Tickets basierend auf Posture-Fällen zuweisen

Auf dieser Seite wird der Mechanismus der automatischen Ticketzuweisung in Security Command Center Enterprise beschrieben. Außerdem wird erläutert, wie Sie Tickets manuell über die Security Operations Console zuweisen oder neu zuweisen.

Übersicht

Die Person, die ein Ticket zugewiesen wurde, ist dafür verantwortlich, die Sicherheitslücken zu beheben. Das Ticket wird dem jeweiligen Bearbeiter automatisch zugewiesen. Dabei wird entweder der Wert des Ressourceninhabers verwendet, der der Feststellung über die Google Cloud-Ressourcenhierarchie zugeordnet wurde, oder der Wert, der im Parameter Fallback Owner des Connectors konfiguriert ist.

Tickets automatisch zuweisen

Der standardmäßige automatische Ablauf für die Zuweisung eines Tickets besteht aus den folgenden Schritten:

  1. Ressourceninhaber eines Ergebnisses ermitteln

  2. Fälle erstellen und ähnliche Ergebnisse in ihnen gruppieren

  3. Tickets anhand von Supportfällen erstellen und zuweisen

Ressourceninhaber ermitteln

Beim Aufnehmen und Gruppieren von Ergebnissen in Anfragen analysiert der SCC Enterprise – Urgent Posture Findings Connector jedes Ergebnis auf die Werte für den Ressourceninhaber und den Fallback-Inhaber. Der im Connector-Parameter Fallback Owner konfigurierte Wert für den Fallback-Inhaber ist die letzte Option, um sicherzustellen, dass eine benutzerdefinierte Meldung der richtigen Person zur Behebung zugewiesen wird, wenn alle anderen priorisierten Optionen fehlgeschlagen sind.

Weitere Informationen zum Definieren des Ressourceneigentümers in Security Command Center Enterprise finden Sie unter Eigentümer für Ergebnisse zur Risikobewertung ermitteln.

Supportanfragen erstellen und Ergebnisse gruppieren

Nachdem der Connector ein Ergebnis aufgenommen hat, leitet Security Command Center das Ergebnis an einen neuen Fall weiter, wenn es sich um ein Erstauftreten handelt, oder an einen vorhandenen Fall, wenn die Ergebnisparameter einem Gruppierungsmechanismus entsprechen. In einem Fall wird die Erkenntnis zu einem Ereignis, auf dem die Benachrichtigung basiert. Eine Benachrichtigung ist im Grunde ein Container für Ergebnisse, der alle Informationen zu einem Ergebnis enthält.

Weitere Informationen dazu, wie Ergebnisse in Anfragen gruppiert werden, finden Sie unter Ergebnisse in Anfragen gruppieren.

Tickets erstellen und zuweisen

Wenn Sie eine Supportanfrage erstellen, wird automatisch ein Ticket in einem integrierten Ticketsystem erstellt. Alle Informationen in einem Fall werden bidirektional mit einem entsprechenden Ticket synchronisiert. Das bedeutet, dass jedes Mal, wenn es in einem Fall ein Update gibt, z. B. eine neue Erkenntnis, ein neuer Kommentar oder eine Statusänderung, dasselbe Update auch im Ticket angezeigt wird und umgekehrt.

In Security Command Center Enterprise wird das erstellte Ticket automatisch dem Ressourceninhaber der in einem Fall gruppierten Ergebnisse zugewiesen. Alle Ergebnisse in einem Fall haben denselben Ressourceneigentümer.

Tickets manuell zuweisen

Wenn du Tickets manuell zuweisen möchtest, musst du manuelle Maßnahmen für den Fall ausführen.

Jira-Vorgänge in Anfragen zuweisen

So weisen Sie einem Fall manuell ein Jira-Problem zu:

  1. Klicken Sie in der Security Operations Console auf Cases (Fälle).
  2. Wählen Sie einen Fall aus, der sich auf das ITSM-Ticket bezieht.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie im Feld Suchen der manuellen Aktion Jira ein.
  5. Wählen Sie in den Suchergebnissen unter der Jira-Integration die Aktion Issue zuweisen aus. Das Dialogfeld „Aktion“ wird geöffnet.

  6. Geben Sie den folgenden Platzhalter ein, um den Parameter Issue Key zu konfigurieren: [Case.Ticket_ID]

    Über den Platzhalter wird dynamisch die Jira-Problem-ID abgerufen, die dem ausgewählten Fall entspricht.

    1. Wenn Sie den Parameter Issue-Schlüssel für ein bestimmtes Problem konfigurieren möchten, geben Sie die Jira-Problem-ID im folgenden Format ein: SCCE-NUMBER

    Sie finden die Problem-ID in der Jira-Problem-URL:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Geben Sie zum Konfigurieren des Parameters Assignee (Zugewiesener) die E-Mail-Adresse des Jira-Ticket-Inhabers ein.

    Alternativ können Sie den Namen des Ticketempfängers eingeben, wie er in Jira angezeigt wird. Die Aktion unterstützt die Verwendung von Nutzernamen oder angezeigten Namen.

  8. Klicken Sie auf Ausführen.

ServiceNow-Tickets in Anfragen zuweisen

So weisen Sie einem Fall manuell ein ServiceNow-Ticket zu:

  1. Rufen Sie den Wert für sys_id ab, um die ServiceNow-Zugewiesenen-ID zu erhalten.
  2. Weisen Sie das ServiceNow-Ticket zu.

Wert für sys_id abrufen

  1. Klicken Sie in der Security Operations Console auf Cases (Fälle).
  2. Wählen Sie einen Fall aus, der sich auf das ServiceNow-Ticket bezieht.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie im Feld Suchen der manuellen Aktion ServiceNow ein.
  5. Wählen Sie in den Suchergebnissen unter der ServiceNow-Integration die Aktion Nutzerdetails abrufen aus. Das Dialogfeld „Aktion“ wird geöffnet.
  6. Geben Sie zum Konfigurieren des Parameterfelds E-Mails die E-Mail-Adresse des ServiceNow-Ticketempfängers ein.
  7. Klicken Sie auf Ausführen. Warten Sie, bis die Aktion ausgeführt wurde.
  8. Rufe das Fall-Repository auf und klicke auf Fall aktualisieren.
  9. Klicken Sie im Datensatz ServiceNow_Get User Details auf Mehr anzeigen.
  10. Suchen Sie im Bereich JSON-Ergebnis nach dem Schlüssel sys_id und speichern Sie den Wert, um ihn im folgenden Abschnitt zu verwenden.

ServiceNow-Ticket zuweisen

  1. Rufe den Tab Fallübersicht auf und klicke auf Manuelle Aktion.
  2. Geben Sie im Feld Suchen der manuellen Aktion ServiceNow ein.
  3. Wählen Sie in den Suchergebnissen unter der ServiceNow-Integration die Aktion Datensatz aktualisieren aus. Das Dialogfeld „Aktion“ wird geöffnet.
  4. Geben Sie den folgenden Wert ein, um den Parameter Tabellenname zu konfigurieren: u_scc_enterprise_cloud_posture_ticket

  5. Geben Sie den folgenden Code ein, um den Parameter Object Json Data zu konfigurieren:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    Verwenden Sie im Code den Wert sys_id, den Sie im vorherigen Abschnitt abgerufen haben.

  6. Geben Sie den folgenden Platzhalter ein, um den Parameter Record Sys ID zu konfigurieren: [Case.Ticket_ID]

    Über den Platzhalter wird die ServiceNow-Ticket-ID abgerufen, die dem ausgewählten Fall entspricht.

    Alternativ kannst du für den Parameter Record Sys ID eine Ticket-ID angeben (Fallübersicht > Ticketinformationen-Widget > Ticket-ID).

  7. Klicken Sie auf Ausführen.

Nächste Schritte

Weitere Informationen zum Gruppieren von Ergebnissen in Supportanfragen

Weitere Informationen zum Ausblenden von Ergebnissen im Security Command Center

Weitere Informationen zum Stummschalten von Ergebnissen in Supportanfragen