确定状态发现结果的所有权

本文档介绍了态势发现结果的所有权概念,以及在 Security Command Center Enterprise 中确定发现结果的资源所有者的流程。

概览

Security Command Center 需要有效的资源所有者值,才能知道将发现结果注入到哪个支持请求中、定义将支持服务工单自动分配给谁,以及确保分组到一个支持请求中的所有发现结果都属于同一所有者(即使您自定义了分组设置也是如此)。

如需详细了解发现结果分组机制,请参阅在支持请求中对发现结果进行分组

确定站姿发现结果的所有权

确定态势发现结果的资源所有者的流程如下:

  1. Cloud 代码。如需了解详情,请参阅创建和管理代码

    收到发现结果后,SCC Enterprise - Urgent Posture Findings 连接器会对其进行分析,以查找从发现结果资源继承并包含在 Owner Tag Name 参数中的云代码值。

    如果某个发现结果包含包含资源所有者电子邮件地址的云端代码,则该连接器会提取该发现结果,并将其分配给云端代码中定义的资源所有者。

  2. 重要联系人。如需了解详情,请参阅 Resource Manager 文档中的管理通知联系人

    如果某个发现没有继承任何云标记,则连接器会尝试使用 Essential Contacts 定义资源所有者。

    如果发现结果具有从其资源继承的任何联系人,关联器会提取该发现结果,并将其分配给联系人中所述的所有者。

    如果联系人中有多个值(电子邮件地址),则列表中的第一个值定义了资源所有者。

  3. SCC Enterprise - Urgent Posture Findings 连接器中的 Fallback Owner 参数。

    如果某个发现未继承任何云端代码或必需联系人,连接器会提取该发现并将其分配给连接器的后备所有者参数中定义的所有者。

    如需配置后备所有者参数,请按以下步骤操作:

    1. 在安全运营控制台中,依次选择设置 > 提取 > 连接器

    2. 选择 SCC Enterprise - Urgent Posture Findings Connector。 系统会打开连接器参数配置页面。

    3. Fallback Owner(后备所有者)参数字段中,输入负责解决发现问题的默认分配者的电子邮件地址。该电子邮件地址应可在您的工单系统中分配。

我们建议您为所有 Google Cloud 资源使用云标记,以确保每项发现都自动继承具有已定义所有者的正确标记,并分配给正确的人员。使用云标记是确定资源所有者的最准确方法,同时可确保 Google Cloud 资源的层次结构正确无误。

后续步骤