Tickets anhand von Statusfällen zuweisen

Auf dieser Seite wird der Mechanismus der automatischen Ticketzuweisung in Security Command Center Enterprise und erklärt, wie Sie manuelle Zuweisungen oder Neuzuweisungen vornehmen Tickets über die Security Operations-Konsole erstellen.

Ergebnisse aufnehmen, Fälle erstellen, Ergebnisse gruppieren sowie erstellen und zuweisen Tickets werden von Google SecOps bereitgestellt.

Übersicht

Die Person, die ein Ticket erhält, ist für die Behebung des Problems Sicherheitslücken. Das Ticket wird automatisch der jeweiligen zuständigen Person zugewiesen. basierend auf dem Wert des Ressourceninhabers, der vom Ergebnis über die Google Cloud-Ressourcenhierarchie oder der Wert, der im Parameter Fallback-Inhaber des Connectors konfiguriert ist.

Tickets automatisch zuweisen

Der standardmäßige automatische Ablauf für die Zuweisung eines Tickets besteht aus den folgenden Schritten:

  1. Ermitteln des Ressourceninhabers eines Ergebnisses.

  2. Erstellen von Fällen und Gruppieren verwandter Ergebnisse.

  3. Tickets basierend auf Fällen erstellen und zuweisen.

Ressourceninhaber ermitteln

Bei der Aufnahme und Gruppierung der Ergebnisse in Fälle Enterprise – Urgent Posture Findings Connector analysiert jedes Ergebnis Ressourceninhaber- und Fallback-Inhaberwerte. Der Wert für den Fallback-Inhaber, der konfiguriert wurde in Der Connector-Parameter Fallback-Inhaber ist die letzte Option, um sicherzustellen, dass ein wird das benutzerdefinierte Ergebnis zur Abhilfe einer richtigen Person zugewiesen, wenn alle anderen Fehler bei priorisierten Optionen.

Weitere Informationen zum Definieren des Ressourceninhabers in Security Command Center Enterprise (siehe Bestimmen der Inhaberschaft für den Status) Ergebnisse.

Fälle erstellen und Ergebnisse gruppieren

Nachdem der Connector ein Ergebnis aufgenommen hat, leitet das Ergebnis an einen neuen Fall weiter, wenn das Ergebnis das erste ist, oder ein wenn die Ergebnisparameter einem Gruppierungsmechanismus entsprechen. In einer wird das Ergebnis zu einem Ereignis, auf dem die Benachrichtigung basiert. Im Wesentlichen Eine Benachrichtigung ist ein Ergebniscontainer, der alle Informationen zu einem Ergebnis enthält.

Weitere Informationen zur Gruppierung von Ergebnissen in Fällen finden Sie unter Ergebnisse gruppieren in Cases.

Tickets erstellen und zuweisen

Wenn Sie eine Supportanfrage erstellen, wird in einem integrierten Ticketing automatisch ein Ticket erstellt System. Alle in einem Fall enthaltenen Informationen mit einem zugehörigen Ticket bidirektional synchronisiert, was bedeutet, dass jede wann es in einem Fall ein Update gibt, z. B. ein neues Ergebnis, einen neuen Kommentar oder einen Status ändert sich, wird das Update auch im Ticket angezeigt und umgekehrt.

Security Command Center Enterprise weist das erstellte Ticket automatisch Der Ressourceninhaber der in einem Fall gruppierten Ergebnisse. Alle Ergebnisse in einem Fall Ressourceninhaber.

Tickets manuell zuweisen

Wenn Sie Tickets manuell zuweisen, müssen Sie manuelle Maßnahmen für Fälle ausführen.

Jira-Problemen in Anfragen zuweisen

Führen Sie die folgenden Schritte aus, um ein Jira-Problem in einem Fall manuell zuzuweisen:

  1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
  2. Wählen Sie einen Fall im Zusammenhang mit dem ITSM-Ticket aus.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie in das Feld Suchen der manuellen Maßnahme Jira ein.
  5. Wählen Sie in den Suchergebnissen unter der Integration von Jira die Option Assign (Zuweisen) aus. Ausgabe. Das Dialogfeld mit den Aktionen wird geöffnet.

  6. Geben Sie den folgenden Platzhalter ein, um den Parameter Issue Key (Problemschlüssel) zu konfigurieren: [Case.Ticket_ID]

    Der Platzhalter ruft dynamisch die Jira-Problem-ID ab, die dem ausgewählten Fall.

    1. Wenn Sie den Parameter Issue Key (Problemschlüssel) für ein bestimmtes Problem konfigurieren möchten, geben Sie den Parameter Jira-Problem-ID im folgenden Format: SCCE-NUMBER

    Die Problem-ID finden Sie in der Jira-Problem-URL:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Geben Sie zum Konfigurieren des Parameters Assignee die E-Mail-Adresse der Jira ein. Zuständige Person für das Ticket.

    Alternativ können Sie den Namen der Person, die das Ticket zugewiesen hat, so eingeben, wie er ist. die in Jira angezeigt werden. Die Aktion unterstützt die Verwendung von Nutzernamen oder Namen.

  8. Klicken Sie auf Ausführen.

ServiceNow-Tickets in Fällen zuweisen

Wenn Sie ein ServiceNow-Ticket in einem Fall manuell zuweisen möchten, füllen Sie das folgenden Schritten:

  1. Rufen Sie den sys_id-Wert ab, um die ID des zugewiesenen ServiceNow-Mitarbeiters zu erhalten.
  2. Weisen Sie das ServiceNow-Ticket zu.

sys_id-Wert abrufen

  1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
  2. Wählen Sie einen Fall im Zusammenhang mit dem ServiceNow-Ticket aus.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie in das Feld Suchen der manuellen Maßnahme ServiceNow ein.
  5. Wählen Sie in den Suchergebnissen unter der Integration von ServiceNow die Option Get Nutzerdetails Aktion ausführen. Das Dialogfeld mit den Aktionen wird geöffnet.
  6. Um das Parameterfeld E-Mails zu konfigurieren, geben Sie die E-Mail-Adresse des Zuständige Person für ServiceNow-Ticket.
  7. Klicken Sie auf Ausführen. Warten Sie, bis die Aktion ausgeführt wurde.
  8. Gehen Sie zur Case Wall und klicken Sie auf Refresh Case.
  9. Klicken Sie im Datensatz ServiceNow_Get User Details auf Mehr anzeigen.
  10. Suchen Sie im Abschnitt JSON-Ergebnis den Schlüssel sys_id und speichern Sie seinen Wert finden Sie im nächsten Abschnitt.

ServiceNow-Ticket zuweisen

  1. Rufen Sie den Tab Übersicht der Anfrage auf und klicken Sie auf Manuelle Aktion.
  2. Geben Sie in das Feld Suchen der manuellen Maßnahme ServiceNow ein.
  3. Wählen Sie in den Suchergebnissen unter der Integration von ServiceNow das Symbol Update Record (Eintrag aktualisieren) ausgewählt werden. Das Dialogfeld mit den Aktionen wird geöffnet.
  4. Geben Sie den folgenden Wert ein, um den Parameter Table Name zu konfigurieren: u_scc_enterprise_cloud_posture_ticket

  5. Geben Sie den folgenden Code ein, um den Parameter Object Json Data zu konfigurieren:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    Verwenden Sie im Code den Wert sys_id, den Sie im vorherigen Schritt abgerufen haben .

  6. Geben Sie den folgenden Platzhalter ein, um den Parameter Record Sys ID zu konfigurieren: [Case.Ticket_ID]

    Der Platzhalter ruft dynamisch die ServiceNow-Ticket-ID ab. für den ausgewählten Fall.

    Alternativ können Sie für den Parameter Record Sys ID eine Ticket-ID (Fallübersicht > Widget Ticketinformationen) > Ticket-ID).

  7. Klicken Sie auf Ausführen.

Nächste Schritte

Weitere Informationen zum Gruppieren von Ergebnissen in Supportanfragen

Ergebnisse in Security Command Center ausblenden

Ergebnisse in Fällen ausblenden