Tickets basierend auf Posture-Fällen zuweisen

Auf dieser Seite wird der Mechanismus der automatischen Zuweisung von Tickets in Security Command Center Enterprise dokumentiert und es wird erläutert, wie Sie Tickets manuell über die Security Operations Console zuweisen oder neu zuweisen.

Übersicht

Ein Ticket-Empfänger ist eine Person, die für die Behebung der Sicherheitslücken verantwortlich ist. Das Ticket wird dem jeweiligen Empfänger automatisch zugewiesen. Dies erfolgt entweder basierend auf dem Wert des Ressourceninhabers, der durch dieGoogle Cloud Ressourcenhierarchie vom Ergebnis übernommen wird, oder auf dem Wert, der im Parameter Fallback Owner des Connectors konfiguriert ist.

Tickets automatisch zuweisen

Der automatische Standardablauf für die Zuweisung eines Tickets besteht aus den folgenden Schritten:

  1. Ressourceninhaber eines Ergebnisses ermitteln

  2. Fälle erstellen und zugehörige Ergebnisse darin gruppieren

  3. Tickets auf Grundlage von Supportfällen erstellen und zuweisen

Ressourceninhaber ermitteln

Beim Erfassen und Gruppieren von Ergebnissen in Anfragen analysiert der SCC Enterprise – Urgent Posture Findings Connector jedes Ergebnis nach den Werten für den Ressourceninhaber und den Fallback-Inhaber. Der im Connector-Parameter Fallback Owner (Fallback-Inhaber) konfigurierte Fallback-Inhaberwert ist die letzte Option, um sicherzustellen, dass ein benutzerdefinierter Befund einer zuständigen Person zur Behebung zugewiesen wird, wenn alle anderen priorisierten Optionen fehlgeschlagen sind.

Weitere Informationen zum Definieren des Ressourceninhabers in Security Command Center Enterprise finden Sie unter Inhaberschaft für Konfigurationsergebnisse ermitteln.

Supportanfragen erstellen und Ergebnisse gruppieren

Nachdem der Connector ein Ergebnis aufgenommen hat, leitet Security Command Center das Ergebnis an einen neuen Fall weiter, wenn es sich um das erste Ergebnis dieser Art handelt, oder an einen vorhandenen Fall, wenn die Ergebnisparameter einem Gruppierungsmechanismus entsprechen. In einem Fall wird der Befund zu einem Ereignis, auf dem die Benachrichtigung basiert. Im Grunde ist eine Benachrichtigung ein Container für Ergebnisse, der alle Informationen zu einem Ergebnis enthält.

Weitere Informationen zum Gruppieren von Ergebnissen in Fällen finden Sie unter Ergebnisse in Fällen gruppieren.

Tickets erstellen und zuweisen

Wenn Sie eine Supportanfrage erstellen, wird automatisch ein Ticket in einem integrierten Ticketsystem erstellt. Alle Informationen in einem Fall werden bidirektional mit einem entsprechenden Ticket synchronisiert. Das bedeutet, dass jede Aktualisierung in einem Fall, z. B. ein neuer Befund, ein neuer Kommentar oder eine Statusänderung, auch im Ticket angezeigt wird und umgekehrt.

Security Command Center Enterprise weist das erstellte Ticket automatisch dem Ressourceninhaber der Ergebnisse zu, die in einem Fall gruppiert sind. Alle Ergebnisse in einem Fall haben denselben Rechteinhaber.

Tickets manuell zuweisen

Wenn Sie Tickets manuell zuweisen, müssen Sie manuelle Aktionen für Anfragen ausführen.

Jira-Vorgänge in Anfragen zuweisen

So weisen Sie einem Fall manuell ein Jira-Vorgang zu:

  1. Wechseln Sie in der Google Cloud Console zu Risiko > Anfragen.
  2. Wählen Sie einen Fall aus, der mit dem ITSM-Ticket verknüpft ist.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie im Feld für die manuelle Aktion Suchen Jira ein.
  5. Wählen Sie in den Suchergebnissen unter der Jira-Integration die Aktion Assign Issue (Vorgang zuweisen) aus. Das Aktionsdialogfeld wird geöffnet.

  6. Geben Sie zum Konfigurieren des Parameters Issue Key (Vorgangsschlüssel) den folgenden Platzhalter ein: [Case.Ticket_ID]

    Der Platzhalter ruft dynamisch die Jira-Vorgangs-ID ab, die dem ausgewählten Fall entspricht.

    1. Wenn Sie den Parameter Issue Key für ein bestimmtes Problem konfigurieren möchten, geben Sie die Jira-Vorgangs-ID im folgenden Format ein: SCCE-NUMBER

    Sie finden die Problem-ID in der Jira-Problem-URL:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Geben Sie zum Konfigurieren des Parameters Assignee (Zuständiger) die E-Mail-Adresse des Zuständigen für das Jira-Ticket ein.

    Alternativ können Sie den Namen des Ticket-Bearbeiters eingeben, wie er in Jira angezeigt wird. Bei der Aktion können Nutzernamen oder Anzeigenamen verwendet werden.

  8. Klicken Sie auf Ausführen.

ServiceNow-Tickets in Kundenserviceanfragen zuweisen

So weisen Sie einem Fall manuell ein ServiceNow-Ticket zu:

  1. Rufen Sie den Wert sys_id ab, um die ServiceNow-ID des zugewiesenen Mitarbeiters zu erhalten.
  2. Weisen Sie das ServiceNow-Ticket zu.

sys_id-Wert abrufen

  1. Wechseln Sie in der Google Cloud Console zu Risiko > Anfragen.
  2. Wählen Sie einen Fall aus, der mit dem ServiceNow-Ticket verknüpft ist.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie im Feld für die manuelle Aktion Suchen ServiceNow ein.
  5. Wählen Sie in den Suchergebnissen unter der ServiceNow-Integration die Aktion Get User Details (Nutzerdetails abrufen) aus. Das Aktionsdialogfeld wird geöffnet.
  6. Geben Sie zum Konfigurieren des Parameterfelds E-Mails die E-Mail-Adresse des ServiceNow-Ticketbearbeiters ein.
  7. Klicken Sie auf Ausführen. Warten Sie, bis die Aktion ausgeführt wurde.
  8. Rufen Sie das Fall-Repository auf und klicken Sie auf Fall aktualisieren.
  9. Klicken Sie im Datensatz ServiceNow_Get User Details auf Mehr ansehen.
  10. Suchen Sie im Abschnitt JSON-Ergebnis nach dem Schlüssel sys_id und speichern Sie seinen Wert, um ihn im nächsten Abschnitt zu verwenden.

ServiceNow-Ticket zuweisen

  1. Rufen Sie den Tab Case Overview (Fallübersicht) auf und klicken Sie auf Manual Action (Manuelle Aktion).
  2. Geben Sie im Feld für die manuelle Aktion Suchen ServiceNow ein.
  3. Wählen Sie in den Suchergebnissen unter der ServiceNow-Integration die Aktion Datensatz aktualisieren aus. Das Aktionsdialogfeld wird geöffnet.
  4. Geben Sie zum Konfigurieren des Parameters Tabellenname den folgenden Wert ein: u_scc_enterprise_cloud_posture_ticket

  5. Geben Sie den folgenden Code ein, um den Parameter Object Json Data zu konfigurieren:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    Verwenden Sie im Code den Wert sys_id, den Sie im vorherigen Abschnitt abgerufen haben.

  6. Geben Sie den folgenden Platzhalter ein, um den Parameter Record Sys ID zu konfigurieren: [Case.Ticket_ID]

    Der Platzhalter ruft dynamisch die ServiceNow-Ticket-ID ab, die dem ausgewählten Fall entspricht.

    Alternativ können Sie für den Parameter Record Sys ID eine Ticket-ID angeben (Case Overview > Widget Ticket Information > Ticket ID).

  7. Klicken Sie auf Ausführen.

Nächste Schritte

Informationen zum Gruppieren von Ergebnissen in Fällen

Ergebnisse in Security Command Center ausblenden

Informationen zum Stummschalten von Ergebnissen in Fällen