Neste documento, explicamos o conceito de propriedade das descobertas de postura e o fluxo para determinar o proprietário do recurso de uma descoberta no Security Command Center Enterprise.
O conector SCC Enterprise - Descobertas de posturas urgentes é uma funcionalidade com tecnologia do Google Security Operations.
Visão geral
O Security Command Center exige um valor de proprietário de recurso válido para saber em qual caso ingerir a descoberta, definir a quem atribuir automaticamente um tíquete e garantir que todas as descobertas agrupadas em um caso pertençam ao mesmo proprietário, mesmo que você personalize as configurações de agrupamento.
Para mais informações sobre o mecanismo de agrupamento de descobertas, consulte Agrupar descobertas em casos.
Determinar a propriedade das descobertas de postura
O fluxo para determinar o proprietário do recurso para descobertas de postura é o seguinte:
Google Cloud. Para mais informações, consulte Como criar e gerenciar tags.
Ao receber uma descoberta, o SCC Enterprise - Conector de descobertas de posturas urgentes a analisa quanto ao valor da tag do Cloud herdado do recurso de descoberta e contido no parâmetro Nome da tag de proprietário.
Se uma descoberta tiver uma tag do Cloud com o e-mail do proprietário de um recurso, o conector ingere a descoberta e a atribui ao proprietário do recurso definido em uma tag do Cloud.
Contatos essenciais. Para mais informações, consulte Como gerenciar contatos para notificações na documentação do Resource Manager.
Se uma descoberta não tiver herdado tags do Cloud, o conector tentará definir o proprietário do recurso usando os contatos essenciais.
Se uma descoberta tiver contatos herdados do recurso, o conector fará a ingestão da descoberta e a atribuirá ao proprietário indicado nos contatos.
Se houver vários valores (e-mails) nos contatos, o primeiro valor na lista definirá o proprietário do recurso.
O parâmetro Fallback Owner em SCC Enterprise - Urgent Posture Findings Connector.
Se uma descoberta não tiver herdado tags do Cloud ou contatos essenciais, o conector processará a descoberta e a atribuirá ao proprietário definido no parâmetro Proprietário substituto do conector.
Para configurar o parâmetro proprietário substituto, siga estas etapas:
No console de Operações de Segurança, acesse Configurações > Ingestão > Conectores.
Selecione o conector SCC Enterprise - Urgent Posture Findings. A página de configuração dos parâmetros do conector será aberta.
No campo de parâmetro Proprietário substituto, insira o e-mail do responsável pela atribuição padrão para corrigir as descobertas. É preciso que o e-mail possa ser atribuído no sistema de tíquetes.
Recomendamos o uso de tags do Cloud em todos os recursos do Google Cloud para garantir que todas as descobertas herdem automaticamente as tags corretas com proprietários definidos e sejam atribuídas à pessoa certa. Usar tags de nuvem é o método mais preciso para determinar o proprietário do recurso e, ao mesmo tempo, garantir que a hierarquia dos seus recursos do Google Cloud esteja correta.
A seguir
- Saiba como atribuir tíquetes em casos.
- Conheça os conceitos de casos em Visão geral de casos.