根据状态问题分配工单

本页面介绍了 Security Command Center Enterprise 中的自动工单分配机制,并说明了如何使用安全运营控制台手动分配或重新分配工单。

概览

工单指派对象是负责解决和修复漏洞的人员。系统会根据以下任一值自动将工单分配给相应的受让人:通过Google Cloud 资源层次结构由发现继承的资源所有者值,或连接器的回退所有者参数中配置的值。

自动分配支持请求

分配支持请求的默认自动流程包含以下步骤:

  1. 确定发现结果的资源所有者。

  2. 创建支持请求并将相关发现结果归入其中。

  3. 根据支持请求创建和分配工单。

确定资源所有者

在将发现结果提取并分组到案例中时,SCC Enterprise - Urgent Posture Findings 连接器会分析每个发现结果的资源所有者和回退所有者值。后备所有者连接器参数中配置的后备所有者值是最终选项,用于确保在所有其他优先选项失败时,将自定义发现结果分配给正确的人员进行补救。

如需详细了解如何在 Security Command Center Enterprise 中定义资源所有者,请参阅确定姿态发现结果的所有权

创建案例和对发现结果进行分组

连接器提取发现结果后,如果该发现结果是首次出现,Security Command Center 会将其转发到新的支持请求;如果该发现结果的参数符合分组机制,则会将其转发到现有支持请求。在支持案例中,发现结果会成为事件提醒会基于该事件生成。从本质上讲,提醒是一个发现结果容器,其中包含有关发现结果的所有信息。

如需详细了解如何将检测结果分组为问题,请参阅将检测结果分组为问题

创建和分配支持请求

自动创建支持请求会在集成式工单系统中自动创建工单。支持工单与支持请求之间的双向同步,也就是说,每次支持请求有更新(例如发现新问题、添加新评论或状态发生变化)时,工单中也会显示相同的更新,反之亦然。

Security Command Center Enterprise 会自动将创建的支持请求分配给归入相应支持请求的发现结果的资源所有者。一个支持服务请求中的所有发现结果都具有相同的资源所有者。

手动分配工单

在手动分配支持请求时,您需要对支持请求执行手动操作。

在支持请求中分配 Jira 问题

如需在支持请求中手动分配 Jira 问题,请完成以下步骤:

  1. 在 Google Cloud 控制台中,依次前往风险 > 支持请求
  2. 选择与 ITSM 工单相关的支持请求。
  3. 支持请求概览标签页中,点击人工操作
  4. 在手动操作的搜索字段中,输入 Jira
  5. Jira 集成下的搜索结果中,选择 Assign Issue 操作。系统会打开操作对话框窗口。

  6. 如需配置问题键参数,请输入以下占位符:[Case.Ticket_ID]

    此占位符会动态检索与所选支持请求对应的 Jira 问题 ID。

    1. 如需为特定问题配置问题键参数,请按以下格式输入 Jira 问题 IDSCCE-NUMBER

    您可以在 Jira 问题网址中找到问题 ID:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. 如需配置受让人参数,请输入 Jira 工单受让人的电子邮件地址。

    或者,您也可以输入 Jira 中显示的工单受理人姓名。该操作支持使用用户名或显示名称。

  8. 点击执行

在支持请求中分配 ServiceNow 工单

如需在支持请求中手动分配 ServiceNow 工单,请完成以下步骤:

  1. 检索 sys_id 值以获取 ServiceNow 分配对象 ID。
  2. 分配 ServiceNow 工单。

检索 sys_id

  1. 在 Google Cloud 控制台中,依次前往风险 > 支持请求
  2. 选择与 ServiceNow 工单相关的支持请求。
  3. 支持请求概览标签页中,点击人工操作
  4. 在手动操作的搜索字段中,输入 ServiceNow
  5. ServiceNow 集成下的搜索结果中,选择 Get User Details 操作。系统会打开操作对话框窗口。
  6. 如需配置电子邮件参数字段,请输入 ServiceNow 工单受理人的电子邮件地址。
  7. 点击 Execute。等待操作执行完毕。
  8. 前往案例墙,然后点击刷新案例
  9. ServiceNow_Get User Details 数据记录中,点击查看更多
  10. JSON 结果部分中,找到 sys_id 键并保存其值,以便在下一部分中使用。

分配 ServiceNow 工单

  1. 前往支持请求概览标签页,然后点击人工操作
  2. 在手动操作的搜索字段中,输入 ServiceNow
  3. ServiceNow 集成下的搜索结果中,选择更新记录操作。系统会打开操作对话框窗口。
  4. 如需配置表名称参数,请输入以下值: u_scc_enterprise_cloud_posture_ticket

  5. 如需配置 Object Json Data 参数,请输入以下代码:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    在代码中,使用您在上一部分中检索到的 sys_id 值。

  6. 如需配置记录系统 ID 参数,请输入以下占位符:[Case.Ticket_ID]

    此占位符会动态检索与所选支持请求对应的 ServiceNow 支持请求 ID。

    或者,对于 Record Sys ID 参数,您可以提供工单 ID问题概览 > 工单信息微件 > 工单 ID)。

  7. 点击执行

后续步骤

了解如何在支持请求中对发现的问题进行分组

了解如何在 Security Command Center 中忽略发现结果

了解如何在支持请求中将检测结果设为静音