Assegna biglietti in base ai casi di postura

Questa pagina documenta il meccanismo dell'assegnazione automatica di ticket in Security Command Center Enterprise e spiega come assegnare o riassegnare manualmente i ticket utilizzando la console operativa di sicurezza.

L'importazione dei risultati, la creazione di richieste, il raggruppamento dei risultati, nonché la creazione e l'assegnazione dei ticket si basano su Google SecOps.

Panoramica

L'assegnatario di un biglietto è una persona responsabile di risolvere le vulnerabilità. Il ticket viene assegnato automaticamente al rispettivo assegnatario in base al valore del proprietario della risorsa ereditato dal risultato tramite la gerarchia delle risorse di Google Cloud o al valore configurato nel parametro Proprietario di riserva del connettore.

Assegna automaticamente i biglietti

Il flusso automatico predefinito per l'assegnazione di un ticket prevede i seguenti passaggi:

  1. Determinare il proprietario della risorsa di un risultato.

  2. Creazione di richieste e raggruppamento dei risultati correlati al loro interno.

  3. Creazione e assegnazione di ticket in base ai casi.

Determinazione del proprietario della risorsa

Durante l'importazione e il raggruppamento dei risultati in casi, il connettore SCC Enterprise - Urgent Posture Findings analizza ogni risultato per i valori del proprietario della risorsa e del proprietario di riserva. Il valore del proprietario di riserva configurato nel parametro del connettore Proprietario di riserva è l'ultima opzione per garantire che un risultato personalizzato venga assegnato alla persona corretta per la correzione quando tutte le altre opzioni prioritarie non sono riuscite.

Per saperne di più sulla definizione del proprietario della risorsa in Security Command Center Enterprise, consulta Determinare la proprietà per i risultati relativi alla postura.

Creazione di casi e raggruppamento dei risultati

Dopo che il connettore ha importato un risultato, Security Command Center inoltra il risultato a un nuovo caso se il risultato è il primo di un tipo o una richiesta esistente se i parametri del risultato sono conformi a un meccanismo di raggruppamento. In un caso, il risultato diventa un evento su cui si basa l'avviso. In pratica, un avviso è un contenitore di risultati che include tutte le informazioni su un risultato.

Per scoprire di più su come i risultati vengono raggruppati in casi, consulta Raggruppare i risultati in casi.

Creazione e assegnazione di ticket

La creazione di una richiesta crea automaticamente un ticket in un sistema di gestione di ticket integrato. Tutte le informazioni contenute in una richiesta vengono sincronizzate in modo bidirezionale con il ticket corrispondente, il che significa che ogni volta che viene aggiornato un caso come un nuovo risultato, un nuovo commento o una modifica dello stato, lo stesso aggiornamento viene visualizzato nel ticket e viceversa.

Security Command Center Enterprise assegna automaticamente il ticket creato al proprietario della risorsa dei risultati raggruppati in una richiesta. Tutti i risultati di una richiesta hanno lo stesso proprietario della risorsa.

Assegna manualmente i biglietti

L'assegnazione manuale di ticket richiede l'esecuzione di azioni manuali sulle richieste.

Assegnare problemi Jira nelle richieste

Per assegnare manualmente un problema Jira in una richiesta, completa i seguenti passaggi:

  1. Nella console operativa di sicurezza, vai a Richieste.
  2. Seleziona una richiesta relativa al ticket ITSM.
  3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
  4. Nel campo dell'azione manuale Cerca, inserisci Jira.
  5. Nei risultati di ricerca sotto l'integrazione di Jira, seleziona l'azione Assegna problema. Si apre la finestra di dialogo delle azioni.

  6. Per configurare il parametro Chiave problema, inserisci il seguente segnaposto: [Case.Ticket_ID]

    Il segnaposto recupera in modo dinamico l'ID problema Jira corrispondente al caso selezionato.

    1. Per configurare il parametro Chiave problema per un problema specifico, inserisci l'ID problema Jira nel seguente formato: SCCE-NUMBER

    Puoi trovare l'ID problema nell'URL del problema Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Per configurare il parametro Assignee (Assegnatario), inserisci l'indirizzo email dell'assegnatario del ticket Jira.

    In alternativa, puoi inserire il nome dell'assegnatario del biglietto, così come visualizzato in Jira. L'azione supporta l'uso di nomi utente o nomi visualizzati.

  8. Fai clic su Execute (Esegui).

Assegnare ticket ServiceNow nelle richieste

Per assegnare manualmente un ticket ServiceNow in una richiesta, completa i seguenti passaggi:

  1. Recupera il valore sys_id per ottenere l'ID dell'assegnatario di ServiceNow.
  2. Assegna il ticket ServiceNow.

Recupera il valore sys_id

  1. Nella console operativa di sicurezza, vai a Richieste.
  2. Seleziona una richiesta relativa al ticket ServiceNow.
  3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
  4. Nel campo dell'azione manuale Cerca, inserisci ServiceNow.
  5. Nei risultati di ricerca all'interno dell'integrazione ServiceNow, seleziona l'azione Get User Details (Recupera dettagli utente). Si apre la finestra di dialogo delle azioni.
  6. Per configurare il campo del parametro Email, inserisci l'indirizzo email dell'assegnatario del ticket ServiceNow.
  7. Fai clic su Execute (Esegui). Attendi l'esecuzione dell'azione.
  8. Vai alla scheda della richiesta e fai clic su Aggiorna richiesta.
  9. Nel record di dati ServiceNow_Get User Details, fai clic su Visualizza altro.
  10. Nella sezione Risultato JSON, trova la chiave sys_id e salvane il valore per utilizzarla nella sezione seguente.

Assegna il ticket ServiceNow

  1. Vai alla scheda Panoramica della richiesta e fai clic su Azione manuale.
  2. Nel campo dell'azione manuale Cerca, inserisci ServiceNow.
  3. Nei risultati di ricerca sotto l'integrazione ServiceNow, seleziona l'azione Aggiorna record. Si apre la finestra di dialogo delle azioni.
  4. Per configurare il parametro Nome tabella, inserisci il seguente valore: u_scc_enterprise_cloud_posture_ticket

  5. Per configurare il parametro Dati JSON dell'oggetto, inserisci il seguente codice:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    Nel codice, utilizza il valore sys_id recuperato nella sezione precedente.

  6. Per configurare il parametro Record Sys ID (ID sistema record), inserisci il seguente segnaposto: [Case.Ticket_ID]

    Il segnaposto recupera in modo dinamico l'ID ticket ServiceNow corrispondente al caso selezionato.

    In alternativa, per il parametro Record Sys ID, puoi fornire un ID biglietto (Panoramica richiesta > widget Informazioni sui biglietti > ID ticket).

  7. Fai clic su Execute (Esegui).

Che cosa succede dopo?

Scopri come raggruppare i risultati nelle richieste.

Scopri come disattivare i risultati in Security Command Center.

Scopri come disattivare i risultati nei casi.