本文档介绍了状况发现结果的所有权概念和流程 在 Security Command Center Enterprise 中确定发现结果的资源所有者。
SCC Enterprise - Urgent Posture Findings Connector 是一个功能 由 Google Security Operations 提供支持。
概览
Security Command Center 需要有效的资源所有者值才能知道要注入什么案例 找到发现结果,指定自动向谁分配工单,并确保 分组到一个案例中的所有发现结果都属于同一所有者,即使您 自定义分组设置
如需详细了解发现结果分组机制,请参阅对发现结果进行分组 用例。
确定状况发现结果的所有权
确定状况发现结果的资源所有者的流程如下:
Cloud 标记。如需了解详情,请参阅创建和管理标记。
在收到发现结果后,SCC Enterprise - 紧急状况发现结果 连接器对从发现结果继承的 Cloud 标记值进行分析 并且包含在所有者标记名称参数中。
如果发现结果拥有包含资源所有者电子邮件地址的 Cloud 标记, 连接器注入发现结果并将其分配给资源 所有角色。
重要联系人。有关详情,请参阅管理 通知 Resource Manager 文档。
如果发现结果未继承任何 Cloud 标记,则连接器会尝试 使用重要联系人定义资源所有者。
如果发现结果的任何联系人继承自其资源,则连接器 注入发现结果并将其分配给通讯录中注明的所有者。
如果联系人中有多个值(电子邮件), list 定义资源所有者。
SCC Enterprise - Urgent Posture 中的 Fallback Owner 参数 Findings Connector。
如果发现结果未继承任何 Cloud 标记或 重要联系人时,连接器会提取发现结果并 会将其分配给连接器的后备所有者中定义的所有者 参数。
要配置 Fallback Owner 参数,请按以下步骤操作:
在 Security Operations 控制台中,转到设置 > 提取 > 连接器。
选择 SCC Enterprise - Urgent Posture Findings Connector。 系统随即会打开连接器参数配置页面。
在 Fallback Owner(后备所有者)参数字段中,输入默认的电子邮件地址 让分配对象对发现结果进行补救。该电子邮件地址应该可以在 工单系统。
我们建议对所有 Google Cloud 资源使用 Cloud Tag, 确保每个发现结果都会自动继承包含已定义的 所有者并分配给了正确的用户。使用云标记最准确 确定资源所有者的方法,同时确保资源层次结构 Google Cloud 资源是否正确。
后续步骤
- 了解如何在支持请求中分配工单。
- 请参阅支持请求概览,了解支持请求的概念。