Atribuir tíquetes com base nos casos de postura

Esta página documenta o mecanismo de atribuição automática de tíquetes Security Command Center Enterprise e explica como atribuir ou reatribuir manualmente de tíquetes usando o console de operações de segurança.

Visão geral

Um usuário atribuído do tíquete é a pessoa responsável por resolver e corrigir o vulnerabilidades. O tíquete é atribuído automaticamente ao respectivo usuário. com base no valor do proprietário do recurso herdado pela descoberta pelo Hierarquia de recursos do Google Cloud ou o valor configurado no parâmetro Proprietário de fallback do conector.

Atribuir ingressos automaticamente

O fluxo automático padrão para atribuir um tíquete consiste no seguintes etapas:

  1. Determinar o proprietário do recurso de uma descoberta.

  2. Criar casos e agrupar descobertas relacionadas neles.

  3. Criar e atribuir tíquetes com base em casos.

Como determinar o proprietário do recurso

Ao ingerir e agrupar as descobertas em casos, o SCC Enterprise – Conector de descobertas de postura urgente analisa todas as descobertas do proprietário do recurso e proprietário substituto. O valor do proprietário padrão configurado no parâmetro do conector Proprietário padrão é a opção final para garantir que uma descoberta personalizada seja atribuída a uma pessoa correta para correção quando todas as outras opções priorizadas falharem.

Para mais informações sobre como definir o proprietário do recurso no Security Command Center Enterprise, consulte Determinar propriedade para postura descobertas.

Como criar casos e agrupar descobertas

Depois que o conector ingere uma descoberta, o Security Command Center encaminha a descoberta para um novo caso se ela for a primeira de um tipo ou uma caso existente se os parâmetros de descoberta obedecerem a um mecanismo de agrupamento. Em um caso, a descoberta se torna um evento no qual o alerta se baseia. Basicamente, um alerta é um contêiner de descoberta que inclui todas as informações sobre uma descoberta.

Para saber mais sobre como as descobertas são agrupadas em casos, consulte Agrupar descobertas em casos de uso diferentes.

Como criar e atribuir tíquetes

Criar um caso cria automaticamente um tíquete em uma venda integrada sistema. Todas as informações contidas em um caso é sincronizado bidirecional com um tíquete correspondente, o que significa que cada horário em que há uma atualização em um caso, como uma nova descoberta, um novo comentário ou um status mudança, a mesma atualização aparecerá no tíquete e vice-versa.

O Security Command Center Enterprise atribui automaticamente o tíquete criado a o proprietário de recursos das descobertas agrupadas em um caso. Todas as descobertas em um caso têm pelo mesmo proprietário do recurso.

Atribuir ingressos manualmente

A atribuição manual de tíquetes exige que você realize ações manuais nos casos.

Atribuir problemas do Jira nos casos

Para atribuir manualmente um problema do Jira em um caso, siga estas etapas:

  1. No console de Operações de Segurança, acesse Casos.
  2. Selecione um caso relacionado ao tíquete ITSM.
  3. Na guia Visão geral do caso, clique em Ação manual.
  4. No campo Pesquisar da ação manual, insira Jira.
  5. Nos resultados da pesquisa, na integração Jira, selecione a opção Atribuir Issue. A janela da caixa de diálogo de ação é aberta.

  6. Para configurar o parâmetro Issue Key, insira o seguinte marcador de posição: [Case.Ticket_ID]

    O marcador recupera dinamicamente o ID do problema do Jira correspondente ao caso selecionado.

    1. Para configurar o parâmetro Issue Key de um problema específico, insira o ID do problema do Jira no seguinte formato: SCCE-NUMBER

    Você pode encontrar o ID do problema no URL do problema do Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Para configurar o parâmetro Assignee, insira o endereço de e-mail do Jira usuário atribuído do tíquete.

    Como alternativa, você pode inserir o nome do usuário atribuído do tíquete, exibido no Jira. A ação é compatível com o uso de nomes de usuário ou nomes de domínio.

  8. Clique em Executar.

Atribuir tíquetes do ServiceNow em casos

Para atribuir manualmente um tíquete do ServiceNow em um caso, conclua o seguintes etapas:

  1. Extraia o valor sys_id para conseguir o ID do atribuído do ServiceNow.
  2. Atribua o tíquete do ServiceNow.

Extrair o valor sys_id

  1. No console de Operações de Segurança, acesse Casos.
  2. Selecione um caso relacionado ao tíquete do ServiceNow.
  3. Na guia Visão geral do caso, clique em Ação manual.
  4. No campo Pesquisar de ação manual, insira ServiceNow.
  5. Nos resultados da pesquisa, na integração com o ServiceNow, selecione a ação Get User Details. A janela de diálogo de ação é aberta.
  6. Para configurar o campo de parâmetro Emails, insira o endereço de e-mail do responsável pelo tíquete do ServiceNow.
  7. Clique em Executar. Aguarde até que a ação seja executada.
  8. Acesse o Painel de casos e clique em Atualizar caso.
  9. No registro de dados ServiceNow_Get User Details, clique em View more.
  10. Na seção Resultado JSON, encontre a chave sys_id e salve o valor dela para usar na próxima seção.

Atribuir o tíquete ServiceNow

  1. Acesse a guia Visão geral do caso e clique em Ação manual.
  2. No campo Pesquisar de ação manual, insira ServiceNow.
  3. Nos resultados da pesquisa, na integração do ServiceNow, selecione a ação Atualizar registro. A janela de diálogo de ação é aberta.
  4. Para configurar o parâmetro Nome da tabela, insira o seguinte valor: u_scc_enterprise_cloud_posture_ticket

  5. Para configurar o parâmetro Object Json Data, insira o seguinte código:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    No código, use o valor sys_id que você extraiu na seção anterior.

  6. Para configurar o parâmetro Record Sys ID, insira o seguinte marcador de posição: [Case.Ticket_ID]

    O marcador recupera dinamicamente o ID do tíquete ServiceNow correspondente ao caso selecionado.

    Como alternativa, para o parâmetro Record Sys ID, você pode fornecer um ID do tíquete (Visão geral do caso > Informações do tíquete widget > ID do tíquete).

  7. Clique em Executar.

A seguir

Saiba como agrupar descobertas nos casos.

Saiba como silenciar descobertas no Security Command Center.

Saiba como silenciar descobertas nos casos.