Asignar incidencias en función de los casos de postura

Enterprise

En esta página se describe el mecanismo de asignación automática de incidencias en Security Command Center Enterprise y se explica cómo asignar o reasignar incidencias manualmente mediante la consola de operaciones de seguridad.

Información general

El asignado de una incidencia es la persona responsable de abordar y solucionar las vulnerabilidades. La incidencia se asigna automáticamente al asignatario correspondiente en función del valor del propietario del recurso que hereda la detección a través de laGoogle Cloud jerarquía de recursos o del valor configurado en el parámetro Propietario alternativo del conector.

Asignar incidencias automáticamente

El flujo automático predeterminado para asignar una incidencia consta de los siguientes pasos:

  1. Determinar el propietario del recurso de un resultado.

  2. Crear casos y agrupar en ellos los resultados relacionados.

  3. Crear y asignar incidencias a partir de casos.

Determinar el propietario del recurso

Al ingerir y agrupar resultados en casos, el SCC Enterprise - Urgent Posture Findings Connector analiza cada resultado para obtener los valores del propietario del recurso y del propietario alternativo. El valor de propietario alternativo configurado en el parámetro de conector Propietario alternativo es la última opción para asegurarse de que se asigne un resultado personalizado a la persona adecuada para que lo corrija cuando fallen todas las demás opciones prioritarias.

Para obtener más información sobre cómo definir el propietario de un recurso en Security Command Center Enterprise, consulta el artículo Determinar la propiedad de las detecciones de postura.

Crear casos y agrupar resultados

Una vez que el conector ha ingerido un hallazgo, Security Command Center lo reenvía a un caso nuevo si es el primero de su clase o a un caso ya abierto si los parámetros del hallazgo cumplen un mecanismo de agrupación. En un caso, la detección se convierte en un evento en el que se basa la alerta. Básicamente, una alerta es un contenedor de resultados que incluye toda la información sobre un resultado.

Para obtener más información sobre cómo se agrupan las detecciones en casos, consulte Agrupar detecciones en casos.

Crear y asignar incidencias

Al crear un caso, se crea automáticamente una incidencia en un sistema de incidencias integrado. Toda la información contenida en un caso se sincroniza bidireccionalmente con un ticket correspondiente, lo que significa que cada vez que se actualiza un caso (por ejemplo, si se detecta un nuevo problema, se añade un comentario o se cambia el estado), la misma actualización aparece en el ticket y viceversa.

Security Command Center Enterprise asigna automáticamente el ticket creado al propietario del recurso de los hallazgos agrupados en un caso. Todos los resultados de un caso tienen el mismo propietario del recurso.

Asignar incidencias manualmente

Para asignar manualmente las incidencias, debes realizar acciones manuales en los casos.

Asignar incidencias de Jira en casos

Para asignar manualmente un problema de Jira a un caso, sigue estos pasos:

  1. En la Google Cloud consola, ve a Riesgo > Casos.
  2. Selecciona un caso relacionado con la incidencia de gestión de servicios de TI.
  3. En la pestaña Resumen del caso, haga clic en Acción manual.
  4. En el campo de acción manual Buscar, introduce Jira.
  5. En los resultados de búsqueda de la integración de Jira, selecciona la acción Asignar tarea. Se abrirá la ventana del cuadro de diálogo de acción.

  6. Para configurar el parámetro Issue Key, introduce el siguiente marcador de posición: [Case.Ticket_ID]

    El marcador de posición obtiene de forma dinámica el ID del problema de Jira correspondiente al caso seleccionado.

    1. Para configurar el parámetro Issue Key de un problema específico, introduce el ID del problema de Jira con el siguiente formato: SCCE-NUMBER

    Puedes encontrar el ID del problema en la URL del problema de Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Para configurar el parámetro Assignee, introduce la dirección de correo del usuario asignado del ticket de Jira.

    También puedes introducir el nombre del asignado del ticket tal como se muestra en Jira. La acción admite nombres de usuario o nombres visibles.

  8. Haz clic en la opción para ejecutar.

Asignar incidencias de ServiceNow en casos

Para asignar manualmente una incidencia de ServiceNow a un caso, sigue estos pasos:

  1. Recupera el valor de sys_id para obtener el ID del asignatario de ServiceNow.
  2. Asigna la incidencia de ServiceNow.

Recupera el valor de sys_id.

  1. En la Google Cloud consola, ve a Riesgo > Casos.
  2. Selecciona un caso relacionado con la incidencia de ServiceNow.
  3. En la pestaña Resumen del caso, haga clic en Acción manual.
  4. En el campo de acción manual Buscar, introduce ServiceNow.
  5. En los resultados de búsqueda, selecciona la acción Obtener detalles del usuario. Se abrirá la ventana del cuadro de diálogo de acción.
  6. Para configurar el campo de parámetro Emails, introduce la dirección de correo del responsable de la incidencia de ServiceNow.
  7. Haz clic en la opción para ejecutar. Espera a que se ejecute la acción.
  8. Ve al Panel de casos y haz clic en Actualizar caso.
  9. En el registro de datos ServiceNow_Get User Details, haz clic en Ver más.
  10. En la sección Resultado JSON, busca la clave sys_id y guarda su valor para usarlo en la siguiente sección.

Asignar la incidencia de ServiceNow

  1. Ve a la pestaña Resumen del caso y haz clic en Acción manual.
  2. En el campo de acción manual Buscar, introduce ServiceNow.
  3. En los resultados de búsqueda de la integración de ServiceNow, selecciona la acción Actualizar registro. Se abrirá la ventana del cuadro de diálogo de acción.
  4. Para configurar el parámetro Nombre de tabla, introduzca el siguiente valor: u_scc_enterprise_cloud_posture_ticket

  5. Para configurar el parámetro Object Json Data, introduce el siguiente código:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    En el código, use el valor sys_id que ha obtenido en la sección anterior.

  6. Para configurar el parámetro Record Sys ID, introduce el siguiente marcador de posición: [Case.Ticket_ID]

    El marcador de posición obtiene de forma dinámica el ID de incidencia de ServiceNow correspondiente al caso seleccionado.

    También puede proporcionar un ID de incidencia (Resumen de la incidencia > widget Información de la incidencia > ID de incidencia) en el parámetro Record Sys ID.

  7. Haz clic en la opción para ejecutar.

Siguientes pasos

Consulta cómo puedes agrupar resultados en casos.

Consulta cómo silenciar resultados en Security Command Center.

Consulta cómo puedes silenciar resultados en casos.