Attribuer des demandes en fonction des cas de conformité

Cette page décrit le mécanisme d'attribution automatique d'une demande dans Security Command Center Enterprise et explique comment attribuer ou réattribuer manuellement des demandes à l'aide de la console Security Operations.

Présentation

La personne à qui le ticket est attribué est chargée de résoudre et de corriger les failles. La demande est automatiquement attribuée à l'agent responsable en fonction de la valeur du propriétaire de la ressource héritée de la découverte via la hiérarchie des ressources Google Cloud ou de la valeur configurée dans le paramètre Propriétaire de remplacement du connecteur.

Attribuer automatiquement des demandes

Le flux automatique par défaut pour l'attribution d'un ticket se compose des étapes suivantes:

  1. Déterminer le propriétaire de la ressource d'un résultat

  2. Créer des demandes et y regrouper les résultats associés.

  3. Créer et attribuer des demandes en fonction des demandes

Déterminer le propriétaire de la ressource

Lors de l'ingestion et du regroupement des résultats dans des demandes, le connecteur SCC Enterprise - Urgent Posture Findings analyse chaque résultat pour les valeurs du propriétaire de la ressource et du propriétaire de remplacement. La valeur du propriétaire de remplacement configurée dans le paramètre du connecteur Propriétaire de remplacement est la dernière option permettant de s'assurer qu'une anomalie personnalisée est attribuée à la bonne personne pour être corrigée lorsque toutes les autres options prioritaires ont échoué.

Pour en savoir plus sur la définition du propriétaire de la ressource dans Security Command Center Enterprise, consultez Déterminer la propriété des résultats d'évaluation de la posture.

Créer des demandes et regrouper les résultats

Une fois que le connecteur a ingéré un résultat, Security Command Center le transmet à une nouvelle demande s'il s'agit d'un résultat unique ou à une demande existante si les paramètres du résultat respectent un mécanisme de regroupement. Dans un cas, la découverte devient un événement sur lequel l'alerte est basée. Essentiellement, une alerte est un conteneur de résultats qui inclut toutes les informations les concernant.

Pour en savoir plus sur le regroupement des résultats dans des demandes, consultez Regrouper les résultats dans des demandes.

Créer et attribuer des demandes

La création d'une demande crée automatiquement une demande dans un système de gestion des demandes intégré. Toutes les informations contenues dans une demande sont synchronisées de manière bidirectionnelle avec la demande correspondante. Cela signifie que chaque fois qu'une demande est mise à jour (par exemple, en cas de nouvelle constatation, de nouveau commentaire ou de changement d'état), la même mise à jour s'affiche dans la demande et inversement.

Security Command Center Enterprise attribue automatiquement la demande créée au propriétaire de la ressource des résultats regroupés dans une demande. Tous les résultats d'un ticket ont le même propriétaire de ressources.

Attribuer des billets manuellement

Si vous attribuez manuellement des demandes, vous devez effectuer des actions manuelles sur les demandes.

Attribuer des problèmes Jira dans des demandes

Pour attribuer manuellement un problème Jira à une demande, procédez comme suit:

  1. Dans la console Security Operations, accédez à Demandes.
  2. Sélectionnez une demande associée à la demande ITSM.
  3. Dans l'onglet Vue d'ensemble de la demande, cliquez sur Action manuelle.
  4. Dans le champ de l'action manuelle Rechercher, saisissez Jira.
  5. Dans les résultats de recherche sous l'intégration Jira, sélectionnez l'action Attribuer un problème. La boîte de dialogue d'action s'ouvre.

  6. Pour configurer le paramètre Issue Key (Clé d'émission), saisissez l'espace réservé suivant : [Case.Ticket_ID]

    L'espace réservé récupère dynamiquement l'ID de problème Jira correspondant à la demande sélectionnée.

    1. Pour configurer le paramètre Clé d'incident pour un incident spécifique, saisissez l'ID d'incident Jira au format suivant : SCCE-NUMBER

    Vous trouverez l'ID du problème dans l'URL du problème Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Pour configurer le paramètre Assignee (Responsable), saisissez l'adresse e-mail de la personne responsable de la demande Jira.

    Vous pouvez également saisir le nom de la personne à qui le ticket est attribué tel qu'il s'affiche dans Jira. L'action permet d'utiliser des noms d'utilisateur ou des noms à afficher.

  8. Cliquez sur Exécuter.

Attribuer des demandes ServiceNow dans des demandes

Pour attribuer manuellement une demande ServiceNow à une demande, procédez comme suit:

  1. Récupérez la valeur sys_id pour obtenir l'ID de l'affectataire ServiceNow.
  2. Attribuez la demande ServiceNow.

Récupérez la valeur sys_id

  1. Dans la console Security Operations, accédez à Demandes.
  2. Sélectionnez une demande associée à la demande ServiceNow.
  3. Dans l'onglet Vue d'ensemble de la demande, cliquez sur Action manuelle.
  4. Dans le champ de l'action manuelle Rechercher, saisissez ServiceNow.
  5. Dans les résultats de recherche, sous l'intégration ServiceNow, sélectionnez l'action Obtenir les informations sur l'utilisateur. La boîte de dialogue d'action s'ouvre.
  6. Pour configurer le champ de paramètre Adresses e-mail, saisissez l'adresse e-mail de la personne à qui est attribuée la demande ServiceNow.
  7. Cliquez sur Exécuter. Attendez que l'action soit exécutée.
  8. Accédez au mur des demandes, puis cliquez sur Actualiser la demande.
  9. Dans l'enregistrement de données ServiceNow_Get User Details, cliquez sur Afficher plus.
  10. Dans la section Résultat JSON, recherchez la clé sys_id et enregistrez sa valeur pour l'utiliser dans la section suivante.

Attribuer la demande ServiceNow

  1. Accédez à l'onglet Vue d'ensemble de la demande, puis cliquez sur Action manuelle.
  2. Dans le champ de l'action manuelle Rechercher, saisissez ServiceNow.
  3. Dans les résultats de recherche sous l'intégration ServiceNow, sélectionnez l'action Mettre à jour l'enregistrement. La boîte de dialogue d'action s'ouvre.
  4. Pour configurer le paramètre Nom de la table, saisissez la valeur suivante : u_scc_enterprise_cloud_posture_ticket

  5. Pour configurer le paramètre Données JSON de l'objet, saisissez le code suivant:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    Dans le code, utilisez la valeur sys_id que vous avez récupérée dans la section précédente.

  6. Pour configurer le paramètre Record Sys ID (Enregistrer l'ID système), saisissez l'espace réservé suivant : [Case.Ticket_ID]

    L'espace réservé récupère dynamiquement l'ID de demande ServiceNow correspondant au cas sélectionné.

    Vous pouvez également fournir un ID de demande pour le paramètre Record Sys ID (Présentation de la demande > widget Informations sur la demande > ID de demande).

  7. Cliquez sur Exécuter.

Étape suivante

Découvrez comment grouper les résultats dans des demandes.

Découvrez comment ignorer les résultats dans Security Command Center.

Découvrez comment masquer des résultats dans des demandes.