Asigna tickets según los casos de postura

En esta página, se documenta el mecanismo de asignación automática de tickets en Security Command Center Enterprise y se explica cómo asignar o reasignar tickets de forma manual con la consola de Operaciones de seguridad.

Descripción general

El usuario asignado del ticket es la persona responsable de abordar y corregir las vulnerabilidades. El ticket se asigna automáticamente al responsable correspondiente según el valor del propietario del recurso que hereda el hallazgo a través de laGoogle Cloud jerarquía de recursos o el valor configurado en el parámetro Fallback Owner del conector.

Asigna tickets automáticamente

El flujo automático predeterminado para asignar un ticket consta de los siguientes pasos:

  1. Determinar el propietario del recurso de un hallazgo

  2. Crear casos y agrupar en ellos los hallazgos relacionados

  3. Crear y asignar tickets según los casos

Cómo determinar el propietario del recurso

Mientras se incorporan y agrupan los hallazgos en casos, el conector de SCC Enterprise - Urgent Posture Findings analiza cada hallazgo para determinar los valores del propietario del recurso y del propietario de respaldo. El valor de propietario de resguardo configurado en el parámetro del conector Propietario de resguardo es la opción final para garantizar que se asigne un hallazgo personalizado a la persona correcta para su corrección cuando fallaron todas las demás opciones priorizadas.

Para obtener más información sobre cómo definir el propietario del recurso en Security Command Center Enterprise, consulta Cómo determinar la propiedad de los hallazgos de postura.

Cómo crear casos y agrupar hallazgos

Después de que el conector ingiere un hallazgo, Security Command Center lo reenvía a un caso nuevo si es el primero de su tipo o a un caso existente si los parámetros del hallazgo cumplen con un mecanismo de agrupación. En un caso, el hallazgo se convierte en un evento en el que se basa la alerta. Básicamente, una alerta es un contenedor de hallazgos que incluye toda la información sobre un hallazgo.

Para obtener más información sobre cómo se agrupan los hallazgos en casos, consulta Agrupa los hallazgos en casos.

Cómo crear y asignar tickets

Cuando se crea un caso, se genera automáticamente un ticket en un sistema de tickets integrado. Toda la información contenida en un caso se sincroniza de forma bidireccional con un ticket correspondiente, lo que significa que cada vez que se actualiza un caso, como un nuevo hallazgo, un nuevo comentario o un cambio de estado, la misma actualización aparece en el ticket y viceversa.

Security Command Center Enterprise asigna automáticamente el ticket creado al propietario del recurso de los hallazgos agrupados en un caso. Todos los hallazgos de un caso tienen el mismo propietario del recurso.

Cómo asignar tickets de forma manual

Asignar tickets manualmente requiere que realices acciones manuales en los casos.

Asigna problemas de Jira en casos

Para asignar manualmente un problema de Jira a un caso, completa los siguientes pasos:

  1. En la consola de Google Cloud , ve a Riesgo > Casos.
  2. Selecciona un caso relacionado con el ticket de ITSM.
  3. En la pestaña Case Overview, haz clic en Manual Action.
  4. En el campo Búsqueda de la acción manual, ingresa Jira.
  5. En los resultados de la búsqueda, en la integración de Jira, selecciona la acción Asignar problema. Se abrirá la ventana del cuadro de diálogo de acción.

  6. Para configurar el parámetro Issue Key, ingresa el siguiente marcador de posición: [Case.Ticket_ID]

    El marcador de posición recupera de forma dinámica el ID del problema de Jira correspondiente al caso seleccionado.

    1. Para configurar el parámetro Issue Key para un problema específico, ingresa el ID del problema de Jira en el siguiente formato: SCCE-NUMBER

    Puedes encontrar el ID del problema en la URL del problema de Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Para configurar el parámetro Assignee, ingresa la dirección de correo electrónico del asignado del ticket de Jira.

    Como alternativa, puedes ingresar el nombre del asignado del ticket tal como se muestra en Jira. La acción admite el uso de nombres de usuario o nombres visibles.

  8. Haz clic en Ejecutar.

Asigna tickets de ServiceNow en casos

Para asignar manualmente un ticket de ServiceNow en un caso, completa los siguientes pasos:

  1. Recupera el valor sys_id para obtener el ID del asignado de ServiceNow.
  2. Asigna el ticket de ServiceNow.

Recupera el valor de sys_id

  1. En la consola de Google Cloud , ve a Riesgo > Casos.
  2. Selecciona un caso relacionado con el ticket de ServiceNow.
  3. En la pestaña Case Overview, haz clic en Manual Action.
  4. En el campo Búsqueda de la acción manual, ingresa ServiceNow.
  5. En los resultados de la búsqueda, en la integración de ServiceNow, selecciona la acción Get User Details. Se abrirá la ventana del cuadro de diálogo de acción.
  6. Para configurar el campo de parámetros Correos electrónicos, ingresa la dirección de correo electrónico del asignado del ticket de ServiceNow.
  7. Haz clic en Ejecutar. Espera hasta que se ejecute la acción.
  8. Ve al Muro de casos y haz clic en Actualizar caso.
  9. En el registro de datos ServiceNow_Get User Details, haz clic en Ver más.
  10. En la sección JSON Result, busca la clave sys_id y guarda su valor para usarlo en la siguiente sección.

Asigna el ticket de ServiceNow

  1. Ve a la pestaña Case Overview y haz clic en Manual Action.
  2. En el campo Búsqueda de la acción manual, ingresa ServiceNow.
  3. En los resultados de la búsqueda, en la integración de ServiceNow, selecciona la acción Update Record. Se abrirá la ventana del cuadro de diálogo de acción.
  4. Para configurar el parámetro Nombre de la tabla, ingresa el siguiente valor: u_scc_enterprise_cloud_posture_ticket

  5. Para configurar el parámetro Object Json Data, ingresa el siguiente código:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    En el código, usa el valor sys_id que recuperaste en la sección anterior.

  6. Para configurar el parámetro ID del sistema de registro, ingresa el siguiente marcador de posición: [Case.Ticket_ID]

    El marcador de posición recupera de forma dinámica el ID del ticket de ServiceNow correspondiente al caso seleccionado.

    Como alternativa, para el parámetro Record Sys ID, puedes proporcionar un ID de ticket (widget Información del ticket en Resumen del caso > ID de ticket).

  7. Haz clic en Ejecutar.

Próximos pasos

Obtén más información para agrupar los hallazgos en casos.

Obtén más información para silenciar resultados en Security Command Center.

Obtén más información para silenciar hallazgos en casos.