Auf dieser Seite wird der Mechanismus der automatischen Ticketzuweisung in Security Command Center Enterprise und erklärt, wie Sie manuelle Zuweisungen oder Neuzuweisungen vornehmen Tickets über die Security Operations-Konsole erstellen.
Ergebnisse aufnehmen, Fälle erstellen, Ergebnisse gruppieren sowie erstellen und zuweisen Tickets werden von Google SecOps bereitgestellt.
Übersicht
Die Person, die ein Ticket erhält, ist für die Behebung des Problems Sicherheitslücken. Das Ticket wird automatisch der jeweiligen zuständigen Person zugewiesen. basierend auf dem Wert des Ressourceninhabers, der vom Ergebnis über die Google Cloud-Ressourcenhierarchie oder der Wert, der im Parameter Fallback-Inhaber des Connectors konfiguriert ist.
Tickets automatisch zuweisen
Der standardmäßige automatische Ablauf für die Zuweisung eines Tickets besteht aus den folgenden Schritten:
Ermitteln des Ressourceninhabers eines Ergebnisses.
Erstellen von Fällen und Gruppieren verwandter Ergebnisse.
Tickets basierend auf Fällen erstellen und zuweisen.
Ressourceninhaber ermitteln
Bei der Aufnahme und Gruppierung der Ergebnisse in Fälle Enterprise – Urgent Posture Findings Connector analysiert jedes Ergebnis Ressourceninhaber- und Fallback-Inhaberwerte. Der Wert für den Fallback-Inhaber, der konfiguriert wurde in Der Connector-Parameter Fallback-Inhaber ist die letzte Option, um sicherzustellen, dass ein wird das benutzerdefinierte Ergebnis zur Abhilfe einer richtigen Person zugewiesen, wenn alle anderen Fehler bei priorisierten Optionen.
Weitere Informationen zum Definieren des Ressourceninhabers in Security Command Center Enterprise (siehe Bestimmen der Inhaberschaft für den Status) Ergebnisse.
Fälle erstellen und Ergebnisse gruppieren
Nachdem der Connector ein Ergebnis aufgenommen hat, leitet das Ergebnis an einen neuen Fall weiter, wenn das Ergebnis das erste ist, oder ein wenn die Ergebnisparameter einem Gruppierungsmechanismus entsprechen. In einer wird das Ergebnis zu einem Ereignis, auf dem die Benachrichtigung basiert. Im Wesentlichen Eine Benachrichtigung ist ein Ergebniscontainer, der alle Informationen zu einem Ergebnis enthält.
Weitere Informationen zur Gruppierung von Ergebnissen in Fällen finden Sie unter Ergebnisse gruppieren in Cases.
Tickets erstellen und zuweisen
Wenn Sie eine Supportanfrage erstellen, wird in einem integrierten Ticketing automatisch ein Ticket erstellt System. Alle in einem Fall enthaltenen Informationen mit einem zugehörigen Ticket bidirektional synchronisiert, was bedeutet, dass jede wann es in einem Fall ein Update gibt, z. B. ein neues Ergebnis, einen neuen Kommentar oder einen Status ändert sich, wird das Update auch im Ticket angezeigt und umgekehrt.
Security Command Center Enterprise weist das erstellte Ticket automatisch Der Ressourceninhaber der in einem Fall gruppierten Ergebnisse. Alle Ergebnisse in einem Fall Ressourceninhaber.
Tickets manuell zuweisen
Wenn Sie Tickets manuell zuweisen, müssen Sie manuelle Maßnahmen für Fälle ausführen.
Jira-Problemen in Anfragen zuweisen
Führen Sie die folgenden Schritte aus, um ein Jira-Problem in einem Fall manuell zuzuweisen:
- Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
- Wählen Sie einen Fall im Zusammenhang mit dem ITSM-Ticket aus.
- Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
- Geben Sie in das Feld Suchen der manuellen Maßnahme
Jira
ein. - Wählen Sie in den Suchergebnissen unter der Integration von Jira die Option Assign (Zuweisen) aus. Ausgabe. Das Dialogfeld mit den Aktionen wird geöffnet.
Geben Sie den folgenden Platzhalter ein, um den Parameter Issue Key (Problemschlüssel) zu konfigurieren:
[Case.Ticket_ID]
Der Platzhalter ruft dynamisch die Jira-Problem-ID ab, die dem ausgewählten Fall.
- Wenn Sie den Parameter Issue Key (Problemschlüssel) für ein bestimmtes Problem konfigurieren möchten, geben Sie den Parameter
Jira-Problem-ID im folgenden Format:
SCCE-NUMBER
Die Problem-ID finden Sie in der Jira-Problem-URL:
https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID
- Wenn Sie den Parameter Issue Key (Problemschlüssel) für ein bestimmtes Problem konfigurieren möchten, geben Sie den Parameter
Jira-Problem-ID im folgenden Format:
Geben Sie zum Konfigurieren des Parameters Assignee die E-Mail-Adresse der Jira ein. Zuständige Person für das Ticket.
Alternativ können Sie den Namen der Person, die das Ticket zugewiesen hat, so eingeben, wie er ist. die in Jira angezeigt werden. Die Aktion unterstützt die Verwendung von Nutzernamen oder Namen.
Klicken Sie auf Ausführen.
ServiceNow-Tickets in Fällen zuweisen
Wenn Sie ein ServiceNow-Ticket in einem Fall manuell zuweisen möchten, füllen Sie das folgenden Schritten:
- Rufen Sie den
sys_id
-Wert ab, um die ID des zugewiesenen ServiceNow-Mitarbeiters zu erhalten. - Weisen Sie das ServiceNow-Ticket zu.
sys_id
-Wert abrufen
- Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
- Wählen Sie einen Fall im Zusammenhang mit dem ServiceNow-Ticket aus.
- Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
- Geben Sie in das Feld Suchen der manuellen Maßnahme
ServiceNow
ein. - Wählen Sie in den Suchergebnissen unter der Integration von ServiceNow die Option Get Nutzerdetails Aktion ausführen. Das Dialogfeld mit den Aktionen wird geöffnet.
- Um das Parameterfeld E-Mails zu konfigurieren, geben Sie die E-Mail-Adresse des Zuständige Person für ServiceNow-Ticket.
- Klicken Sie auf Ausführen. Warten Sie, bis die Aktion ausgeführt wurde.
- Gehen Sie zur Case Wall und klicken Sie auf Refresh Case.
- Klicken Sie im Datensatz ServiceNow_Get User Details auf Mehr anzeigen.
- Suchen Sie im Abschnitt JSON-Ergebnis den Schlüssel
sys_id
und speichern Sie seinen Wert finden Sie im nächsten Abschnitt.
ServiceNow-Ticket zuweisen
- Rufen Sie den Tab Übersicht der Anfrage auf und klicken Sie auf Manuelle Aktion.
- Geben Sie in das Feld Suchen der manuellen Maßnahme
ServiceNow
ein. - Wählen Sie in den Suchergebnissen unter der Integration von ServiceNow das Symbol Update Record (Eintrag aktualisieren) ausgewählt werden. Das Dialogfeld mit den Aktionen wird geöffnet.
- Geben Sie den folgenden Wert ein, um den Parameter Table Name zu konfigurieren:
u_scc_enterprise_cloud_posture_ticket
Geben Sie den folgenden Code ein, um den Parameter Object Json Data zu konfigurieren:
{ "u_assigned_to": "SYS_ID_VALUE" }
Verwenden Sie im Code den Wert
sys_id
, den Sie im vorherigen Schritt abgerufen haben .Geben Sie den folgenden Platzhalter ein, um den Parameter Record Sys ID zu konfigurieren:
[Case.Ticket_ID]
Der Platzhalter ruft dynamisch die ServiceNow-Ticket-ID ab. für den ausgewählten Fall.
Alternativ können Sie für den Parameter Record Sys ID eine Ticket-ID (Fallübersicht > Widget Ticketinformationen) > Ticket-ID).
Klicken Sie auf Ausführen.
Nächste Schritte
Weitere Informationen zum Gruppieren von Ergebnissen in Supportanfragen
Ergebnisse in Security Command Center ausblenden
Ergebnisse in Fällen ausblenden