Attribuer des demandes en fonction des cas de conformité

Cette page décrit le mécanisme d'attribution automatique des tickets dans Security Command Center Enterprise et explique comment attribuer ou réattribuer manuellement via la console Opérations de sécurité.

Présentation

La personne à qui le ticket est attribué est chargée de résoudre et de corriger les failles. La demande est automatiquement attribuée à l'agent responsable en fonction de la valeur du propriétaire de la ressource héritée de la découverte via la hiérarchie des ressources Google Cloud ou de la valeur configurée dans le paramètre Propriétaire de remplacement du connecteur.

Attribuer automatiquement des demandes

Le flux automatique par défaut pour l'attribution d'un ticket se compose des étapes suivantes :

  1. Déterminer le propriétaire de la ressource d'un résultat

  2. Créer des cas et y regrouper les résultats associés

  3. Créer et attribuer des demandes en fonction des demandes

Déterminer le propriétaire de la ressource

Lors de l'ingestion et du regroupement des résultats par cas, la SCC Enterprise – Urgent Posture Findings Connector analyse chaque résultat pour le les valeurs de propriétaire de la ressource et de propriétaire de remplacement. La valeur du propriétaire de remplacement configurée dans le paramètre du connecteur Propriétaire de remplacement est la dernière option permettant de s'assurer qu'une anomalie personnalisée est attribuée à la bonne personne pour être corrigée lorsque toutes les autres options prioritaires ont échoué.

Pour en savoir plus sur la définition du propriétaire de la ressource dans Security Command Center Enterprise, consultez Déterminer la propriété des résultats d'évaluation de la posture.

Créer des cas et regrouper les résultats

Une fois que le connecteur a ingéré un résultat, Security Command Center transfère le résultat vers un nouveau cas s'il s'agit d'un résultat unique en son genre ou cas existant si les paramètres de résultat respectent un mécanisme de regroupement. Dans un cas, la découverte devient un événement sur lequel l'alerte est basée. Une alerte est essentiellement un conteneur de résultats qui inclut toutes les informations les concernant.

Pour en savoir plus sur le regroupement des résultats par cas, consultez Regrouper les résultats dans cas d'utilisation.

Créer et attribuer des demandes

La création d'une demande crée automatiquement une demande dans un système de gestion des demandes intégré. Toutes les informations contenues dans une demande sont synchronisées de manière bidirectionnelle avec la demande correspondante. Cela signifie que chaque fois qu'une demande est mise à jour (par exemple, en cas de nouvelle observation, de nouveau commentaire ou de changement d'état), la même mise à jour apparaît dans la demande et inversement.

Security Command Center Enterprise attribue automatiquement la demande créée au propriétaire de la ressource des résultats regroupés dans une demande. Tous les résultats d'un ticket ont le même propriétaire de ressources.

Attribuer des billets manuellement

Si vous attribuez manuellement des demandes, vous devez effectuer des actions manuelles sur les demandes.

Attribuer des problèmes Jira dans des demandes

Pour attribuer manuellement un problème Jira à une demande, procédez comme suit:

  1. Dans la console Security Operations, accédez à Demandes.
  2. Sélectionnez une demande associée à la demande ITSM.
  3. Dans l'onglet Vue d'ensemble de la demande, cliquez sur Action manuelle.
  4. Dans le champ de l'action manuelle Rechercher, saisissez Jira.
  5. Dans les résultats de recherche sous l'intégration Jira, sélectionnez l'action Attribuer un problème. La boîte de dialogue d'action s'ouvre.

  6. Pour configurer le paramètre Issue Key (Clé d'émission), saisissez l'espace réservé suivant: [Case.Ticket_ID]

    L'espace réservé récupère dynamiquement l'ID de problème Jira correspondant à la demande sélectionnée.

    1. Pour configurer le paramètre Issue Key (Clé du problème) pour un problème spécifique, saisissez le ID du problème Jira au format suivant: SCCE-NUMBER

    Vous trouverez l'ID du problème dans l'URL du problème Jira :

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Pour configurer le paramètre Assignee (Personne responsable), saisissez l'adresse e-mail du responsable du ticket.

    Vous pouvez également saisir le nom de la personne responsable de la demande d'assistance affiché dans Jira. L'action permet d'utiliser des noms d'utilisateur ou des noms à afficher.

  8. Cliquez sur Exécuter.

Attribuer des tickets ServiceNow dans les cas

Pour attribuer manuellement un ticket ServiceNow dans une demande, effectuez la en suivant les étapes ci-dessous:

  1. Récupérez la valeur sys_id pour obtenir l'ID de la personne responsable de ServiceNow.
  2. Attribuez la demande ServiceNow.

Récupérez la valeur sys_id

  1. Dans la console Opérations de sécurité, accédez à Demandes.
  2. Sélectionnez une demande liée à la demande ServiceNow.
  3. Dans l'onglet Vue d'ensemble de la demande, cliquez sur Action manuelle.
  4. Dans le champ de l'action manuelle Rechercher, saisissez ServiceNow.
  5. Dans les résultats de recherche, sous l'intégration ServiceNow, sélectionnez l'action Obtenir les informations utilisateur. La boîte de dialogue d'action s'ouvre.
  6. Pour configurer le champ de paramètre E-mails, saisissez l'adresse e-mail du Personne responsable de la demande d'assistance ServiceNow.
  7. Cliquez sur Exécuter. Attendez que l'action soit exécutée.
  8. Accédez à Case Wall (Mur des cas), puis cliquez sur Refresh Case (Actualiser le cas).
  9. Dans l'enregistrement de données ServiceNow_Get User Details, cliquez sur Afficher plus.
  10. Dans la section Résultat JSON, recherchez la clé sys_id et enregistrez sa valeur. pour l'utiliser dans la section suivante.

Attribuer la demande ServiceNow

  1. Accédez à l'onglet Vue d'ensemble de la demande, puis cliquez sur Action manuelle.
  2. Dans le champ Rechercher de l'action manuelle, saisissez ServiceNow.
  3. Dans les résultats de recherche, sous l'intégration ServiceNow, sélectionnez Update Record (Mettre à jour l'enregistrement). La boîte de dialogue d'action s'ouvre.
  4. Pour configurer le paramètre Nom de la table, saisissez la valeur suivante : u_scc_enterprise_cloud_posture_ticket

  5. Pour configurer le paramètre Données JSON de l'objet, saisissez le code suivant:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    Dans le code, utilisez la valeur sys_id que vous avez récupérée à l'étape précédente .

  6. Pour configurer le paramètre Record Sys ID (ID système de l'enregistrement), saisissez l'espace réservé suivant: [Case.Ticket_ID]

    L'espace réservé récupère dynamiquement l'ID de demande ServiceNow correspondant à la demande sélectionnée.

    Vous pouvez également fournir un ID de demande pour le paramètre Record Sys ID (Présentation de la demande > widget Informations sur la demande > ID de demande).

  7. Cliquez sur Exécuter.

Étape suivante

Découvrez comment grouper les résultats dans des demandes.

Découvrez comment ignorer les résultats dans Security Command Center.

Découvrez comment ignorer des résultats dans les demandes.