根据状态问题分配工单

本页介绍了 Security Command Center Enterprise 中自动分配工单的机制,并说明了如何使用 Security Operations 控制台手动分配或重新分配工单。

概览

工单分配对象是负责解决和修复漏洞的人员。系统会根据发现通过Google Cloud 资源层次结构继承的资源所有者值,或在连接器的后备所有者参数中配置的值,自动将工单分配给相应的分配者。

自动分配支持服务工单

分配工单的默认自动流程包含以下步骤:

  1. 确定发现结果的资源所有者。

  2. 创建支持请求并将相关发现结果分组到其中。

  3. 根据支持请求创建和分配工单。

确定资源所有者

在提取发现结果并将其分组为案例时,SCC Enterprise - Urgent Posture Findings 连接器会分析每个发现结果的资源所有者和后备所有者值。在后备所有者连接器参数中配置的后备所有者值是最终选项,可确保在所有其他优先选项都失败时,将自定义发现问题分配给正确的人员进行修复。

如需详细了解如何在 Security Command Center 企业版中定义资源所有者,请参阅确定态势发现结果的所有权

创建支持请求和对问题进行分组

在连接器提取发现结果后,如果发现结果是首次出现的,Security Command Center 会将其转发到新支持请求;如果发现结果参数符合分组机制,则会将其转发到现有支持请求。在某个支持请求中,发现会成为提醒所依据的事件。从本质上讲,提醒是包含发现结果的所有信息的发现结果容器。

如需详细了解如何将问题划分到案例中,请参阅在案例中对问题进行分组

创建和分配工单

创建支持请求会自动在集成的工单系统中创建工单。支持请求中包含的所有信息都会与相应的工单进行双向同步,这意味着,每当支持请求有更新(例如,发现新问题、添加新评论或状态发生变化)时,工单中也会显示相同的更新,反之亦然。

Security Command Center Enterprise 会自动将创建的工单分配给在一个支持请求中分组的发现结果的资源所有者。支持请求中的所有发现结果具有相同的资源所有者。

手动分配支持服务工单

手动分配工单需要您对支持请求执行手动操作。

在支持请求中分配 Jira 问题

如需在支持请求中手动分配 Jira 问题,请完成以下步骤:

  1. 在安全运营控制台中,前往支持请求
  2. 选择与 ITSM 工单相关的支持请求。
  3. 支持请求概览标签页中,点击手动操作
  4. 在“手动操作”的搜索字段中,输入 Jira
  5. Jira 集成下的搜索结果中,选择分配问题操作。系统随即会打开操作对话框窗口。

  6. 如需配置问题键参数,请输入以下占位符:[Case.Ticket_ID]

    占位符会动态检索与所选支持请求对应的 Jira 问题 ID。

    1. 如需为特定问题配置问题键参数,请按以下格式输入 Jira 问题 IDSCCE-NUMBER

    您可以在 Jira 问题网址中找到问题 ID:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. 如需配置 Assignee 参数,请输入 Jira 工单分配对象的电子邮件地址。

    或者,您也可以输入工单分配者的名称(如在 Jira 中显示)。此操作支持使用用户名或显示名称。

  8. 点击执行

在支持请求中分配 ServiceNow 工单

如需在支持请求中手动分配 ServiceNow 工单,请完成以下步骤:

  1. 检索 sys_id 值以获取 ServiceNow 分配者 ID。
  2. 分配 ServiceNow 工单。

检索 sys_id

  1. 在安全运营控制台中,前往支持请求
  2. 选择与 ServiceNow 工单相关的支持请求。
  3. 支持请求概览标签页中,点击手动操作
  4. 在“手动操作”的搜索字段中,输入 ServiceNow
  5. 在搜索结果中,点击 ServiceNow 集成下方的获取用户详细信息操作。系统随即会打开操作对话框窗口。
  6. 如需配置 Emails 参数字段,请输入 ServiceNow 工单分配者的电子邮件地址。
  7. 点击 Execute。等待操作执行完毕。
  8. 前往案例墙,然后点击刷新案例
  9. ServiceNow_Get User Details 数据记录中,点击展开
  10. JSON 结果部分中,找到 sys_id 键并保存其值,以便在下一部分中使用。

分配 ServiceNow 工单

  1. 前往支持请求概览标签页,然后点击手动操作
  2. 在“手动操作”的搜索字段中,输入 ServiceNow
  3. ServiceNow 集成下的搜索结果中,选择更新记录操作。系统随即会打开操作对话框窗口。
  4. 如需配置表名称参数,请输入以下值: u_scc_enterprise_cloud_posture_ticket

  5. 如需配置 Object Json Data 参数,请输入以下代码:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    在代码中,使用您在上一部分中检索到的 sys_id 值。

  6. 如需配置 Record Sys ID 参数,请输入以下占位符:[Case.Ticket_ID]

    占位符会动态检索与所选支持请求对应的 ServiceNow 工单 ID。

    或者,您也可以为 Record Sys ID 参数提供工单 IDCase Overview > Ticket Information widget > Ticket ID)。

  7. 点击执行

后续步骤

了解如何对支持请求中的发现进行分组

了解如何在 Security Command Center 中忽略发现结果

了解如何关闭支持请求中的发现