本页面介绍了 Security Command Center Enterprise 中自动工单分配机制,并说明了如何使用 Security Operations 控制台手动分配或重新分配工单。
注入发现结果、创建案例、对发现结果进行分组以及创建和分配工单由 Google SecOps 提供支持。
概览
工单分配对象是负责解决和修复漏洞的人员。系统会根据发现结果通过 Google Cloud 资源层次结构继承的资源所有者值或在连接器的 Fallback Owner 参数中配置的值,自动将工单分配给相应的分配对象。
自动分配门票
用于分配工单的默认流程包括以下步骤:
确定发现结果的资源所有者。
创建案例并将相关发现结果分组到其中。
根据案例创建和分配工单。
确定资源所有者
在将发现结果提取并分组到案例中时,SCC 企业版 - 紧急状况发现结果连接器会分析资源所有者和后备所有者值的每项发现结果。Fallback Owner 连接器参数中配置的回退所有者值是最后一个选项,可确保在所有其他优先选项失败时,将自定义发现结果分配给正确的人员以进行修复。
如需详细了解如何在 Security Command Center Enterprise 中定义资源所有者,请参阅确定状况发现结果的所有权。
创建案例并对发现结果进行分组
连接器提取发现结果后,如果发现结果属于某种类型,则 Security Command Center 会将发现结果转发到新案例,如果发现结果参数符合分组机制,则会将该发现结果转发到现有案例。在某些情况下,发现结果会成为提醒所基于的事件。从本质上讲,提醒是一种发现结果容器,其中包含有关某个发现结果的所有信息。
如需详细了解如何将发现结果分组为案例,请参阅将发现结果分组为案例。
创建和分配工单
创建支持请求后,系统会自动在集成工单系统中创建工单。案例中包含的所有信息都可以与相应的工单双向同步,这意味着每当案例(如新发现结果、新评论或状态更改)有更新时,相同的更新会显示在工单中,反之亦然。
Security Command Center Enterprise 会自动将创建的工单分配给案例中分组发现结果的资源所有者。案例中的所有发现结果具有相同的资源所有者。
手动分配门票
如要手动分配工单,您需要对支持请求执行手动操作。
在案例中分配 Jira 问题
如需在案例中手动分配 Jira 问题,请完成以下步骤:
- 在安全运维控制台中,前往支持请求。
- 选择与 ITSM 工单相关的支持请求。
- 在支持请求概览标签页中,点击手动操作。
- 在人工处置措施搜索字段中,输入
Jira
。 - 在 Jira 集成下的搜索结果中,选择 Assign Issue(分配问题)操作。操作对话框窗口随即会打开。
如需配置问题密钥参数,请输入以下占位符:
[Case.Ticket_ID]
该占位符会动态检索与所选案例对应的 Jira 问题 ID。
- 如需针对特定问题配置问题密钥参数,请按以下格式输入 Jira 问题 ID:
SCCE-NUMBER
您可以在 Jira 问题网址中找到问题 ID:
https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID
- 如需针对特定问题配置问题密钥参数,请按以下格式输入 Jira 问题 ID:
如需配置 Assignee 参数,请输入 Jira 工单分配对象的电子邮件地址。
或者,您也可以输入工单分配对象的名称(与 Jira 中显示的名称一致)。该操作支持使用用户名或显示名称。
点击执行。
在以下情况下分配 ServiceNow 工单:
如需在情况下手动分配 ServiceNow 工单,请完成以下步骤:
- 检索
sys_id
值以获取 ServiceNow 分配对象 ID。 - 分配 ServiceNow 工单。
检索 sys_id
值
- 在安全运维控制台中,前往支持请求。
- 选择与 ServiceNow 工单相关的案例。
- 在支持请求概览标签页中,点击手动操作。
- 在人工处置措施搜索字段中,输入
ServiceNow
。 - 在 ServiceNow 集成下的搜索结果中,选择获取用户详细信息操作。操作对话框窗口随即会打开。
- 如需配置 Emails 参数字段,请输入 ServiceNow 工单分配对象的电子邮件地址。
- 点击执行。等待操作执行完毕。
- 转到充电盒墙,然后点击刷新充电盒。
- 在 ServiceNow_Get 用户详细信息数据记录中,点击查看更多。
- 在 JSON 结果部分,找到
sys_id
键并保存其值,以便在下一部分使用。
分配 ServiceNow 工单
- 前往支持请求概览标签页,然后点击手动操作。
- 在人工处置措施搜索字段中,输入
ServiceNow
。 - 在 ServiceNow 集成下的搜索结果中,选择 Update Record 操作。操作对话框窗口随即会打开。
- 如需配置表名称参数,请输入以下值:
u_scc_enterprise_cloud_posture_ticket
如需配置 Object Json Data 参数,请输入以下代码:
{ "u_assigned_to": "SYS_ID_VALUE" }
在代码中,使用您在上一部分中检索到的
sys_id
值。如需配置记录系统 ID 参数,请输入以下占位符:
[Case.Ticket_ID]
该占位符会动态检索与所选案例对应的 ServiceNow 工单 ID。
或者,对于 Record Sys ID 参数,您可以提供工单 ID(支持请求概览 > 工单信息 widget > 工单 ID)。
点击执行。
后续步骤
了解如何在案例中对发现结果进行分组。
了解如何在 Security Command Center 中忽略发现结果。
了解如何在情况下忽略发现结果。