters Assignee die E-Mail-Adresse des zugewiesenen Jira-Ticketempfängers ein.

    Alternativ können Sie den Namen der Person eingeben, die das Ticket zugewiesen hat, so, wie er in Jira angezeigt wird. Die Aktion unterstützt die Verwendung von Nutzernamen oder angezeigten Namen.

  8. Klicken Sie auf Execute.

ServiceNow-Tickets in Fällen zuweisen

Führe die folgenden Schritte aus, um in einem Fall manuell ein ServiceNow-Ticket zuzuweisen:

  1. Rufen Sie den Wert sys_id ab, um die ServiceNow-Zuweisungs-ID zu erhalten.
  2. Weisen Sie das ServiceNow-Ticket zu.

sys_id-Wert abrufen

  1. Gehen Sie in der Security Operations Console zu Fälle.
  2. Wählen Sie einen Fall aus, der sich auf das ServiceNow-Ticket bezieht.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie im Feld Suche der manuellen Maßnahme ServiceNow ein.
  5. Wählen Sie in den Suchergebnissen unter der ServiceNow-Integration die Aktion Nutzerdetails abrufen aus. Das Dialogfeld für Aktionen wird geöffnet.
  6. Geben Sie zum Konfigurieren des Parameterfelds Emails die E-Mail-Adresse der Person ein, die das ServiceNow-Ticket zugewiesen hat.
  7. Klicken Sie auf Execute. Warten Sie, bis die Aktion ausgeführt wurde.
  8. Gehen Sie zur Case Wall und klicken Sie auf Refresh Case (Fall aktualisieren).
  9. Klicken Sie im Datensatz ServiceNow_Get User Details auf Mehr anzeigen.
  10. Suchen Sie im Abschnitt JSON-Ergebnis nach dem Schlüssel sys_id und speichern Sie seinen Wert, um ihn im folgenden Abschnitt zu verwenden.

ServiceNow-Ticket zuweisen

  1. Rufen Sie den Tab Fallübersicht auf und klicken Sie auf Manuelle Aktion.
  2. Geben Sie im Feld Suche der manuellen Maßnahme ServiceNow ein.
  3. Wählen Sie in den Suchergebnissen unter der ServiceNow-Integration die Aktion Update Record (Eintrag aktualisieren) aus. Das Dialogfeld für Aktionen wird geöffnet.
  4. Geben Sie den folgenden Wert ein, um den Parameter Tabellenname zu konfigurieren: u_scc_enterprise_cloud_posture_ticket

  5. Geben Sie den folgenden Code ein, um den Parameter Object Json Data zu konfigurieren:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    Verwenden Sie im Code den Wert sys_id, den Sie im vorherigen Abschnitt abgerufen haben.

  6. Geben Sie den folgenden Platzhalter ein, um den Parameter Record Sys ID (Datensatz-Sys-ID) zu konfigurieren: [Case.Ticket_ID]

    Mit dem Platzhalter wird die ServiceNow-Ticket-ID für den ausgewählten Fall dynamisch abgerufen.

    Alternativ können Sie für den Parameter Record Sys ID (System-ID aufzeichnen) eine Ticket-ID angeben (Fallübersicht > Widget Ticketinformationen > Ticket-ID).

  7. Klicken Sie auf Execute.

Nächste Schritte

Ergebnisse in Fällen gruppieren

Ergebnisse in Security Command Center ausblenden

Ergebnisse in Supportanfragen ausblenden