Attribuer des demandes d'assistance en fonction de scénarios de stratégie

Cette page décrit le mécanisme d'attribution automatique des demandes dans Security Command Center Enterprise et explique comment attribuer ou réattribuer manuellement les tickets à l'aide de la console Security Operations.

L'ingestion des résultats, la création de cas, le regroupement des résultats, ainsi que la création et l'attribution de demandes sont assurées par Google SecOps.

Présentation

La personne responsable d'un ticket est chargée de traiter et de corriger les failles. La demande d'assistance est attribuée automatiquement à la personne responsable concernée en fonction de la valeur du propriétaire de la ressource héritée par le résultat via la hiérarchie des ressources Google Cloud ou de la valeur configurée dans le paramètre Propriétaire de remplacement du connecteur.

Attribuer des billets automatiquement

Le flux automatique par défaut d'attribution d'un ticket comprend les étapes suivantes:

1. Déterminer le propriétaire des ressources d'un résultat.

2. Création de cas et regroupement de résultats associés

3. Créer et attribuer des demandes en fonction des demandes

Déterminer le propriétaire des ressources

Lors de l'ingestion et du regroupement des résultats dans des demandes, le connecteur SCC Enterprise - Urgent Posture Findings Connector analyse tous les résultats pour les valeurs du propriétaire de la ressource et du propriétaire de remplacement. La valeur du propriétaire de remplacement configurée dans le paramètre du connecteur Propriétaire de remplacement est la dernière option permettant de garantir qu'un résultat personnalisé est attribué à la bonne personne en vue d'une correction en cas d'échec de toutes les autres options prioritaires.

Pour en savoir plus sur la définition du propriétaire des ressources dans Security Command Center Enterprise, consultez la section Déterminer la propriété des résultats de stratégie.

Créer des demandes et regrouper les résultats

Une fois que le connecteur a ingéré un résultat, Security Command Center le transfère vers un nouveau cas s'il s'agit du premier résultat d'un genre, ou vers un cas existant si les paramètres du résultat sont conformes à un mécanisme de regroupement. Dans un cas, le résultat devient un événement sur lequel l'alerte est basée. Une alerte est essentiellement un conteneur de résultats qui comprend toutes les informations sur un résultat.

Pour en savoir plus sur la façon dont les résultats sont regroupés en cas, consultez la section Regrouper les résultats par cas.

Créer et attribuer des tickets

La création d'une demande entraîne la création automatique d'une demande dans un système de tickets intégré. Toutes les informations contenues dans une demande sont synchronisées de manière bidirectionnelle avec un ticket correspondant. Cela signifie que chaque fois qu'il y a une mise à jour dans une demande, comme un nouveau résultat, un nouveau commentaire ou un changement d'état, la même mise à jour apparaît dans la demande et inversement.

Security Command Center Enterprise attribue automatiquement la demande créée au propriétaire des ressources des résultats regroupés dans une demande. Tous les résultats d'une demande ont le même propriétaire de ressources.

Attribuer des billets manuellement

Lorsque vous attribuez des tickets manuellement, vous devez exécuter des actions manuelles.

Attribuer des problèmes Jira dans les demandes

Pour attribuer manuellement un problème Jira à une demande, procédez comme suit:

1. Dans la console Opérations de sécurité, accédez à Demandes.
2. Sélectionnez une demande liée à la demande ITSM.
3. Dans l'onglet Case Overview (Présentation de la demande), cliquez sur Manual Action (Action manuelle).
4. Dans le champ Rechercher de l'action manuelle, saisissez Jira.
5. Dans les résultats de recherche, sous l'intégration de Jira, sélectionnez l'action Assign Issue (Attribuer un problème). La boîte de dialogue d'action s'ouvre.

6. Pour configurer le paramètre Issue Key (Clé du problème), saisissez l'espace réservé suivant : [Case.Ticket_ID]

   L'espace réservé récupère dynamiquement l'ID de problème Jira correspondant à la demande sélectionnée.

   1. Pour configurer le paramètre Issue Key (Clé d'émission) pour un problème spécifique, saisissez l'ID du problème Jira au format suivant : SCCE-NUMBER

   Vous trouverez l'ID du problème dans l'URL du problème Jira:

   https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID
   

7. Pour configurer le paramètre Assignee, saisissez l'adresse e-mail du responsable des demandes Jira.

   Vous pouvez également saisir le nom du responsable du ticket tel qu'il apparaît dans Jira. Cette action accepte l'utilisation de noms d'utilisateur ou de noms affichés.

8. Cliquez sur Exécuter.

Attribuer des tickets ServiceNow dans les cas

Pour attribuer manuellement une demande ServiceNow à une demande, procédez comme suit:

1. Récupérez la valeur sys_id pour obtenir l'ID de la personne responsable ServiceNow.
2. Attribuez la demande ServiceNow.

Récupérer la valeur sys_id

1. Dans la console Opérations de sécurité, accédez à Demandes.
2. Sélectionnez une demande liée à la demande ServiceNow.
3. Dans l'onglet Case Overview (Présentation de la demande), cliquez sur Manual Action (Action manuelle).
4. Dans le champ Rechercher de l'action manuelle, saisissez ServiceNow.
5. Dans les résultats de recherche, sous l'intégration ServiceNow, sélectionnez l'action Obtenir les informations sur l'utilisateur. La boîte de dialogue d'action s'ouvre.
6. Pour configurer le champ de paramètre E-mails, saisissez l'adresse e-mail du responsable de la demande d'assistance ServiceNow.
7. Cliquez sur Exécuter. Attendez que l'action soit exécutée.
8. Accédez à Case Wall (Écran de demande) et cliquez sur Refresh Case (Actualiser la demande).
9. Dans l'enregistrement de données ServiceNow_Get User Details, cliquez sur Afficher plus.
10. Dans la section Résultat JSON, recherchez la clé sys_id et enregistrez sa valeur pour l'utiliser dans la section suivante.

Attribuer la demande ServiceNow

1. Accédez à l'onglet Case Overview (Présentation de la demande) et cliquez sur Manual Action (Action manuelle).
2. Dans le champ Rechercher de l'action manuelle, saisissez ServiceNow.
3. Dans les résultats de recherche, sous l'intégration ServiceNow, sélectionnez l'action Update Record (Mettre à jour l'enregistrement). La boîte de dialogue d'action s'ouvre.
4. Pour configurer le paramètre Table Name (Nom de la table), saisissez la valeur suivante : u_scc_enterprise_cloud_posture_ticket

5. Pour configurer le paramètre Object Json Data (Données JSON de l'objet), saisissez le code suivant:

   {
     "u_assigned_to": "SYS_ID_VALUE"
   }
   

   Dans le code, utilisez la valeur sys_id que vous avez récupérée à la section précédente.

6. Pour configurer le paramètre Record Sys ID (ID système d'enregistrement), saisissez l'espace réservé suivant : [Case.Ticket_ID]

   L'espace réservé récupère dynamiquement l'ID de la demande ServiceNow correspondant à la demande sélectionnée.

   Pour le paramètre Record Sys ID (ID système d'enregistrement), vous pouvez également fournir un ID de demande (Case Overview > Ticket Information > Ticket ID (Présentation de la demande > Widget Informations de demande > ID de demande)).

7. Cliquez sur Exécuter.

Étape suivante

Découvrez comment regrouper les résultats dans des cas.

Découvrez comment ignorer des résultats dans Security Command Center.

Découvrez comment ignorer des résultats dans des demandes.