本文档介绍了态势发现结果的所有权概念,以及在 Security Command Center Enterprise 中确定发现结果的资源所有者的流程。
概览
Security Command Center 需要有效的资源所有者值才能知道要注入什么案例 找到发现结果,指定自动向谁分配工单,并确保 分组到一个案例中的所有发现结果都属于同一所有者,即使您 自定义分组设置
如需详细了解发现结果分组机制,请参阅对发现结果进行分组 用例。
确定状况发现结果的所有权
确定态势发现结果的资源所有者的流程如下:
Cloud 标记。如需了解详情,请参阅创建和管理标记。
收到发现结果后,SCC Enterprise - Urgent Posture Findings 连接器会对其进行分析,以查找从发现结果资源继承并包含在 Owner Tag Name 参数中的云代码值。
如果某个发现结果包含包含资源所有者电子邮件地址的云端代码,则连接器会提取该发现结果,并将其分配给云端代码中定义的资源所有者。
重要联系人。如需了解详情,请参阅 Resource Manager 文档中的管理通知联系人。
如果发现结果未继承任何 Cloud 标记,则连接器会尝试 使用重要联系人定义资源所有者。
如果某项发现结果具有从其资源继承的任何联系人,关联器会提取该发现结果,并将其分配给联系人中所述的所有者。
如果联系人中有多个值(电子邮件), list 定义资源所有者。
SCC Enterprise - Urgent Posture Findings 连接器中的 Fallback Owner 参数。
如果某个发现未继承任何云端代码或必需联系人,连接器会提取该发现并将其分配给连接器的后备所有者参数中定义的所有者。
如需配置后备所有者参数,请按以下步骤操作:
在安全运营控制台中,依次选择设置 > 提取 > 连接器。
选择 SCC Enterprise - Urgent Posture Findings Connector。 系统随即会打开连接器参数配置页面。
在 Fallback Owner(后备所有者)参数字段中,输入默认的电子邮件地址 让分配对象对发现结果进行补救。该电子邮件地址应该可以在 工单系统。
我们建议您为所有 Google Cloud 资源使用云标记,以确保每项发现结果都会自动继承具有已定义所有者的正确标记,并分配给正确的人员。使用云标记最准确 确定资源所有者的方法,同时确保资源层次结构 Google Cloud 资源是否正确。
后续步骤
- 了解如何在支持请求中分配工单。
- 请参阅支持请求概览,了解支持请求的概念。