In diesem Dokument wird beschrieben, wie Sie Ergebnisse in Fällen gruppieren können.
Diese Schritte werden auf Seiten der Security Operations-Konsole ausgeführt. Wenn Sie diese Seiten in der Google Cloud -Konsole aufrufen möchten, gehen Sie zu Einstellungen > SOAR-Einstellungen.
Übersicht
Der Mechanismus zur Gruppierung von Ergebnissen gruppiert automatisch aufgenommene Ergebnisse in Fällen. Standardmäßig sorgt dieser Gruppierungsmechanismus dafür, dass alle Ergebnisse in einem Fall zum selben gehören:
- Ressourceninhaber
- Google Cloud -Projekt
- AWS-Konto
- Asset-Typ
- Kategorie
- Wichtigkeitsstufe
Gruppierungseinstellungen konfigurieren
So konfigurieren Sie die Standardeinstellungen für die Gruppierung, die für alle aufgenommenen Ergebnissen gelten:
Rufen Sie in der Security Operations-Konsole Einstellungen > Aufnahme> Connectors auf.
Wählen Sie SCC Enterprise – Urgent Posture Findings Connector aus.
Wenn Sie den Gruppierungsmechanismus anpassen und bestimmte Gruppierungsoptionen deaktivieren möchten, entfernen Sie die Häkchen für einen oder mehrere der folgenden Parameter:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Standardmäßig gelten für aufgenommene Ergebnisse die folgenden Gruppierungseinstellungen:
Nach AWS-Konto gruppieren: Ergebnisse werden nach den AWS-Konten gruppiert, zu denen sie gehören.
Nach GCP-Projekt gruppieren: Ergebnisse werden nach den Google CloudProjekten gruppiert, zu denen sie gehören.
Nach Schweregrad gruppieren: Die Ergebnisse werden nach
severitySchweregrad gruppiert, z. B.HIGHoderMEDIUM.Nach Asset-Typ gruppieren: Die Ergebnisse werden nach ihrem Asset-Typ (Google Cloud Ressourcentyp) gruppiert, z. B. Compute Engine-Instanz oder IAM-Dienstkonto.
Alle in einem Fall gruppierten Ergebnisse gehören demselben Inhaber. Damit die Ergebnisse richtig gruppiert werden, auch Ergebnisse ohne übernommeneGoogle Cloud -Tags oder wichtige Kontakte, müssen Sie immer den Connector-Parameter Fallback Owner konfigurieren.
Beispiel: Funktionsweise des Gruppierungsmechanismus
In diesem Beispiel werden nur Ergebnisse aus Google Cloud verwendet.
Der Connector erfasst vier Ergebnisse mit unterschiedlichen Schweregraden und unterschiedlichen Werten, die von den jeweiligen Google Cloud -Ressourcen übernommen wurden:
Ergebnis 1: Schweregrad:
Critical, Asset-Typ:Compute, Projekt:Project_1Ergebnis 2: Schweregrad:
Critical, Asset-Typ:IAM, Projekt:Project_2Ergebnis 3: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_1Ergebnis 4: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_2
Standardgruppierungsmechanismus
Standardmäßig werden die Ergebnisse nach den jeweiligen Projekten, Asset-Typen und dem Schweregrad gruppiert.
In diesem Beispiel ist jedes Ergebnis in einem separaten Fall enthalten.
Fall 1:
- Ergebnis 1: Schweregrad:
Critical, Asset-Typ:Compute, Projekt:Project_1
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 2: Schweregrad:
Critical, Asset-Typ:IAM, Projekt:Project_2
- Ergebnis 2: Schweregrad:
Fall 3:
- Ergebnis 3: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_1
- Ergebnis 3: Schweregrad:
Fall 4:
- Ergebnis 4: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_2
- Ergebnis 4: Schweregrad:
Mechanismus für benutzerdefinierte Gruppierung
Wenn Sie nur das Kästchen Nach GCP-Projekt gruppieren auswählen, werden die Ergebnisse automatisch nach ihren Google Cloud Projekten gruppiert, sodass eine Supportanfrage nur Ergebnisse enthält, die zum selben Projekt gehören:
Fall 1:
- Ergebnis 1: Schweregrad
Critical, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 3: Schweregrad
High, Asset-Typ:Compute, Projekt:Project_1
- Ergebnis 1: Schweregrad
Fall 2:
- Ergebnis 2: Schweregrad
Critical, Asset-Typ:IAM, Projekt:Project_2 - Ergebnis 4: Schweregrad
High, Asset-Typ:Compute, Projekt:Project_2
- Ergebnis 2: Schweregrad
Wenn Sie nur das Kästchen Nach Schweregrad gruppieren auswählen, werden die Ergebnisse automatisch nach Schweregrad gruppiert, sodass ein Fall nur Ergebnisse mit demselben Schweregrad enthält:
Fall 1:
- Ergebnis 1: Schweregrad:
Critical, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 2: Schweregrad:
Critical, Asset-Typ:IAM, Projekt:Project_2
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 3: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 4: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_2
- Ergebnis 3: Schweregrad:
Wenn Sie nur das Kästchen Nach Asset-Typ gruppieren auswählen, werden Ergebnisse automatisch nach ihren Asset-Typen (Ressourcentypen in Google Cloud) gruppiert, sodass ein Fall nur Ergebnisse enthält, die zur selben Ressource gehören:
Fall 1:
- Ergebnis 1: Schweregrad:
Critical, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 3: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 4: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_2
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 2: Schweregrad:
Critical, Asset-Typ:IAM, Projekt:Project_2
- Ergebnis 2: Schweregrad:
Wenn Sie sowohl das Kästchen Nach GCP-Projekt gruppieren als auch das Kästchen Nach Schweregrad gruppieren auswählen, werden die Ergebnisse automatisch nach den jeweiligen Projekten und Schweregraden gruppiert. Eine Supportanfrage enthält dann nur Ergebnisse, die zum selben Projekt gehören und denselben Schweregrad haben. In diesem Beispiel erstellt der Connector vier Fälle:
Fall 1:
- Ergebnis 1: Schweregrad:
Critical, Asset-Typ:Compute, Projekt:Project_1
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 2: Schweregrad:
Critical, Ressourcentyp:IAM, Projekt:Project_2
- Ergebnis 2: Schweregrad:
Fall 3:
- Ergebnis 3: Schweregrad:
High, Ressourcentyp:Compute, Projekt:Project_1
- Ergebnis 3: Schweregrad:
Fall 4:
- Ergebnis 4: Schweregrad:
High, Ressourcentyp:Compute, Projekt:Project_2
- Ergebnis 4: Schweregrad:
Nächste Schritte
- Weitere Informationen zu Benachrichtigungen finden Sie in der Google SecOps-Dokumentation.