Atribua pedidos com base em casos de postura

Esta página documenta o mecanismo de atribuição automática de pedidos no Security Command Center Enterprise e explica como atribuir ou reatribuir manualmente pedidos através da consola de operações de segurança.

Vista geral

Um responsável pela atribuição de um registo é uma pessoa responsável por resolver as vulnerabilidades. O pedido é atribuído automaticamente ao responsável respetivo com base no valor do proprietário do recurso herdado pela descoberta através daGoogle Cloud hierarquia de recursos ou no valor configurado no parâmetro Fallback Owner do conector.

Atribua pedidos automaticamente

O fluxo automático predefinido para atribuir um pedido consiste nos seguintes passos:

  1. Determinar o proprietário do recurso de uma descoberta.

  2. Criar registos e agrupar as conclusões relacionadas nos mesmos.

  3. Criar e atribuir pedidos com base em registos.

Determinar o proprietário do recurso

Ao carregar e agrupar as conclusões em registos, o SCC Enterprise - Urgent Posture Findings Connector analisa cada conclusão para os valores de proprietário do recurso e proprietário alternativo. O valor do proprietário alternativo configurado no parâmetro do conetor Proprietário alternativo é a opção final para garantir que uma descoberta personalizada é atribuída a uma pessoa correta para remediação quando todas as outras opções prioritárias falharam.

Para mais informações sobre a definição do proprietário do recurso no Security Command Center Enterprise, consulte o artigo Determine a propriedade das conclusões relativas à postura.

Criar registos e agrupar resultados

Depois de o conector ter carregado uma descoberta, o Security Command Center encaminha a descoberta para um novo registo se for a primeira do género ou para um registo existente se os parâmetros da descoberta estiverem em conformidade com um mecanismo de agrupamento. Num caso, a descoberta torna-se um evento no qual o alerta se baseia. Essencialmente, um alerta é um contentor de deteções que inclui todas as informações sobre uma deteção.

Para saber como as conclusões são agrupadas em registos, consulte o artigo Agrupe conclusões em registos.

Criar e atribuir pedidos

A criação de um registo cria automaticamente um pedido num sistema de emissão de pedidos integrado. Todas as informações contidas num registo são sincronizadas bidirecionalmente com um pedido correspondente, o que significa que sempre que existe uma atualização num registo, como uma nova descoberta, um novo comentário ou uma alteração de estado, a mesma atualização aparece no pedido e vice-versa.

O Security Command Center Enterprise atribui automaticamente o pedido criado ao proprietário do recurso das descobertas agrupadas num registo. Todas as conclusões num registo têm o mesmo proprietário do recurso.

Atribua pedidos manualmente

A atribuição manual de pedidos requer a execução de ações manuais nos registos.

Atribua problemas do Jira em registos

Para atribuir manualmente um problema do Jira num registo, conclua os seguintes passos:

  1. Na Google Cloud consola, aceda a Risco > Registos.
  2. Selecione um registo relacionado com o pedido de ITSM.
  3. No separador Vista geral do registo, clique em Ação manual.
  4. No campo de pesquisa de ações manuais, introduza Jira.
  5. Nos resultados da pesquisa, na integração do Jira, selecione a ação Atribuir problema. É aberta a janela de diálogo de ações.

  6. Para configurar o parâmetro Issue Key, introduza o seguinte marcador de posição: [Case.Ticket_ID]

    O marcador de posição obtém dinamicamente o ID do problema do Jira correspondente ao registo selecionado.

    1. Para configurar o parâmetro Issue Key para um problema específico, introduza o ID do problema do Jira no seguinte formato: SCCE-NUMBER

    Pode encontrar o ID do problema no URL do problema do Jira:

    https://YOUR_INSTANCE_NAME.atlassian.net/browse/ISSUE_ID

  7. Para configurar o parâmetro Assignee, introduza o endereço de email do responsável pelo pedido do Jira.

    Em alternativa, pode introduzir o nome do responsável pelo pedido, tal como é apresentado no Jira. A ação suporta a utilização de nomes de utilizador ou nomes apresentados.

  8. Clique em Executar.

Atribua pedidos do ServiceNow em registos

Para atribuir manualmente um pedido do ServiceNow num registo, conclua os passos seguintes:

  1. Recupere o valor sys_id para obter o ID do responsável do ServiceNow.
  2. Atribua o pedido do ServiceNow.

Obtenha o valor de sys_id

  1. Na Google Cloud consola, aceda a Risco > Registos.
  2. Selecione um registo relacionado com o pedido do ServiceNow.
  3. No separador Vista geral do registo, clique em Ação manual.
  4. No campo de pesquisa de ações manuais, introduza ServiceNow.
  5. Nos resultados da pesquisa, selecione a ação Get User Details. É aberta a janela de diálogo de ações.
  6. Para configurar o campo do parâmetro Emails, introduza o endereço de email do responsável pelo pedido do ServiceNow.
  7. Clique em Executar. Aguarde até que a ação seja executada.
  8. Aceda ao Case Wall e, de seguida, clique em Atualizar registo.
  9. No registo de dados ServiceNow_Get User Details, clique em Ver mais.
  10. Na secção Resultado JSON, encontre a chave sys_id e guarde o respetivo valor para o usar na secção seguinte.

Atribua o pedido do ServiceNow

  1. Aceda ao separador Vista geral do registo e, de seguida, clique em Ação manual.
  2. No campo de pesquisa de ações manuais, introduza ServiceNow.
  3. Nos resultados da pesquisa, na integração do ServiceNow, selecione a ação Atualizar registo. É aberta a janela de diálogo de ações.
  4. Para configurar o parâmetro Nome da tabela, introduza o seguinte valor: u_scc_enterprise_cloud_posture_ticket

  5. Para configurar o parâmetro Object Json Data, introduza o seguinte código:

    {
  "u_assigned_to": "SYS_ID_VALUE"
}

    No código, use o valor sys_id que obteve na secção anterior.

  6. Para configurar o parâmetro Record Sys ID, introduza o seguinte marcador de posição: [Case.Ticket_ID]

    O marcador de posição obtém dinamicamente o ID do registo do ServiceNow correspondente ao registo selecionado.

    Em alternativa, para o parâmetro Record Sys ID, pode fornecer um ID do registo (widget Informações do registo > ID do registo).

  7. Clique em Executar.

O que se segue?

Saiba como pode agrupar resultados em registos.

Saiba como pode desativar o som de resultados no Security Command Center.

Saiba como pode desativar o som de conclusões em casos.