このドキュメントでは、ポスチャー検出結果の所有権のコンセプトと、Security Command Center Enterprise で検出結果のリソース オーナーを決定するフローについて説明します。
SCC Enterprise - Urgent Posture Findings Connector は、Google Security Operations を利用した機能です。
概要
Security Command Center には有効なリソース オーナー値が必要で、これによって、検出結果を取り込むケースの把握やチケットを自動的に割り当てるユーザーの定義を行い、グループ化設定をカスタマイズしてもケースにグループ化されたすべての検出結果が同じオーナーに属することを保証します。
検出結果のグループ化メカニズムの詳細については、ケースの検出結果のグループ化をご覧ください。
ポスチャー検出結果の所有権を決定する
ポスチャー検出結果のリソース オーナーを決定するフローは次のとおりです。
クラウドタグ。詳細については、タグの作成と管理をご覧ください。
検出結果を受信すると、SCC Enterprise - Urgent Posture Findings Connector は、検出結果リソースから継承され、オーナータグ名パラメータに含まれているクラウドタグ値を対象に検出結果を分析します。
検出結果にリソース オーナーのメールアドレスを含むクラウドタグがある場合、コネクタは検出結果を取り込んでクラウドタグで定義されたリソース オーナーに割り当てます。
重要な連絡先詳細については、Resource Manager ドキュメントの通知の連絡先の管理をご覧ください。
検出結果がクラウドタグを継承していない場合、コネクタは重要な連絡先を使用してリソース オーナーの定義を試みます。
検出結果にリソースから継承された連絡先がある場合、コネクタは検出結果を取り込んで連絡先に記載されているオーナーに割り当てます。
連絡先に複数の値(メール)がある場合、リソース オーナーはリストの最初の値で定義されます。
SCC Enterprise - Urgent Posture Findings Connector の Fallback Owner パラメータ。
検出結果がクラウドタグや重要な連絡先を継承していない場合、コネクタは検出結果を取り込み、コネクタの Fallback Owner パラメータで定義されたオーナーに割り当てます。
Fallback Owner パラメータを構成する手順は次のとおりです。
Security Operations コンソールで、[設定] > [取り込み] > [コネクタ] に移動します。
[SCC Enterprise - Urgent Posture Findings Connector] を選択します。 コネクタ パラメータの構成ページが開きます。
[Fallback Owner] パラメータ フィールドに、検出結果を修正するデフォルトの割り当て先のメールアドレスを入力します。メールアドレスは、チケット発行システムで割り当て可能である必要があります。
すべての検出結果が定義されたオーナーを含む適切なタグを自動的に継承し、適切なユーザーに割り当てられるように、すべての Google Cloud リソースにクラウドタグを使用することをおすすめします。Google Cloud リソースの階層が正しいことを保証しながら、リソース オーナーを特定する最も正確な方法は、クラウドタグを使用することです。
次のステップ
- 詳しくは、ケースにチケットを割り当てる方法を確認する。
- ケースの概要でケースのコンセプトを確認する。