Atribuir tíquetes com base em casos de postura

Esta página documenta o mecanismo de atribuição automática de tíquetes Security Command Center Enterprise e explica como atribuir ou reatribuir manualmente tíquetes usando o console de operações de segurança.

Visão geral

Um usuário atribuído do tíquete é a pessoa responsável por resolver o problema vulnerabilidades. O tíquete é atribuído ao respectivo usuário atribuído automaticamente com base no valor do proprietário do recurso herdado pela descoberta pela hierarquia de recursos do Google Cloud ou no valor configurado no parâmetro Proprietário substituto do conector.

Atribuir ingressos automaticamente

O fluxo automático padrão para atribuir um tíquete consiste nas seguintes etapas:

  1. Determinar o proprietário do recurso de uma descoberta.

  2. Criar casos e agrupar as descobertas relacionadas neles.

  3. Criar e atribuir tíquetes com base em casos.

Como determinar o proprietário do recurso

Ao ingerir e agrupar as descobertas em casos, o SCC Enterprise – Conector de descobertas de postura urgente analisa todas as descobertas do proprietário do recurso e proprietário substituto. O valor do proprietário padrão configurado no parâmetro do conector Proprietário padrão é a opção final para garantir que uma descoberta personalizada seja atribuída a uma pessoa correta para correção quando todas as outras opções priorizadas falharem.

Para mais informações sobre como definir o proprietário do recurso no Security Command Center Enterprise, consulte Determinar a propriedade das descobertas de postura.

Como criar casos e agrupar descobertas

Depois que o conector ingere uma descoberta, o Security Command Center encaminha a descoberta para um novo caso, se ela for do tipo "primeiro do tipo", ou para um caso existente, se os parâmetros de descoberta obedecerem a um mecanismo de agrupamento. Em um caso, a descoberta se torna um evento no qual o alerta se baseia. Essencialmente, um alerta é um contêiner de descoberta que inclui todas as informações sobre uma descoberta.

Para saber mais sobre como as descobertas são agrupadas em casos, consulte Agrupar descobertas em casos.

Criação e atribuição de tíquetes

Criar um caso gera automaticamente um tíquete em um sistema de emissão de tíquetes integrado. Todas as informações contidas em um caso são sincronizadas de forma bidirecional com um tíquete correspondente, ou seja, sempre que há uma atualização em um caso, como uma nova descoberta, um novo comentário ou uma mudança de status, a mesma atualização aparece no tíquete e vice-versa.

O Security Command Center Enterprise atribui automaticamente o tíquete criado ao proprietário do recurso das descobertas agrupadas em um caso. Todas as descobertas em um caso têm pelo mesmo proprietário do recurso.

Atribuir ingressos manualmente

A atribuição manual de tíquetes exige que você execute ações manuais nos casos.

Atribuir problemas do Jira em casos

Para atribuir manualmente um problema do Jira a um caso, siga estas etapas:

  1. No console de operações de segurança, acesse Casos.
  2. Selecione um caso relacionado ao tíquete do ITSM.
  3. Na guia Visão geral do caso, clique em Ação manual.
  4. No campo Pesquisar de ação manual, insira Jira.
  5. Nos resultados da pesquisa, na integração com o Jira, selecione a ação Atribuir problema. A janela de diálogo de ação é aberta.

  6. Para configurar o parâmetro Issue Key, insira o seguinte marcador de posição: [Case.Ticket_ID]

    O marcador recupera dinamicamente o ID do problema do Jira correspondente ao caso selecionado.

    1. Para configurar o parâmetro chave do problema referente a um problema específico, insira o ID do problema do Jira no seguinte formato: SCCE-NUMBER

    Você pode encontrar o ID do problema no URL do problema do Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Para configurar o parâmetro Assignee, insira o endereço de e-mail do Jira usuário atribuído do tíquete.

    Como alternativa, insira o nome do atribuído do tíquete conforme exibido no Jira. A ação oferece suporte ao uso de nomes de usuário ou nomes exibidos.

  8. Clique em Executar.

Atribuir tíquetes do ServiceNow em casos

Para atribuir manualmente um tíquete do ServiceNow a um caso, siga estas etapas:

  1. Extraia o valor sys_id para conseguir o ID do atribuído do ServiceNow.
  2. Atribua o tíquete do ServiceNow.

Extrair o valor sys_id

  1. No console de Operações de Segurança, acesse Casos.
  2. Selecione um caso relacionado ao tíquete do ServiceNow.
  3. Na guia Visão geral do caso, clique em Ação manual.
  4. No campo Pesquisar da ação manual, insira ServiceNow.
  5. Nos resultados da pesquisa na integração ServiceNow, selecione o botão Obter User Details. A janela de diálogo de ação é aberta.
  6. Para configurar o campo de parâmetro Emails, insira o endereço de e-mail do Responsável pelo tíquete do ServiceNow.
  7. Clique em Executar. Aguarde até que a ação seja executada.
  8. Acesse o Painel de casos e clique em Atualizar caso.
  9. No registro de dados ServiceNow_Get User Details, clique em View more.
  10. Na seção Resultado JSON, encontre a chave sys_id e salve o valor dela para usar na próxima seção.

Atribuir o tíquete ServiceNow

  1. Acesse a guia Visão geral do caso e clique em Ação manual.
  2. No campo Pesquisar da ação manual, insira ServiceNow.
  3. Nos resultados da pesquisa, na integração ServiceNow, selecione o Ação Update Record. A janela de diálogo de ação é aberta.
  4. Para configurar o parâmetro Nome da tabela, insira o seguinte valor: u_scc_enterprise_cloud_posture_ticket

  5. Para configurar o parâmetro Object Json Data, insira o seguinte código:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    No código, use o valor sys_id recuperado na etapa anterior nesta seção.

  6. Para configurar o parâmetro Record Sys ID, insira o seguinte marcador de posição: [Case.Ticket_ID]

    O marcador de posição recupera dinamicamente o ID do tíquete do ServiceNow correspondente ao caso selecionado.

    Como alternativa, para o parâmetro Record Sys ID, você pode fornecer uma ID do tíquete (Visão geral do caso > widget Informações do tíquete) > ID do tíquete).

  7. Clique em Executar.

A seguir

Saiba como agrupar descobertas em casos.

Saiba como silenciar descobertas no Security Command Center.

Saiba como silenciar descobertas nos casos.