상황 케이스를 기준으로 티켓 할당

이 페이지에서는 Security Command Center 엔터프라이즈에서 자동 티켓 할당 메커니즘과 보안 운영 콘솔을 사용해서 티켓을 수동으로 할당하거나 재할당하는 방법을 설명합니다.

발견 항목 수집, 케이스 생성, 발견 항목 그룹화, 티켓 생성과 할당은 Google SecOps를 기반으로 합니다.

개요

티켓 담당자는 취약점을 확인하고 해결하는 사람입니다. 티켓은 Google Cloud 리소스 계층 구조를 통해 발견 항목으로 상속된 리소스 소유자 값 또는 커넥터의 대체 소유자 매개변수에 구성된 값을 기반으로 해당 담당자에게 자동으로 할당됩니다.

자동으로 티켓 할당

티켓 할당의 기본 자동 흐름은 다음과 같은 단계로 구성됩니다.

  1. 발견 항목의 리소스 소유자를 확인합니다.

  2. 케이스를 만들고 관련된 발견 항목을 케이스로 그룹화합니다.

  3. 케이스를 기준으로 티켓을 만들고 할당합니다.

리소스 소유자 확인

발견 항목을 케이스에 따라 수집 및 그룹화할 때 SCC 엔터프라이즈 - 긴급 상황 발견 항목 커넥터는 모든 발견 항목을 분석하여 리소스 소유자 및 대체 소유자 값을 확인합니다. 대체 소유자 커넥터 매개변수에 구성된 대체 소유자 값은 다른 모든 선별된 옵션이 실패했을 때 커스텀 발견 항목이 해결을 위해 올바른 사람에게 할당되도록 보장하는 마지막 옵션입니다.

Security Command Center 엔터프라이즈에서 리소스 소유자를 정의하는 방법은 상황 발견 항목의 소유권 확인을 참조하세요.

케이스 만들기 및 발견 항목 그룹화

커넥터가 발견 항목을 수집한 후 Security Command Center는 발견 항목이 특정 종류의 첫 번째 항목이면 새 케이스로 발견 항목을 전달하고 발견 항목 매개변수가 특정 그룹화 메커니즘과 일치하면 기존 케이스로 전달합니다. 케이스에서 발견 항목은 알림의 기준이 되는 이벤트가 됩니다. 기본적으로 알림은 발견 항목에 대한 모든 정보를 포함하는 발견 항목 컨테이너입니다.

발견 항목을 케이스로 그룹화하는 방법은 케이스로 발견 항목 그룹화를 참조하세요.

티켓 만들기 및 할당

케이스를 만들면 통합 티켓팅 시스템에서 티켓이 자동으로 생성됩니다. 케이스에 포함된 모든 정보는 해당 티켓과 양방향으로 동기화됩니다. 즉, 새 발견 항목, 새 의견, 상태 변경과 같이 케이스가 업데이트될 때마다 동일한 업데이트가 티켓에도 표시되고, 그 반대의 경우도 마찬가지입니다.

Security Command Center 엔터프라이즈는 생성된 티켓을 케이스에 그룹화된 발견 항목의 리소스 소유자에게 자동으로 할당합니다. 케이스의 모든 발견 항목에는 동일한 리소스 소유자가 포함됩니다.

수동으로 티켓 할당

티켓을 수동으로 할당하려면 케이스에서 수동 작업을 실행해야 합니다.

케이스에서 Jira 문제 할당

케이스에 Jira 문제를 수동으로 할당하려면 다음 단계를 수행합니다.

  1. 보안 운영 콘솔에서 케이스로 이동합니다.
  2. ITSM 티켓과 관련된 케이스를 선택합니다.
  3. 케이스 개요 탭에서 직접 조치를 클릭합니다.
  4. 직접 조치 검색 필드에 Jira를 입력합니다.
  5. Jira 통합 아래의 검색 결과에서 문제 할당 작업을 선택합니다. 작업 대화상자 창이 열립니다.

  6. 문제 키 매개변수를 구성하려면 다음 자리표시자를 입력합니다. [Case.Ticket_ID]

    이 자리표시자는 선택한 케이스에 해당하는 Jira 문제 ID를 검색합니다.

    1. 특정 문제에 대해 문제 키 매개변수를 구성하려면 다음 형식으로 Jira 문제 ID를 입력합니다. SCCE-NUMBER

    Jira 문제 URL에서 문제 ID를 찾을 수 있습니다.

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. 담당자 매개변수를 구성하기 위해 Jira 티켓 담당자의 이메일 주소를 입력합니다.

    또는 Jira에 표시된 대로 티켓 담당자의 이름을 입력할 수 있습니다. 이 작업에서는 사용자 이름 또는 표시된 이름을 사용할 수 있습니다.

  8. 실행을 클릭합니다.

케이스에서 ServiceNow 티켓 할당

케이스에서 ServiceNow 티켓을 수동으로 할당하려면 다음 단계를 수행합니다.

  1. sys_id 값을 검색하여 ServiceNow 담당자 ID를 가져옵니다.
  2. ServiceNow 티켓을 할당합니다.

sys_id 값 검색

  1. 보안 운영 콘솔에서 케이스로 이동합니다.
  2. ServiceNow 티켓과 관련된 케이스를 선택합니다.
  3. 케이스 개요 탭에서 직접 조치를 클릭합니다.
  4. 직접 조치 검색 필드에 ServiceNow를 입력합니다.
  5. ServiceNow 통합 아래의 검색 결과에서 사용자 세부정보 가져오기 작업을 선택합니다. 작업 대화상자 창이 열립니다.
  6. 이메일 매개변수 필드를 구성하기 위해 ServiceNow 티켓 담당자의 이메일 주소를 입력합니다.
  7. 실행을 클릭합니다. 작업이 실행될 때까지 기다립니다.
  8. 케이스 월로 이동하고 케이스 새로고침을 클릭합니다.
  9. ServiceNow_Get 사용자 세부정보 데이터 레코드에서 더 보기를 클릭합니다.
  10. JSON 결과 섹션에서 sys_id 키를 찾고 다음 섹션에서 사용할 수 있도록 값을 저장합니다.

ServiceNow 티켓 할당

  1. 케이스 개요 탭으로 이동하고 수동 작업을 클릭합니다.
  2. 직접 조치 검색 필드에 ServiceNow를 입력합니다.
  3. ServiceNow 통합 아래의 검색 결과에서 레코드 업데이트 작업을 선택합니다. 작업 대화상자 창이 열립니다.
  4. 테이블 이름 매개변수를 구성하기 위해 u_scc_enterprise_cloud_posture_ticket 값을 입력합니다.

  5. 객체 JSON 데이터 매개변수를 구성하기 위해 다음 코드를 입력합니다.

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    코드에서 이전 섹션에서 검색한 sys_id 값을 사용합니다.

  6. 레코드 시스템 ID 매개변수를 구성하기 위해 다음 자리표시자를 입력합니다. [Case.Ticket_ID]

    이 자리표시자는 선택한 케이스에 해당하는 ServiceNow 티켓 ID를 동적으로 검색합니다.

    또는 레코드 시스템 ID 매개변수의 경우 티켓 ID(케이스 개요 > 티켓 정보 위젯 > 티켓 ID)를 제공할 수 있습니다.

  7. 실행을 클릭합니다.

다음 단계

케이스로 발견 항목 그룹화 방법 알아보기

Security Command Center에서 발견 항목 숨기기 방법 알아보기

케이스의 발견 항목 숨기기 방법 알아보기