Atribuir tíquetes com base em casos de postura

Esta página descreve o mecanismo de atribuição automática de tíquetes no Security Command Center Enterprise e explica como atribuir ou reatribuir tíquetes manualmente usando o console de operações de segurança.

Visão geral

Um responsável pelo tíquete é uma pessoa responsável por resolver e corrigir as vulnerabilidades. O tíquete é atribuído automaticamente ao respectivo destinatário com base no valor do proprietário do recurso herdado pela descoberta na Google Cloud hierarquia de recursos ou no valor configurado no parâmetro Proprietário substituto do conector.

Atribuir tíquetes automaticamente

O fluxo automático padrão para atribuir um tíquete consiste nas seguintes etapas:

  1. Determinar o proprietário do recurso de uma descoberta.

  2. Criar casos e agrupar descobertas relacionadas neles.

  3. Criar e atribuir tíquetes com base em casos.

Como determinar o proprietário do recurso

Ao ingerir e agrupar descobertas em casos, o conector de descobertas de posturas urgentes do SCC Enterprise analisa cada descoberta para os valores de proprietário do recurso e proprietário substituto. O valor do proprietário substituto configurado no parâmetro do conector Proprietário substituto é a opção final para garantir que uma descoberta personalizada seja atribuída à pessoa certa para correção quando todas as outras opções priorizadas falharem.

Para mais informações sobre como definir o proprietário do recurso no Security Command Center Enterprise, consulte Determinar a propriedade das descobertas de postura.

Como criar casos e agrupar descobertas

Depois que o conector ingere uma descoberta, o Security Command Center encaminha a descoberta para um novo caso se ela for inédita ou para um caso existente se os parâmetros da descoberta obedecerem a um mecanismo de agrupamento. Em um caso, a descoberta se torna um evento em que o alerta se baseia. Basicamente, um alerta é um contêiner de descoberta que inclui todas as informações sobre uma descoberta.

Para saber mais sobre como os resultados são agrupados em casos, consulte Agrupar resultados em casos.

Criar e atribuir tíquetes

Criar um caso cria automaticamente um tíquete em um sistema de tíquetes integrado. Todas as informações contidas em um caso são sincronizadas bidirecionalmente com um tíquete correspondente. Isso significa que sempre que houver uma atualização em um caso, como uma nova descoberta, um novo comentário ou uma mudança de status, a mesma atualização vai aparecer no tíquete e vice-versa.

O Security Command Center Enterprise atribui automaticamente o tíquete criado ao proprietário do recurso das descobertas agrupadas em um caso. Todos os resultados em um caso têm o mesmo proprietário do recurso.

Atribuir tíquetes manualmente

Para atribuir tíquetes manualmente, é necessário executar ações manuais em casos.

Atribuir problemas do Jira em casos

Para atribuir manualmente um problema do Jira a um caso, siga estas etapas:

  1. No console do Google Cloud , acesse Risco > Casos.
  2. Selecione um caso relacionado ao tíquete do ITSM.
  3. Na guia Visão geral do caso, clique em Ação manual.
  4. No campo Pesquisar da ação manual, insira Jira.
  5. Nos resultados da pesquisa, em Jira, selecione a ação Atribuir problema. A janela de diálogo de ação será aberta.

  6. Para configurar o parâmetro Chave do problema, insira o seguinte marcador de posição: [Case.Ticket_ID]

    O marcador de posição recupera dinamicamente o ID do problema do Jira correspondente ao caso selecionado.

    1. Para configurar o parâmetro Chave do problema para um problema específico, insira o ID do problema do Jira no seguinte formato: SCCE-NUMBER

    Você pode encontrar o ID do problema no URL do problema do Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Para configurar o parâmetro Responsável, insira o endereço de e-mail da pessoa responsável pelo ticket do Jira.

    Como alternativa, insira o nome do atribuidor do tíquete como ele aparece no Jira. A ação aceita nomes de usuário ou nomes de exibição.

  8. Clique em Executar.

Atribuir tíquetes do ServiceNow em casos

Para atribuir manualmente um tíquete do ServiceNow a um caso, siga estas etapas:

  1. Recupere o valor sys_id para obter o ID do atribuidor do ServiceNow.
  2. Atribua o tíquete do ServiceNow.

Recuperar o valor de sys_id

  1. No console do Google Cloud , acesse Risco > Casos.
  2. Selecione um caso relacionado ao tíquete do ServiceNow.
  3. Na guia Visão geral do caso, clique em Ação manual.
  4. No campo Pesquisar da ação manual, insira ServiceNow.
  5. Nos resultados da pesquisa, em Integração do ServiceNow, selecione a ação Receber detalhes do usuário. A janela de diálogo de ação será aberta.
  6. Para configurar o campo de parâmetro E-mails, insira o endereço de e-mail do responsável pelo tíquete do ServiceNow.
  7. Clique em Executar. Aguarde até que a ação seja executada.
  8. Acesse o Painel de casos e clique em Atualizar caso.
  9. No registro de dados ServiceNow_Get User Details, clique em Ver mais.
  10. Na seção Resultado JSON, encontre a chave sys_id e salve o valor dela para usar na próxima seção.

Atribuir o tíquete do ServiceNow

  1. Acesse a guia Visão geral do caso e clique em Ação manual.
  2. No campo Pesquisar da ação manual, insira ServiceNow.
  3. Nos resultados da pesquisa, em Integração do ServiceNow, selecione a ação Atualizar registro. A janela de diálogo de ação será aberta.
  4. Para configurar o parâmetro Nome da tabela, insira o seguinte valor: u_scc_enterprise_cloud_posture_ticket

  5. Para configurar o parâmetro Dados JSON do objeto, insira o seguinte código:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    No código, use o valor sys_id que você recuperou na seção anterior.

  6. Para configurar o parâmetro ID do sistema de registro, insira o seguinte marcador de posição: [Case.Ticket_ID]

    O marcador de posição recupera dinamicamente o ID do tíquete do ServiceNow correspondente ao caso selecionado.

    Como alternativa, para o parâmetro ID do sistema do registro, você pode fornecer um ID do tíquete (widget Visão geral do caso > Informações do tíquete > ID do tíquete).

  7. Clique em Executar.

A seguir

Saiba como agrupar descobertas em casos.

Saiba como desativar as descobertas no Security Command Center.

Saiba como silenciar descobertas em casos.