本文档介绍了状况发现结果的所有权概念,以及在 Security Command Center Enterprise 中确定发现结果的资源所有者的流。
概览
Security Command Center 需要有效的资源所有者值,以便了解要将发现结果注入哪个支持请求,确定要自动将工单分配给谁,并确保分组到支持请求中的所有发现结果都属于同一所有者,即使您自定义了分组设置也是如此。
如需详细了解发现结果分组机制,请参阅在支持请求中对发现结果进行分组。
确定状况发现结果的所有权
确定状况发现结果的资源所有者的流如下:
云标记。如需了解详情,请参阅创建和管理标记。
收到发现结果后,SCC Enterprise - Urgent Posture Findings Connector 会分析该发现结果,以确定从发现结果资源继承并包含在 Owner Tag Name 参数中的云标记值。
如果发现结果具有包含资源所有者邮箱的云标记,则连接器会注入该发现结果并将其分配给云标记中定义的资源所有者。
重要联系人。如需了解详情,请参阅 Resource Manager 文档中的管理通知联系人。
如果发现结果未继承任何云标记,连接器会尝试使用重要联系人来确定资源所有者。
如果发现结果具有从其资源继承的任何联系人,连接器会注入该发现结果,并将其分配给联系人中指定的所有者。
如果联系人中有多个值(邮箱),则列表中的第一个值定义了资源所有者。
SCC Enterprise - Urgent Posture Findings Connector 中的 Fallback Owner 参数。
如果某项发现结果未继承任何云标记或重要联系人,连接器会注入该发现结果,并将其分配给连接器的 Fallback Owner 参数中定义的所有者。
如需配置 Fallback Owner 参数,请按照以下步骤操作:
- 在 Google Cloud 控制台中,依次前往设置 > SOAR 设置,打开 SOAR 设置页面。
在 Security Operations 控制台的设置导航栏中,依次前往注入 > 连接器。
选择 SCC Enterprise - Urgent Posture Findings Connector。 系统会打开连接器参数配置页面。
在 Fallback Owner 参数字段中,输入默认受让方(用于修复发现结果)的邮箱。该邮箱应可在您的工单系统中分配。
后续步骤
- 了解如何在支持请求中分配工单。
- 在支持请求概览中了解支持请求的概念。