Assegna i ticket in base ai casi di postura

Questa pagina documenta il meccanismo di assegnazione automatica di ticket in Security Command Center Enterprise e spiega come assegnare o riassegnare manualmente utilizzando la Security Operations Console.

Panoramica

L'assegnatario del ticket è la persona che si occupa di risolvere i problemi relativi a le vulnerabilità. Il ticket viene assegnato automaticamente al rispettivo assegnatario in base al valore del proprietario della risorsa ereditato dal rilevamento tramite la gerarchia delle risorse di Google Cloud o al valore configurato nel parametro Proprietario alternativo del connettore.

Assegnare automaticamente i ticket

Il flusso automatico predefinito per l'assegnazione di un ticket è costituito dai seguenti passaggi:

  1. Determinare il proprietario della risorsa di un risultato.

  2. Creare casi e raggruppare i risultati correlati al loro interno.

  3. Creazione e assegnazione dei ticket in base ai casi.

Determinazione del proprietario della risorsa

Durante l'importazione e il raggruppamento dei risultati in casi, il connettore SCC Enterprise - Urgent Posture Findings analizza ogni risultato per i valori del proprietario della risorsa e del proprietario di riserva. Il valore del proprietario di riserva configurato nel parametro del connettore Proprietario di riserva è l'opzione finale per garantire che un rilevamento personalizzato venga assegnato a una persona corretta per la correzione quando tutte le altre opzioni con priorità non sono riuscite.

Per ulteriori informazioni sulla definizione del proprietario della risorsa in Security Command Center Enterprise, consulta Determinare la proprietà per i risultati relativi alla posizione.

Creazione di richieste e raggruppamento dei risultati

Dopo che il connettore ha importato un risultato, Security Command Center inoltra il risultato a un nuovo caso se è il primo di un tipo, se i parametri dei risultati sono conformi a un meccanismo di raggruppamento. In un caso, il rilevamento diventa un evento su cui si basa l'avviso. In pratica, un avviso è un contenitore dei risultati che include tutte le informazioni relative a un risultato.

Per scoprire di più su come i risultati vengono raggruppati in casi, consulta Raggruppare i risultati in di assistenza.

Creazione e assegnazione dei ticket

La creazione di una richiesta genera automaticamente un ticket in un sistema di ticketing integrato. Tutte le informazioni contenute in una richiesta vengono sincronizzate in modo bidirezionale con un ticket corrispondente, il che significa che ogni volta che viene visualizzato un aggiornamento in una richiesta, ad esempio un nuovo riscontro, un nuovo commento o una modifica dello stato, lo stesso aggiornamento viene visualizzato nel ticket e viceversa.

Security Command Center Enterprise assegna automaticamente il ticket creato a il proprietario della risorsa dei risultati raggruppati in una richiesta. Tutti i risultati di una richiesta hanno lo stesso proprietario della risorsa.

Assegna i biglietti manualmente

L'assegnazione manuale dei ticket richiede l'esecuzione di azioni manuali sulle richieste.

Assegna i problemi Jira nei casi

Per assegnare manualmente un problema Jira in una richiesta, svolgi i seguenti passaggi:

  1. Nella Security Operations Console, vai a Richieste.
  2. Seleziona una richiesta relativa al ticket ITSM.
  3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
  4. Nel campo dell'azione manuale Cerca, inserisci Jira.
  5. Nei risultati di ricerca dell'integrazione Jira, seleziona l'azione Assegna problema. Si apre la finestra di dialogo delle azioni.

  6. Per configurare il parametro Issue Key (Generare chiave), inserisci il seguente segnaposto: [Case.Ticket_ID]

    Il segnaposto recupera in modo dinamico l'ID problema Jira corrispondente alla caso selezionato.

    1. Per configurare il parametro Issue Key (Chiave problema) per un problema specifico, inserisci il ID problema Jira nel seguente formato: SCCE-NUMBER

    Puoi trovare l'ID problema nell'URL del problema Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Per configurare il parametro Assignee, inserisci l'indirizzo email dell'assegnatario del ticket Jira.

    In alternativa, puoi inserire il nome dell'assegnatario del ticket così come visualizzato in Jira. L'azione supporta l'utilizzo di nomi utente o nomi visualizzati i nomi degli utenti.

  8. Fai clic su Execute (Esegui).

Assegna ticket ServiceNow nelle richieste

Per assegnare manualmente un ticket ServiceNow in una richiesta, completa la seguenti passaggi:

  1. Recupera il valore sys_id per ottenere l'ID assegnatario di ServiceNow.
  2. Assegna il ticket ServiceNow.

Recupera il valore sys_id

  1. Nella Security Operations Console, vai a Richieste.
  2. Seleziona una richiesta relativa al ticket ServiceNow.
  3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
  4. Nel campo Ricerca dell'azione manuale, inserisci ServiceNow.
  5. Nei risultati di ricerca dell'integrazione ServiceNow, seleziona l'azione Ottieni dettagli utente. Si apre la finestra di dialogo delle azioni.
  6. Per configurare il campo del parametro Email, inserisci l'indirizzo email del Assegnatario di ticket ServiceNow.
  7. Fai clic su Execute (Esegui). Attendi l'esecuzione dell'azione.
  8. Vai alla bacheca richieste e fai clic su Aggiorna richiesta.
  9. Nel record di dati ServiceNow_Get User Details (Dettagli utente), fai clic su Visualizza altro.
  10. Nella sezione Risultato JSON, trova la chiave sys_id e salva il relativo valore per utilizzarlo nella sezione seguente.

Assegna il ticket ServiceNow

  1. Vai alla scheda Panoramica della richiesta e fai clic su Azione manuale.
  2. Nel campo dell'azione manuale Cerca, inserisci ServiceNow.
  3. Nei risultati di ricerca sotto l'integrazione di ServiceNow, seleziona il valore Update Record (Aggiorna record). Si apre la finestra di dialogo delle azioni.
  4. Per configurare il parametro Nome tabella, inserisci il seguente valore: u_scc_enterprise_cloud_posture_ticket

  5. Per configurare il parametro Object Json Data, inserisci il codice seguente:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    Nel codice, utilizza il valore sys_id recuperato nella precedente .

  6. Per configurare il parametro Record Sys ID, inserisci il seguente segnaposto: [Case.Ticket_ID]

    Il segnaposto recupera dinamicamente l'ID ticket ServiceNow corrispondente alla richiesta selezionata.

    In alternativa, per il parametro Record Sys ID puoi fornire un ID biglietto (Panoramica richiesta > widget Informazioni biglietto > ID biglietto).

  7. Fai clic su Execute (Esegui).

Passaggi successivi

Scopri come raggruppare i risultati nelle richieste.

Scopri come disattivare i risultati in Security Command Center.

Scopri come disattivare i risultati nelle richieste.