En este documento, se explica el concepto de propiedad de los hallazgos de la postura y el flujo para determinar el propietario del recurso de un hallazgo en Security Command Center Enterprise.
Descripción general
Security Command Center requiere un valor de propietario del recurso válido para saber en qué caso debe incorporar el hallazgo, definir a quién se le debe asignar automáticamente un ticket y garantizar que todos los hallazgos agrupados en un caso pertenezcan al mismo propietario, incluso si personalizas la configuración de agrupación.
Para obtener más información sobre el mecanismo de agrupación de hallazgos, consulta Agrupa hallazgos en casos.
Determina la propiedad de los hallazgos de la postura
El flujo para determinar el propietario del recurso en el caso de los hallazgos de la postura es el siguiente:
Etiquetas de Cloud Para obtener más información, consulta Crea y administra etiquetas.
Cuando recibe un hallazgo, el conector de SCC Enterprise - Urgent Posture Findings lo analiza para determinar el valor de la etiqueta de Cloud heredada del recurso del hallazgo y que se incluye en el parámetro Nombre de la etiqueta del propietario.
Si un hallazgo posee una etiqueta de Cloud con el correo electrónico del propietario de un recurso, el conector lo ingiere y se lo asigna al propietario del recurso definido en una etiqueta de Cloud.
Contactos esenciales Para obtener más información, consulta Administra contactos para las notificaciones en la documentación de Resource Manager.
Si un hallazgo no heredó ninguna etiqueta de nube, el conector intenta definir el propietario del recurso con los contactos esenciales.
Si un hallazgo tiene contactos heredados de su recurso, el conector lo ingiere y se lo asigna al propietario indicado en los contactos.
Si hay varios valores (correos electrónicos) en los contactos, el primer valor de la lista define el propietario del recurso.
El parámetro Fallback Owner en el conector de SCC Enterprise - Urgent Posture Findings
Si un hallazgo no heredó ninguna etiqueta de nube ni ningún contacto esencial, el conector lo ingiere y lo asigna al propietario definido en el parámetro Fallback Owner del conector.
Para configurar el parámetro Fallback Owner, sigue estos pasos:
- En la consola de Google Cloud , ve a Configuración > Configuración de SOAR para abrir la página Configuración de SOAR.
En la navegación de Configuración de la consola de Operaciones de seguridad, ve a Ingestion > Connectors.
Selecciona el conector de SCC Enterprise - Urgent Posture Findings. Se abrirá la página de configuración de parámetros del conector.
En el campo del parámetro Fallback Owner, ingresa el correo electrónico del asignatario predeterminado para corregir los hallazgos. El correo electrónico debe poder asignarse en tu sistema de tickets.
Te recomendamos que uses etiquetas de Cloud para todos tus recursos de Google Cloud para asegurarte de que cada hallazgo herede automáticamente las etiquetas correctas con los propietarios definidos y se asigne a la persona correcta. Usar etiquetas de Cloud es el método más preciso para determinar el propietario del recurso y, al mismo tiempo, garantizar que la jerarquía de tus recursos deGoogle Cloud sea correcta.
Próximos pasos
- Obtén más información para asignar tickets en casos.
- Aprende los conceptos de los casos en Descripción general de los casos.