本文档介绍了安全状况发现结果的所有权概念,以及在 Security Command Center Enterprise 中确定发现结果的资源所有者的流程。
概览
Security Command Center 需要有效的资源所有者值,以便了解要将发现结果纳入哪个支持请求,确定要自动将支持请求分配给谁,并确保分组到支持请求中的所有发现结果都属于同一所有者,即使您自定义了分组设置也是如此。
如需详细了解发现结果分组机制,请参阅在支持请求中对发现结果进行分组。
确定姿态发现结果的所有权
确定姿态发现结果的资源所有者的流程如下:
云端代码。如需了解详情,请参阅创建和管理标记。
收到发现结果后,SCC Enterprise - Urgent Posture Findings Connector 会分析该结果,以确定从发现结果资源继承并包含在 Owner Tag Name 参数中的云标记值。
如果发现结果包含资源所有者的电子邮件地址,则连接器会提取该发现结果,并将其分配给云标记中定义的资源所有者。
重要联系人。如需了解详情,请参阅 Resource Manager 文档中的管理通知联系人。
如果发现结果未继承任何云标记,连接器会尝试使用重要联系人来确定资源所有者。
如果发现结果有从其资源继承的任何联系人,连接器会提取该发现结果,并将其分配给联系人中指定的所有者。
如果联系人中有多个值(电子邮件地址),则列表中的第一个值定义了资源所有者。
SCC Enterprise - Urgent Posture Findings 连接器中的 Fallback Owner 参数。
如果某项发现结果未继承任何云标记或重要联系人,连接器会提取该发现结果,并将其分配给连接器的 Fallback Owner 参数中定义的所有者。
如需配置 Fallback Owner 参数,请按以下步骤操作:
- 在 Google Cloud 控制台中,依次前往设置 > SOAR 设置,打开 SOAR 设置页面。
在 Security Operations 控制台的设置导航栏中,依次前往数据提取> 连接器。
选择 SCC Enterprise - Urgent Posture Findings Connector。 系统会打开连接器参数配置页面。
在 Fallback Owner(后备所有者)参数字段中,输入默认受让人(用于修正发现的问题)的电子邮件地址。该电子邮件应可在您的工单系统中分配。
我们建议您为所有 Google Cloud 资源使用云标记,以确保每个发现都会自动继承具有已定义所有者的正确标记,并分配给正确的人员。使用云标记是确定资源所有者的最准确方法,同时可确保Google Cloud 资源的层次结构正确无误。
后续步骤
- 了解如何在支持请求中分配工单。
- 在问题工单概览中了解问题工单的概念。