このドキュメントでは、ポスチャーの検出結果の所有権のコンセプトと、Security Command Center Enterprise で検出結果のリソース オーナーを決定するフローについて説明します。
概要
Security Command Center には有効なリソース オーナー値が必要です。これにより、検出結果を取り込むケースの把握や、チケットを自動的に割り当てるユーザーの定義を行い、グループ化の設定をカスタマイズしても、ケースにグループ化されたすべての検出結果が同じオーナーに属することを保証します。
検出結果のグループ化メカニズムの詳細については、ケースの検出結果をグループ化するをご覧ください。
ポスチャーの検出結果の所有権を決定する
ポスチャーの検出結果のリソース オーナーを決定するフローは次のとおりです。
クラウドタグ。詳細については、タグの作成と管理をご覧ください。
検出結果を受信すると、SCC Enterprise - Urgent Posture Findings コネクタは、検出結果リソースから継承され、Owner Tag Name パラメータに含まれているクラウドタグ値を対象に検出結果を分析します。
検出結果にリソース オーナーのメールアドレスを含むクラウドタグがある場合、コネクタは検出結果を取り込み、クラウドタグで定義されたリソース オーナーに割り当てます。
重要な連絡先。詳細については、Resource Manager ドキュメントの通知の連絡先の管理をご覧ください。
検出結果がクラウドタグを継承していない場合、コネクタは重要な連絡先を使用してリソース オーナーの定義を試みます。
検出結果にリソースから継承された連絡先がある場合、コネクタは検出結果を取り込み、連絡先に指定されているオーナーに割り当てます。
連絡先に複数の値(メールアドレス)がある場合、リソース オーナーはリストの最初の値で定義されます。
SCC Enterprise - Urgent Posture Findings Connector の Fallback Owner パラメータ。
検出結果がクラウドタグや重要な連絡先を継承していない場合、コネクタは検出結果を取り込み、コネクタの Fallback Owner パラメータで定義されたオーナーに割り当てます。
Fallback Owner パラメータを構成する手順は次のとおりです。
- Google Cloud コンソールで、[設定] > [SOAR settings] に移動して、[SOAR settings] ページを開きます。
Security Operations コンソールの [設定] ナビゲーションで、[取り込み] > [コネクタ] に移動します。
[SCC Enterprise - Urgent Posture Findings コネクタ] を選択します。コネクタ パラメータの構成ページが開きます。
[Fallback Owner] パラメータ フィールドに、検出結果を修正するデフォルトの割り当て先のメールアドレスを入力します。メールアドレスはチケット発行システムで割り当て可能である必要があります。
次のステップ
- ケースにチケットを割り当てる方法を確認する。
- ケースの概要で、ケースのコンセプトについて学習する。