Halaman ini mendokumentasikan mekanisme penetapan tiket otomatis di Security Command Center Enterprise dan menjelaskan cara menetapkan atau menetapkan ulang tiket secara manual menggunakan konsol Security Operations.
Proses menyerap temuan, membuat kasus, mengelompokkan temuan, serta membuat dan menetapkan tiket didukung oleh Chronicle SecOps.
Ringkasan
Penerima tiket adalah orang yang bertanggung jawab untuk mengatasi dan memperbaiki kerentanan. Tiket ini ditetapkan kepada setiap penerima tugas secara otomatis berdasarkan nilai pemilik resource yang diwarisi oleh temuan melalui hierarki resource Google Cloud atau nilai yang dikonfigurasi dalam parameter Pemilik Penggantian konektor.
Menetapkan tiket secara otomatis
Alur otomatis default untuk menetapkan tiket terdiri dari langkah-langkah berikut:
Menentukan pemilik resource suatu temuan.
Membuat kasus dan mengelompokkan temuan terkait ke dalamnya.
Membuat dan menetapkan tiket berdasarkan kasus.
Menentukan pemilik resource
Saat menyerap dan mengelompokkan temuan ke dalam kasus, SCC Enterprise - Urgent Posture Findings Connector menganalisis setiap temuan untuk nilai pemilik resource dan pemilik penggantian. Nilai pemilik penggantian yang dikonfigurasi di parameter konektor Pemilik Penggantian adalah opsi terakhir untuk memastikan bahwa temuan kustom ditetapkan ke orang yang tepat untuk perbaikan jika semua opsi yang diprioritaskan lainnya gagal.
Untuk informasi selengkapnya tentang menentukan pemilik resource di Security Command Center Enterprise, lihat Menentukan kepemilikan untuk temuan postur.
Membuat kasus dan mengelompokkan temuan
Setelah konektor menyerap temuan, Security Command Center meneruskan temuan tersebut ke kasus baru jika temuan tersebut merupakan yang pertama, atau kasus yang sudah ada jika parameter temuan mematuhi mekanisme pengelompokan. Dalam kasus, temuan tersebut menjadi peristiwa yang menjadi dasar notifikasi. Pada dasarnya, notifikasi adalah penampung temuan yang menyertakan semua informasi tentang temuan.
Untuk mempelajari lebih lanjut cara pengelompokan temuan ke dalam kasus, lihat Mengelompokkan temuan dalam kasus.
Membuat dan menetapkan tiket
Membuat kasus akan otomatis membuat tiket dalam sistem tiket terintegrasi. Semua informasi yang terdapat dalam kasus disinkronkan secara dua arah dengan tiket yang sesuai, artinya setiap kali ada pembaruan dalam kasus seperti temuan baru, komentar baru, atau perubahan status, pembaruan yang sama akan muncul di tiket, begitu juga sebaliknya.
Security Command Center Enterprise secara otomatis menetapkan tiket yang dibuat kepada pemilik resource temuan yang dikelompokkan dalam sebuah kasus. Semua temuan dalam sebuah kasus memiliki pemilik sumber daya yang sama.
Tetapkan tiket secara manual
Menetapkan tiket secara manual mengharuskan Anda menjalankan tindakan manual pada berbagai kasus.
Menetapkan masalah Jira dalam kasus
Untuk menetapkan masalah Jira secara manual dalam suatu kasus, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Cases.
- Pilih kasus yang terkait dengan tiket ITSM.
- Di tab Ringkasan Kasus, klik Tindakan Manual.
- Di kolom Search, masukkan
Jira
. - Pada hasil penelusuran di bagian integrasi Jira, pilih tindakan Assign Issue. Jendela dialog tindakan akan terbuka.
Untuk mengonfigurasi parameter Kunci Masalah, masukkan placeholder berikut:
[Case.Ticket_ID]
Placeholder secara dinamis mengambil ID masalah Jira yang sesuai dengan kasus yang dipilih.
- Untuk mengonfigurasi parameter Issue Key untuk masalah tertentu, masukkan
ID masalah Jira dalam format berikut:
SCCE-NUMBER
Anda dapat menemukan ID masalah di URL masalah Jira:
https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID
- Untuk mengonfigurasi parameter Issue Key untuk masalah tertentu, masukkan
ID masalah Jira dalam format berikut:
Untuk mengonfigurasi parameter Penerima, masukkan alamat email penerima tiket Jira.
Atau, Anda dapat memasukkan nama penerima tiket seperti yang ditampilkan di Jira. Tindakan ini mendukung penggunaan nama pengguna atau nama yang ditampilkan.
Klik Jalankan.
Menetapkan tiket ServiceNow dalam kasus
Untuk menetapkan tiket ServiceNow secara manual dalam suatu kasus, selesaikan langkah-langkah berikut:
- Ambil nilai
sys_id
untuk mendapatkan ID penerima tugas ServiceNow. - Tetapkan tiket ServiceNow.
Ambil nilai sys_id
- Di konsol Security Operations, buka Cases.
- Pilih kasus yang terkait dengan tiket ServiceNow.
- Di tab Ringkasan Kasus, klik Tindakan Manual.
- Di kolom Search, masukkan
ServiceNow
. - Pada hasil penelusuran di bagian integrasi ServiceNow, pilih tindakan Get User Details. Jendela dialog tindakan akan terbuka.
- Untuk mengonfigurasi kolom parameter Emails, masukkan alamat email penerima tiket ServiceNow.
- Klik Jalankan. Tunggu hingga tindakan dieksekusi.
- Buka Case Wall, lalu klik Refresh Case.
- Di data data ServiceNow_Get User Details, klik View more.
- Di bagian Hasil JSON, temukan kunci
sys_id
dan simpan nilainya untuk digunakan di bagian berikut.
Menetapkan tiket ServiceNow
- Buka tab Ringkasan Kasus, lalu klik Tindakan Manual.
- Di kolom Search, masukkan
ServiceNow
. - Di hasil penelusuran di bagian integrasi ServiceNow, pilih tindakan Update Record. Jendela dialog tindakan akan terbuka.
- Untuk mengonfigurasi parameter Table Name, masukkan nilai berikut:
u_scc_enterprise_cloud_posture_ticket
Untuk mengonfigurasi parameter Object Json Data, masukkan kode berikut:
{ "u_assigned_to": "SYS_ID_VALUE" }
Dalam kode, gunakan nilai
sys_id
yang Anda ambil di bagian sebelumnya.Untuk mengonfigurasi parameter Record Sys ID, masukkan placeholder berikut:
[Case.Ticket_ID]
Placeholder secara dinamis mengambil ID tiket ServiceNow yang sesuai dengan kasus yang dipilih.
Atau, untuk parameter Record Sys ID, Anda dapat memberikan ID Tiket (Case Overview > widget Ticket Information > Ticket ID).
Klik Jalankan.
Apa langkah selanjutnya?
Pelajari cara mengelompokkan temuan dalam kasus.
Pelajari cara menonaktifkan temuan di Security Command Center.
Pelajari cara membisukan temuan dalam kasus tertentu.