ポスチャー検出結果の所有権を特定する

このドキュメントでは、ポスチャー検出結果の所有権のコンセプトと、Security Command Center Enterprise で検出結果のリソース オーナーを決定するフローについて説明します。

概要

Security Command Center には有効なリソース オーナー値が必要で、これによって、検出結果を取り込むケースの把握やチケットを自動的に割り当てるユーザーの定義を行い、グループ化設定をカスタマイズしてもケースにグループ化されたすべての検出結果が同じオーナーに属することを保証します。

検出結果のグループ化メカニズムの詳細については、ケースの検出結果をグループ化するをご覧ください。

ポスチャー検出結果の所有権を決定する

ポスチャー検出結果のリソース オーナーを決定するフローは次のとおりです。

  1. クラウドタグ。詳細については、タグの作成と管理をご覧ください。

    検出結果を受信すると、SCC Enterprise - Urgent Posture Findings Connector は、検出結果リソースから継承され、オーナータグ名パラメータに含まれているクラウドタグ値を対象に検出結果を分析します。

    検出結果にリソース オーナーのメールアドレスを含むクラウドタグがある場合、コネクタは検出結果を取り込んでクラウドタグで定義されたリソース オーナーに割り当てます。

  2. 重要な連絡先詳細については、Resource Manager ドキュメントの通知の連絡先の管理をご覧ください。

    検出結果がクラウドタグを継承していない場合、コネクタは重要な連絡先を使用してリソース オーナーの定義を試みます。

    検出結果にリソースから継承された連絡先がある場合、コネクタは検出結果を取り込んで連絡先に記載されているオーナーに割り当てます。

    連絡先に複数の値(メール)がある場合、リソース オーナーはリストの最初の値で定義されます。

  3. SCC Enterprise - Urgent Posture Findings ConnectorFallback Owner パラメータ。

    検出結果がクラウドタグや重要な連絡先を継承していない場合、コネクタは検出結果を取り込み、コネクタの Fallback Owner パラメータで定義されたオーナーに割り当てます。

    Fallback Owner パラメータを構成する手順は次のとおりです。

    1. Security Operations コンソールで、[設定] > [取り込み] > [コネクタ] に移動します。

    2. [SCC Enterprise - Urgent Posture Findings Connector] を選択します。コネクタ パラメータの構成ページが開きます。

    3. [Fallback Owner] パラメータ フィールドに、検出結果を修正するデフォルトの割り当て先のメールアドレスを入力します。メールは、チケット発行システムで割り当て可能である必要があります。

すべての Google Cloud リソースにクラウドタグを使用することをおすすめします。これにより、すべての検出結果が、定義されたオーナーの正しいタグを自動的に継承し、正しいユーザーに割り当てられます。Google Cloud リソースの階層が正しいことを保証しながら、リソース オーナーを特定する最も正確な方法は、クラウドタグを使用することです。

次のステップ