הקצאת כרטיסים על סמך מקרים של מצב אבטחה

בדף הזה מתועד המנגנון של הקצאת כרטיסים אוטומטית ב-Security Command Center Enterprise, ומוסבר איך להקצות או להקצות מחדש כרטיסים באופן ידני באמצעות מסוף Security Operations.

סקירה כללית

האדם שהוקצתה לו בקשה לטיפול בבעיה אחראי לטפל בנקודות החולשה ולתקן אותן. הכרטיס מוקצה למקבל ההקצאה המתאים באופן אוטומטי על סמך ערך בעל המשאב שמתקבל בירושה על ידי הממצא דרךGoogle Cloud היררכיית המשאבים או על סמך הערך שהוגדר בפרמטר Fallback Owner של המחבר.

הקצאת כרטיסים באופן אוטומטי

תהליך ההקצאה האוטומטית של כרטיס כולל את השלבים הבאים:

  1. קביעת הבעלים של המשאב שזוהה בתוצאת החיפוש.

  2. יצירת בקשות תמיכה וקיבוץ ממצאים קשורים בתוכן שלהן.

  3. יצירה והקצאה של כרטיסים על סמך בקשות תמיכה.

קביעת הבעלים של המשאב

במהלך ההטמעה והקיבוץ של הממצאים במקרים, SCC Enterprise - Urgent Posture Findings Connector מנתח כל ממצא כדי לקבוע את הערכים של בעל המשאב ובעל הגיבוי. ערך הבעלים של חזרה למצב קודם שהוגדר בפרמטר המחבר בעלים של חזרה למצב קודם הוא האפשרות האחרונה להבטיח שהממצא המותאם אישית יוקצה לאדם הנכון לתיקון, אם כל האפשרויות האחרות שסודרו לפי עדיפות נכשלו.

מידע נוסף על הגדרת הבעלים של המשאב ב-Security Command Center Enterprise זמין במאמר קביעת הבעלות על ממצאי תקינות האבטחה.

יצירת בקשות תמיכה וקיבוץ ממצאים

אחרי שהמחבר מעביר ממצא, Security Command Center מעביר את הממצא לכרטיס חדש אם זה הממצא הראשון מסוגו, או לכרטיס קיים אם פרמטרי הממצא תואמים למנגנון קיבוץ. במקרה כזה, הממצא הופך לאירוע שההתראה מבוססת עליו. בעצם, התראה היא מאגר של ממצאים שכולל את כל המידע על ממצא.

מידע נוסף על אופן הקיבוץ של הממצאים בתיקים זמין במאמר קיבוץ ממצאים בתיקים.

יצירה והקצאה של כרטיסים

יצירת פנייה יוצרת באופן אוטומטי כרטיס במערכת כרטיסים משולבת. כל המידע שכלול בפנייה מסונכרן דו-כיוונית עם הכרטיס התואם, כלומר בכל פעם שיש עדכון בפנייה, כמו ממצא חדש, תגובה חדשה או שינוי סטטוס, אותו עדכון מופיע בכרטיס ולהפך.

ב-Security Command Center Enterprise, הכרטיס שנוצר מוקצה באופן אוטומטי לבעל המשאב של הממצאים שמקובצים בתיק. לכל הממצאים בתיק יש את אותו בעלים של המשאב.

הקצאת כרטיסים באופן ידני

כדי להקצות כרטיסים באופן ידני, צריך להפעיל פעולות ידניות במקרים.

הקצאת קריאות ב-Jira במקרים

כדי להקצות ידנית בעיה ב-Jira לבקשת תמיכה, מבצעים את השלבים הבאים:

  1. במסוף Google Cloud , עוברים אל Risk > Cases (סיכונים > אירועים).
  2. בוחרים כרטיס תמיכה שקשור לכרטיס ITSM.
  3. בכרטיסייה Case Overview, לוחצים על Manual Action.
  4. בשדה הפעולה הידנית חיפוש, מזינים Jira.
  5. בתוצאות החיפוש בקטע השילוב Jira, בוחרים בפעולה הקצאת בעיה. תיפתח תיבת דו-שיח של הפעולה.

  6. כדי להגדיר את הפרמטר Issue Key, מזינים את ה-placeholder הבא: [Case.Ticket_ID]

    הערך הזמני לשמירת מקום מאחזר באופן דינמי את מזהה הבעיה ב-Jira שמתאים לפנייה שנבחרה.

    1. כדי להגדיר את הפרמטר Issue Key לבעיה ספציפית, מזינים את מזהה הבעיה ב-Jira בפורמט הבא: SCCE-NUMBER

    מזהה הבעיה מופיע בכתובת ה-URL של הבעיה ב-Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. כדי להגדיר את הפרמטר Assignee, מזינים את כתובת האימייל של מי שהוקצה לו כרטיס Jira.

    אפשר גם להזין את השם של מי שהוקצה לו הטיפול בכרטיס, כפי שהוא מוצג ב-Jira. הפעולה תומכת בשימוש בשמות משתמשים או בשמות מוצגים.

  8. לוחצים על Execute.

הקצאת כרטיסים של ServiceNow במקרים

כדי להקצות ידנית כרטיס ServiceNow לבקשת תמיכה:

  1. מאחזרים את הערך sys_id כדי לקבל את מזהה המקצה ב-ServiceNow.
  2. מקצים את הכרטיס ב-ServiceNow.

אחזור הערך של sys_id

  1. במסוף Google Cloud , עוברים אל Risk > Cases (סיכונים > אירועים).
  2. בוחרים בקשה שקשורה לכרטיס ServiceNow.
  3. בכרטיסייה Case Overview, לוחצים על Manual Action.
  4. בשדה הפעולה הידנית חיפוש, מזינים ServiceNow.
  5. בתוצאות החיפוש, בוחרים בפעולה Get User Details. תיפתח תיבת דו-שיח של הפעולה.
  6. כדי להגדיר את שדה הפרמטר Emails, מזינים את כתובת האימייל של מקבל הכרטיס ב-ServiceNow.
  7. לוחצים על Execute. ממתינים עד שהפעולה תתבצע.
  8. עוברים אל Case Wall ולוחצים על Refresh Case.
  9. ברשומה של הנתונים ServiceNow_Get User Details, לוחצים על View more (הצגת פרטים נוספים).
  10. בקטע JSON Result, מחפשים את המפתח sys_id ושומרים את הערך שלו כדי להשתמש בו בקטע הבא.

הקצאת הכרטיס ב-ServiceNow

  1. עוברים לכרטיסייה סקירת אירוע ולוחצים על פעולה ידנית.
  2. בשדה הפעולה הידנית חיפוש, מזינים ServiceNow.
  3. בתוצאות החיפוש בקטע השילוב של ServiceNow, בוחרים בפעולה Update Record. תיפתח תיבת דו-שיח של הפעולה.
  4. כדי להגדיר את הפרמטר Table Name (שם הטבלה), מזינים את הערך הבא: u_scc_enterprise_cloud_posture_ticket

  5. כדי להגדיר את הפרמטר Object Json Data, מזינים את הקוד הבא:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    בקוד, משתמשים בערך sys_id שאוחזר בקטע הקודם.

  6. כדי להגדיר את הפרמטר Record Sys ID, מזינים את ה-placeholder הבא: [Case.Ticket_ID]

    הפלייסהולדר מאחזר באופן דינמי את מזהה הכרטיס ב-ServiceNow שמתאים לבקשת התמיכה שנבחרה.

    לחלופין, לפרמטר Record Sys ID, אפשר לספק מזהה כרטיס (בווידג'ט Ticket Information [פרטי כרטיס] > Case Overview [סקירה כללית של פנייה] > Ticket ID [מזהה כרטיס]).

  7. לוחצים על Execute.

מה השלב הבא?

איך מקבצים ממצאים בתיקים

איך משתיקים ממצאים ב-Security Command Center

איך משתיקים ממצאים בתיקים