Atribuir tíquetes com base nos casos de postura

Nesta página, documentamos o mecanismo de atribuição automática de tíquetes no Security Command Center Enterprise e explicamos como atribuir ou reatribuir tíquetes manualmente usando o console de operações de segurança.

A ingestão de descobertas, a criação de casos, o agrupamento de descobertas e a criação e atribuição de tíquetes são fornecidas pelo Google SecOps.

Visão geral

O usuário atribuído do tíquete é a pessoa responsável por resolver e corrigir as vulnerabilidades. O tíquete é atribuído automaticamente ao respectivo cessionário com base no valor do proprietário do recurso herdado pela descoberta por meio da hierarquia de recursos do Google Cloud ou no valor configurado no parâmetro Proprietário de fallback do conector.

Atribuir ingressos automaticamente

O fluxo automático padrão para atribuir um tíquete consiste nas seguintes etapas:

  1. Determinar o proprietário do recurso de uma descoberta.

  2. Criar casos e agrupar as descobertas relacionadas neles.

  3. Criar e atribuir tíquetes com base em casos.

Como determinar o proprietário do recurso

Ao ingerir e agrupar as descobertas em casos, o conector de descobertas de postura urgente do SCC Enterprise analisa todas as descobertas para os valores de proprietário do recurso e proprietário substituto. O valor do proprietário substituto configurado no parâmetro do conector do proprietário substituto é a opção final para garantir que uma descoberta personalizada seja atribuída à pessoa correta para correção quando todas as outras opções priorizadas falharem.

Para mais informações sobre como definir o proprietário do recurso no Security Command Center Enterprise, consulte Determinar a propriedade para descobertas de postura.

Como criar casos e agrupar descobertas

Depois que o conector ingere uma descoberta, o Security Command Center encaminha a descoberta para um novo caso, se ela for a primeira de um tipo, ou para um caso existente, se os parâmetros dela estiverem em conformidade com um mecanismo de agrupamento. Em um caso, a descoberta se torna um evento em que o alerta se baseia. Essencialmente, um alerta é um contêiner de descoberta que inclui todas as informações sobre uma descoberta.

Para saber mais sobre como as descobertas são agrupadas em casos, consulte Agrupar descobertas em casos.

Como criar e atribuir tíquetes

Ao criar um caso, um tíquete é gerado automaticamente em um sistema integrado. Todas as informações contidas em um caso são sincronizadas bidirecionalmente com um tíquete correspondente. Isso significa que toda vez que houver uma atualização em um caso, como uma nova descoberta, um novo comentário ou uma mudança de status, a mesma atualização aparecerá no tíquete e vice-versa.

O Security Command Center Enterprise atribui automaticamente o tíquete criado ao proprietário do recurso de descobertas agrupadas em um caso. Todas as descobertas em um caso têm o mesmo proprietário do recurso.

Atribuir ingressos manualmente

Para atribuir tíquetes manualmente, é preciso realizar ações manuais nos casos.

Atribuir problemas do Jira nos casos

Para atribuir manualmente um problema do Jira em um caso, siga estas etapas:

  1. No console de Operações de Segurança, acesse Casos.
  2. Selecione um caso relacionado ao tíquete ITSM.
  3. Na guia Visão geral do caso, clique em Ação manual.
  4. No campo Pesquisar de ação manual, insira Jira.
  5. Nos resultados da pesquisa, na integração Jira, selecione a ação Atribuir problema. A janela da caixa de diálogo de ação é aberta.

  6. Para configurar o parâmetro chave do problema, insira o seguinte marcador: [Case.Ticket_ID]

    O marcador recupera dinamicamente o ID do problema do Jira correspondente ao caso selecionado.

    1. Para configurar o parâmetro chave do problema referente a um problema específico, insira o ID do problema do Jira no seguinte formato: SCCE-NUMBER

    O ID do problema pode ser encontrado no URL do problema do Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Para configurar o parâmetro Assignee, insira o endereço de e-mail do usuário responsável do tíquete do Jira.

    Como alternativa, você pode inserir o nome do cessionário do tíquete como ele aparece no Jira. A ação oferece suporte ao uso de nomes de usuário ou nomes exibidos.

  8. Clique em Executar.

Atribuir tíquetes do ServiceNow em casos

Para atribuir manualmente um tíquete do ServiceNow em um caso, conclua as etapas a seguir:

  1. Recupere o valor sys_id para receber o ID do cessionário do ServiceNow.
  2. Atribua o tíquete do ServiceNow.

Extrair o valor de sys_id

  1. No console de Operações de Segurança, acesse Casos.
  2. Selecione um caso relacionado ao tíquete do ServiceNow.
  3. Na guia Visão geral do caso, clique em Ação manual.
  4. No campo Pesquisar de ação manual, insira ServiceNow.
  5. Nos resultados da pesquisa, na integração ServiceNow, selecione a ação Ver detalhes do usuário. A janela da caixa de diálogo de ação é aberta.
  6. Para configurar o campo de parâmetro E-mails, insira o endereço de e-mail do usuário atribuído do tíquete do ServiceNow.
  7. Clique em Executar. Aguarde até que a ação seja executada.
  8. Acesse o Mural de casos e clique em Atualizar caso.
  9. No registro de dados ServiceNow_Get User Details, clique em View more.
  10. Na seção Resultado do JSON, encontre a chave sys_id e salve o valor para usá-la na próxima seção.

Atribuir o tíquete ServiceNow

  1. Acesse a guia Visão geral do caso e clique em Ação manual.
  2. No campo Pesquisar de ação manual, insira ServiceNow.
  3. Nos resultados da pesquisa, na integração ServiceNow, selecione a ação Atualizar registro. A janela da caixa de diálogo de ação é aberta.
  4. Para configurar o parâmetro Nome da tabela, insira o seguinte valor: u_scc_enterprise_cloud_posture_ticket

  5. Para configurar o parâmetro Object Json Data, insira o seguinte código:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    No código, use o valor sys_id recuperado na seção anterior.

  6. Para configurar o parâmetro Record Sys ID, insira o seguinte marcador: [Case.Ticket_ID]

    O marcador recupera dinamicamente o ID do tíquete do ServiceNow correspondente ao caso selecionado.

    Como alternativa, para o parâmetro ID do sistema de registro, é possível fornecer um ID do tíquete (Visão geral do caso > widget Informações do tíquete > ID do tíquete).

  7. Clique em Executar.

A seguir

Saiba como agrupar descobertas nos casos.

Saiba como silenciar descobertas no Security Command Center.

Saiba como silenciar descobertas nos casos.