根據姿勢案例指派支援單

本頁面說明 Security Command Center Enterprise 的自動指派單據機制,並說明如何使用 Security Operations 控制台手動指派或重新指派單據。

總覽

票證指派對象負責處理及修復安全漏洞。系統會根據以下其中一項,自動將案件指派給對應的受讓人:透過Google Cloud 資源階層由發現項目沿用的資源擁有者值,或是連接器「備用擁有者」參數中設定的值。

自動指派支援單

指派工單的預設自動流程包含下列步驟:

  1. 判斷發現項目的資源擁有者。

  2. 建立案件,並將相關發現項目歸入其中。

  3. 根據案件建立及指派服務單。

判斷資源擁有者

將發現項目擷取並分組為案件時,SCC Enterprise - Urgent Posture Findings Connector 會分析每個發現項目的資源擁有者和備用擁有者值。如果所有優先選項都失敗,系統會使用「Fallback Owner」連接器參數中設定的備用擁有者值,確保自訂發現項目指派給適當人員進行補救。

如要進一步瞭解如何在 Security Command Center Enterprise 中定義資源擁有者,請參閱「判斷安全狀態發現項目的擁有權」。

建立案件及將發現項目分組

連接器擷取發現項目後,如果發現項目是同類型的第一個,Security Command Center 會將其轉送至新案件;如果發現項目參數符合分組機制,則會轉送至現有案件。在案件中,發現結果會成為事件快訊就是根據這類事件產生。基本上,快訊是發現事項容器,內含發現事項的所有資訊。

如要進一步瞭解如何將調查結果歸類為案件,請參閱「將調查結果歸類為案件」。

建立及指派支援單

建立案件時,系統會自動在整合式票證系統中建立票證。案件中包含的所有資訊都會與對應的案件雙向同步,也就是說,每當案件有更新 (例如新發現、新留言或狀態變更),案件和案件都會顯示相同的更新內容。

Security Command Center Enterprise 會自動將建立的案件指派給案件中發現項目的資源擁有者。案件中的所有發現事項都屬於同一位資源擁有者。

手動指派票券

如要手動指派案件,必須對案件執行手動操作。

在案件中指派 Jira 問題

如要在案件中手動指派 Jira 問題,請完成下列步驟:

  1. 在 Google Cloud 控制台中,依序前往「風險」>「案件」。
  2. 選取與 ITSM 服務單相關的案件。
  3. 在「案件總覽」分頁中,按一下「手動操作」
  4. 在手動動作「Search」(搜尋) 欄位中,輸入 Jira
  5. 在「Jira」整合服務下方的搜尋結果中,選取「指派問題」動作。系統會開啟動作對話方塊視窗。

  6. 如要設定「Issue Key」(問題鍵) 參數,請輸入下列預留位置: [Case.Ticket_ID]

    系統會動態擷取與所選案件相應的 Jira 問題 ID。

    1. 如要為特定問題設定「Issue Key」參數,請輸入「Jira issue ID」,格式如下: SCCE-NUMBER

    您可以在 Jira 問題網址中找到問題 ID:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. 如要設定「指派對象」參數,請輸入 Jira 票證指派對象的電子郵件地址。

    或者,您也可以輸入 Jira 中顯示的指派對象名稱。這項操作支援使用使用者名稱或顯示名稱。

  8. 按一下 [Execute] (執行)

在案件中指派 ServiceNow 支援單

如要在案件中手動指派 ServiceNow 支援單,請完成下列步驟:

  1. 擷取 sys_id 值,取得 ServiceNow 指派對象 ID。
  2. 指派 ServiceNow 支援單。

擷取 sys_id

  1. 在 Google Cloud 控制台中,依序前往「風險」>「案件」。
  2. 選取與 ServiceNow 票證相關的案件。
  3. 在「案件總覽」分頁中,按一下「手動操作」
  4. 在手動動作「Search」(搜尋) 欄位中,輸入 ServiceNow
  5. 在「ServiceNow」整合服務下方的搜尋結果中,選取「Get User Details」動作。系統會開啟動作對話方塊視窗。
  6. 如要設定「Emails」(電子郵件) 參數欄位,請輸入 ServiceNow 服務單指派對象的電子郵件地址。
  7. 按一下 [Execute] (執行)。等待動作執行完成。
  8. 前往案件總覽頁面,然後按一下「重新整理案件」
  9. 在「ServiceNow_Get User Details」資料記錄中,按一下「查看更多」
  10. 在「JSON Result」部分中,找出 sys_id 鍵並儲存其值,以在下一節中使用。

指派 ServiceNow 支援單

  1. 前往「案件總覽」分頁,然後按一下「手動動作」
  2. 在手動動作「Search」(搜尋) 欄位中,輸入 ServiceNow
  3. 在「ServiceNow」整合服務下方的搜尋結果中,選取「Update Record」動作。系統會開啟動作對話方塊視窗。
  4. 如要設定「Table Name」(資料表名稱) 參數,請輸入下列值: u_scc_enterprise_cloud_posture_ticket

  5. 如要設定「Object Json Data」參數,請輸入下列程式碼:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    在程式碼中,使用您在上一個部分擷取的 sys_id 值。

  6. 如要設定「記錄系統 ID」參數,請輸入下列預留位置: [Case.Ticket_ID]

    系統會根據所選案件,動態擷取對應的 ServiceNow 案件 ID。

    或者,您也可以為「Record Sys ID」參數提供「Ticket ID」 (依序點選「Case Overview」>「Ticket Information」小工具 >「Ticket ID」)。

  7. 按一下 [Execute] (執行)

後續步驟

瞭解如何在案件中將調查結果分組

瞭解如何略過 Security Command Center 中的發現項目

瞭解如何將案件中的調查結果設為靜音