本文說明姿勢發現項目的擁有權概念,以及在 Security Command Center Enterprise 中,判斷發現項目資源擁有者的流程。
總覽
Security Command Center 需要有效的資源擁有者值,才能判斷要將發現項目併入哪個案件、定義要自動將案件指派給誰,以及確保即使您自訂分組設定,併入案件的所有發現項目都屬於同一位擁有者。
如要進一步瞭解調查結果分組機制,請參閱在案件中將調查結果分組。
判斷姿勢發現項目的擁有權
判斷姿勢發現項目資源擁有者的流程如下:
雲端標記。詳情請參閱「建立及管理標記」。
收到發現項目後,SCC Enterprise - Urgent Posture Findings Connector 會分析該項目,找出從發現項目資源繼承的雲端標記值,並包含在「擁有者標記名稱」參數中。
如果發現項目含有資源擁有者的電子郵件地址,連接器會擷取該項目,並指派給雲端標記中定義的資源擁有者。
重要聯絡人。詳情請參閱 Resource Manager 說明文件中的「管理通知聯絡人」。
如果探索結果未沿用任何雲端標記,連接器會嘗試使用重要聯絡人定義資源擁有者。
如果發現項目有任何從資源沿用的聯絡人,連接器會擷取該發現項目,並指派給聯絡人中列出的擁有者。
如果聯絡人有多個值 (電子郵件地址),清單中的第一個值會定義資源擁有者。
SCC Enterprise - Urgent Posture Findings Connector 中的「Fallback Owner」參數。
如果發現項目未沿用任何雲端標記或重要聯絡人,連接器會擷取該項目,並指派給連接器 Fallback Owner 參數中定義的擁有者。
如要設定「Fallback Owner」參數,請按照下列步驟操作:
- 在 Google Cloud 控制台中,依序前往「Settings」(設定) >「SOAR settings」(SOAR 設定),開啟「SOAR settings」(SOAR 設定) 頁面。
在 Security Operations 控制台的「Settings」(設定)導覽中,依序前往「Ingestion」(擷取)>「Connectors」(連接器)。
選取「SCC Enterprise - Urgent Posture Findings Connector」。 系統會開啟連結器參數設定頁面。
在「Fallback Owner」參數欄位中,輸入預設指派對象的電子郵件地址,以修正調查結果。電子郵件應可在票務系統中指派。
建議您為所有 Google Cloud 資源使用雲端標記,確保每項發現都會自動沿用正確的標記,並指派給正確的人員。使用雲端標記是判斷資源擁有者的最準確方法,同時確保資源階層結構正確無誤。Google Cloud