Attribuer des demandes en fonction des cas de conformité

Enterprise

Cette page décrit le mécanisme d'attribution automatique des tickets dans Security Command Center Enterprise et explique comment attribuer ou réattribuer manuellement des tickets à l'aide de la console Security Operations.

Présentation

Un responsable de ticket est une personne chargée de traiter et de corriger les failles. Le ticket est automatiquement attribué au responsable concerné en fonction de la valeur du propriétaire de la ressource héritée par le résultat via la hiérarchie des ressourcesGoogle Cloud ou de la valeur configurée dans le paramètre Propriétaire de secours du connecteur.

Attribuer automatiquement des demandes

Le flux automatique par défaut pour l'attribution d'un ticket comprend les étapes suivantes :

  1. Déterminer le propriétaire de la ressource d'un résultat.

  2. Créer des demandes et y regrouper les résultats associés.

  3. Créer et attribuer des tickets en fonction des demandes

Déterminer le propriétaire de la ressource

Lors de l'ingestion et du regroupement des résultats dans des demandes, le connecteur SCC Enterprise - Urgent Posture Findings analyse chaque résultat pour les valeurs du propriétaire de la ressource et du propriétaire de secours. La valeur du propriétaire de remplacement configurée dans le paramètre de connecteur Propriétaire de remplacement est la dernière option permettant de s'assurer qu'un résultat personnalisé est attribué à la bonne personne pour la correction lorsque toutes les autres options prioritaires ont échoué.

Pour en savoir plus sur la définition du propriétaire de la ressource dans Security Command Center Enterprise, consultez Déterminer la propriété des résultats de posture.

Créer des demandes et regrouper des résultats

Une fois qu'un connecteur a ingéré un résultat, Security Command Center le transmet à une nouvelle demande s'il s'agit d'un résultat unique, ou à une demande existante si les paramètres du résultat sont conformes à un mécanisme de regroupement. Dans un cas, le résultat devient un événement sur lequel l'alerte est basée. En substance, une alerte est un conteneur de résultats qui inclut toutes les informations sur un résultat.

Pour en savoir plus sur le regroupement des résultats dans des cas, consultez Regrouper les résultats dans des cas.

Créer et attribuer des demandes

La création d'une demande génère automatiquement un ticket dans un système de gestion des demandes intégré. Toutes les informations contenues dans une demande sont synchronisées de manière bidirectionnelle avec le ticket correspondant. Cela signifie que chaque fois qu'une demande est mise à jour (par exemple, lorsqu'un nouveau résultat est trouvé, qu'un nouveau commentaire est ajouté ou que l'état change), la même mise à jour apparaît dans le ticket et inversement.

Security Command Center Enterprise attribue automatiquement le ticket créé au propriétaire de la ressource des résultats regroupés dans une demande. Toutes les constatations d'un dossier ont le même propriétaire de ressource.

Attribuer des demandes manuellement

Pour attribuer manuellement des demandes, vous devez effectuer des actions manuelles sur les demandes.

Attribuer des problèmes Jira dans les demandes

Pour attribuer manuellement un problème Jira dans une demande, procédez comme suit :

  1. Dans la console Google Cloud , accédez à Risque > Demandes.
  2. Sélectionnez une demande liée au ticket ITSM.
  3. Dans l'onglet Aperçu de la demande, cliquez sur Action manuelle.
  4. Dans le champ Rechercher de l'action manuelle, saisissez Jira.
  5. Dans les résultats de recherche, sous l'intégration Jira, sélectionnez l'action Assigner le problème. La boîte de dialogue d'action s'ouvre.

  6. Pour configurer le paramètre Clé du problème, saisissez l'espace réservé suivant : [Case.Ticket_ID]

    L'espace réservé récupère dynamiquement l'ID du problème Jira correspondant à la demande sélectionnée.

    1. Pour configurer le paramètre Clé du problème pour un problème spécifique, saisissez l'ID du problème Jira au format suivant : SCCE-NUMBER

    Vous trouverez l'ID du problème dans l'URL du problème Jira :

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Pour configurer le paramètre Responsable, saisissez l'adresse e-mail du responsable du ticket Jira.

    Vous pouvez également saisir le nom de l'utilisateur auquel le ticket est attribué, tel qu'il s'affiche dans Jira. Cette action permet d'utiliser des noms d'utilisateur ou des noms à afficher.

  8. Cliquez sur Exécuter.

Attribuer des demandes ServiceNow dans des requêtes

Pour attribuer manuellement un ticket ServiceNow à une demande, procédez comme suit :

  1. Récupérez la valeur sys_id pour obtenir l'ID de l'attributaire ServiceNow.
  2. Attribuez la demande ServiceNow.

Récupérer la valeur sys_id

  1. Dans la console Google Cloud , accédez à Risque > Demandes.
  2. Sélectionnez une demande associée au ticket ServiceNow.
  3. Dans l'onglet Aperçu de la demande, cliquez sur Action manuelle.
  4. Dans le champ Rechercher de l'action manuelle, saisissez ServiceNow.
  5. Dans les résultats de recherche, sous l'intégration ServiceNow, sélectionnez l'action Obtenir les détails de l'utilisateur. La boîte de dialogue d'action s'ouvre.
  6. Pour configurer le champ du paramètre E-mails, saisissez l'adresse e-mail de l'attributaire du ticket ServiceNow.
  7. Cliquez sur Exécuter. Attendez que l'action soit exécutée.
  8. Accédez au mur des cas, puis cliquez sur Actualiser le cas.
  9. Dans l'enregistrement de données ServiceNow_Get User Details, cliquez sur Afficher plus.
  10. Dans la section JSON Result (Résultat JSON), recherchez la clé sys_id et enregistrez sa valeur pour l'utiliser dans la section suivante.

Attribuer la demande ServiceNow

  1. Accédez à l'onglet Aperçu de la demande, puis cliquez sur Action manuelle.
  2. Dans le champ Rechercher de l'action manuelle, saisissez ServiceNow.
  3. Dans les résultats de recherche, sous l'intégration ServiceNow, sélectionnez l'action Mettre à jour l'enregistrement. La boîte de dialogue d'action s'ouvre.
  4. Pour configurer le paramètre Nom de la table, saisissez la valeur suivante : u_scc_enterprise_cloud_posture_ticket

  5. Pour configurer le paramètre Object Json Data (Données JSON de l'objet), saisissez le code suivant :

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    Dans le code, utilisez la valeur sys_id que vous avez récupérée dans la section précédente.

  6. Pour configurer le paramètre Record Sys ID, saisissez l'espace réservé suivant : [Case.Ticket_ID]

    L'espace réservé récupère de manière dynamique l'ID de ticket ServiceNow correspondant à la demande sélectionnée.

    Vous pouvez également fournir un numéro de demande pour le paramètre Record Sys ID (widget Informations sur la demande > Présentation de la demande > Numéro de demande).

  7. Cliquez sur Exécuter.

Étape suivante

Découvrez comment regrouper les résultats dans les dossiers.

Découvrez comment ignorer les résultats dans Security Command Center.

Découvrez comment désactiver les résultats dans les demandes.