根据安全状况支持请求分配工单

本页面介绍了 Security Command Center 企业方案中的自动工单分配机制,并说明了如何使用 Security Operations 控制台手动分配或重新分配工单。

概览

工单分配对象是负责解决和修复漏洞的人员。系统会根据以下任一值自动将工单分配给相应的分配对象:通过Google Cloud 资源层次结构由发现结果继承的资源所有者值,或连接器的后备所有者参数中配置的值。

自动分配工单

分配工单的默认自动流程包含以下步骤:

  1. 确定发现结果的资源所有者。

  2. 创建支持请求并将相关发现结果归入其中。

  3. 根据支持请求创建和分配工单。

确定资源所有者

在将发现结果注入并分组到支持请求中时,SCC Enterprise - Urgent Posture Findings 连接器会分析每个发现结果的资源所有者和后备所有者值。后备所有者连接器参数中配置的后备所有者值是最终选项,用于确保在所有其他优先选项失败时,自定义发现结果能够分配给正确的人员进行补救。

如需详细了解如何在 Security Command Center 企业方案中定义资源所有者,请参阅确定安全状况发现结果的所有权

创建支持请求以及对发现结果进行分组

连接器注入发现结果后,Security Command Center 会将该发现结果转发给新的支持请求(如果该发现结果是同类中的第一个),或者转发给现有的支持请求(如果该发现结果的参数符合分组机制)。在支持请求中,发现结果会成为事件提醒会基于该事件生成。从本质上讲,提醒是一个发现结果容器,其中包含有关发现结果的所有信息。

如需详细了解如何将发现结果分组到支持请求中,请参阅将发现结果分组到支持请求中

创建和分配工单

自动创建支持请求会在集成式工单系统中自动创建工单。支持请求中包含的所有信息都会与相应的工单进行双向同步,也就是说,每次支持请求有更新(例如出现新的发现结果和新的注释或状态发生变化)时,工单中也会显示相同的更新,反之亦然。

Security Command Center 企业方案会自动将创建的工单分配给归入相应支持请求的发现结果的资源所有者。一个支持请求中的所有发现结果都具有相同的资源所有者。

手动分配工单

如需手动分配工单,您需要对支持请求执行手动操作。

在支持请求中分配 Jira 问题

如需在支持请求中手动分配 Jira 问题,请完成以下步骤:

  1. 在 Google Cloud 控制台中,依次前往风险 > 支持请求
  2. 选择与 ITSM 工单相关的支持请求。
  3. 支持请求概览标签页中,点击手动操作
  4. 在手动操作的搜索字段中,输入 Jira
  5. Jira 集成下的搜索结果中,选择分配问题操作。系统会打开操作对话框窗口。

  6. 如需配置问题键参数,请输入以下占位符:[Case.Ticket_ID]

    此占位符会动态检索与所选支持请求对应的 Jira 问题 ID。

    1. 如需为特定问题配置问题键参数,请按以下格式输入 Jira 问题 IDSCCE-NUMBER

    您可以在 Jira 问题网址中找到问题 ID:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. 如需配置分配对象参数,请输入 Jira 工单分配对象的邮箱。

    或者,您也可以输入工单分配对象的名称(与 Jira 中显示的名称一致)。该操作支持使用用户名或显示名称。

  8. 点击执行

在支持请求中分配 ServiceNow 工单

如需在支持请求中手动分配 ServiceNow 工单,请完成以下步骤:

  1. 检索 sys_id 值以获取 ServiceNow 分配对象 ID。
  2. 分配 ServiceNow 工单。

检索 sys_id

  1. 在 Google Cloud 控制台中,依次前往风险 > 支持请求
  2. 选择与 ServiceNow 工单相关的支持请求。
  3. 支持请求概览标签页中,点击手动操作
  4. 在手动操作的搜索字段中,输入 ServiceNow
  5. 在搜索结果中,选择获取用户详情操作。系统会打开操作对话框窗口。
  6. 如需配置邮箱参数字段,请输入 ServiceNow 工单分配对象的邮箱。
  7. 点击 Execute。等待操作执行完毕。
  8. 前往支持请求墙,然后点击刷新支持请求
  9. ServiceNow_Get User Details 数据记录中,点击查看更多
  10. JSON 结果部分中,找到 sys_id 键并保存其值,以便在下一部分中使用。

分配 ServiceNow 工单

  1. 前往支持请求概览标签页,然后点击手动操作
  2. 在手动操作的搜索字段中,输入 ServiceNow
  3. ServiceNow 集成下的搜索结果中,选择更新记录操作。系统会打开操作对话框窗口。
  4. 如需配置表名称参数,请输入以下值: u_scc_enterprise_cloud_posture_ticket

  5. 如需配置对象JSON数据参数,请输入以下代码:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    在代码中,使用您在上一部分中检索到的 sys_id 值。

  6. 如需配置记录系统 ID 参数,请输入以下占位符: [Case.Ticket_ID]

    此占位符会动态检索与所选支持请求对应的 ServiceNow 工单 ID。

    或者,对于记录系统 ID 参数,您可以提供工单 ID支持请求概览 > 工单信息 widget > 工单 ID)。

  7. 点击执行

后续步骤

了解如何在支持请求中对发现结果进行分组

了解如何在 Security Command Center 中忽略发现结果

了解如何在支持请求中忽略发现结果