Ergebnisse in Anfragen gruppieren

In diesem Dokument wird beschrieben, wie Sie Ergebnisse in Fällen gruppieren können.

Diese Schritte werden auf Seiten der Security Operations-Konsole ausgeführt. Wenn Sie diese Seiten über die Google Cloud Konsole aufrufen möchten, gehen Sie zu Einstellungen > SOAR-Einstellungen.

Übersicht

Der Mechanismus zur Gruppierung von Ergebnissen gruppiert automatisch aufgenommene Ergebnisse in Fällen. Standardmäßig sorgt dieser Gruppierungsmechanismus dafür, dass alle Ergebnisse in einem Fall zum selben gehören:

• Ressourceninhaber
• Google Cloud -Projekt
• AWS-Konto
• Asset-Typ
• Kategorie
• Wichtigkeitsstufe

Gruppierungseinstellungen konfigurieren

So konfigurieren Sie die Standardeinstellungen für die Gruppierung, die für alle aufgenommenen Ergebnissen gelten:

1. Rufen Sie in der Security Operations-Konsole Einstellungen> Aufnahme> Connectors auf.

2. Wählen Sie SCC Enterprise – Urgent Posture Findings Connector aus.

3. Wenn Sie den Gruppierungsmechanismus anpassen und bestimmte Gruppierungsoptionen deaktivieren möchten, entfernen Sie die Häkchen für einen oder mehrere der folgenden Parameter:

   • Group by AWS Account
   • Group by GCP Project
   • Group by Severity
   • Group by Asset Type

Standardmäßig gelten für aufgenommene Ergebnisse die folgenden Gruppierungseinstellungen:

• Nach AWS-Konto gruppieren: Ergebnisse werden nach den AWS-Konten gruppiert, zu denen sie gehören.

• Nach GCP-Projekt gruppieren: Ergebnisse werden nach den Google Cloud-Projekten gruppiert, zu denen sie gehören.

• Nach Schweregrad gruppieren: Die Ergebnisse werden nach severity Schweregrad gruppiert, z. B. HIGH oder MEDIUM.

• Nach Asset-Typ gruppieren: Ergebnisse werden nach ihrem Asset-Typ (Google Cloud Ressourcentyp) gruppiert, z. B. Compute Engine-Instanz oder IAM-Dienstkonto.

Alle Ergebnisse, die in einem Fall gruppiert sind, gehören demselben Inhaber. Damit die Ergebnisse richtig gruppiert werden, auch Ergebnisse ohne übernommeneGoogle Cloud -Tags oder wichtige Kontakte, müssen Sie immer den Connector-Parameter Fallback Owner konfigurieren.

Beispiel: Funktionsweise des Gruppierungsmechanismus

In diesem Beispiel werden nur Ergebnisse aus Google Cloud verwendet.

Der Connector erfasst vier Ergebnisse mit unterschiedlichen Schweregraden und unterschiedlichen Werten, die von den jeweiligen Google Cloud -Ressourcen übernommen wurden:

• Ergebnis 1: Schweregrad: Critical, Asset-Typ: Compute, Projekt: Project_1

• Ergebnis 2: Schweregrad: Critical, Asset-Typ: IAM, Projekt: Project_2

• Ergebnis 3: Schweregrad: High, Asset-Typ: Compute, Projekt: Project_1

• Ergebnis 4: Schweregrad: High, Asset-Typ: Compute, Projekt: Project_2

Standardgruppierungsmechanismus

Standardmäßig werden die Ergebnisse nach den jeweiligen Projekten, Asset-Typen und dem Schweregrad gruppiert.

In diesem Beispiel ist jedes Ergebnis in einem separaten Fall enthalten.

• Fall 1:

  • Ergebnis 1: Schweregrad: Critical, Asset-Typ: Compute, Projekt: Project_1

• Fall 2:

  • Ergebnis 2: Schweregrad: Critical, Asset-Typ: IAM, Projekt: Project_2

• Fall 3:

  • Ergebnis 3: Schweregrad: High, Asset-Typ: Compute, Projekt: Project_1

• Fall 4:

  • Ergebnis 4: Schweregrad: High, Asset-Typ: Compute, Projekt: Project_2

Mechanismus für benutzerdefinierte Gruppierung

Wenn Sie nur das Kästchen Nach GCP-Projekt gruppieren auswählen, werden die Ergebnisse automatisch nach ihren Google Cloud Projekten gruppiert, sodass eine Supportanfrage nur Ergebnisse enthält, die zum selben Projekt gehören:

• Fall 1:

  • Ergebnis 1: Schweregrad Critical, Asset-Typ: Compute, Projekt: Project_1
  • Ergebnis 3: Schweregrad High, Asset-Typ: Compute, Projekt: Project_1

• Fall 2:

  • Ergebnis 2: Schweregrad Critical, Asset-Typ: IAM, Projekt: Project_2
  • Ergebnis 4: Schweregrad High, Asset-Typ: Compute, Projekt: Project_2

Wenn Sie nur das Kästchen Nach Schweregrad gruppieren auswählen, werden die Ergebnisse automatisch nach Schweregrad gruppiert, sodass ein Fall nur Ergebnisse mit demselben Schweregrad enthält:

• Fall 1:

  • Ergebnis 1: Schweregrad: Critical, Asset-Typ: Compute, Projekt: Project_1
  • Ergebnis 2: Schweregrad: Critical, Asset-Typ: IAM, Projekt: Project_2

• Fall 2:

  • Ergebnis 3: Schweregrad: High, Asset-Typ: Compute, Projekt: Project_1
  • Ergebnis 4: Schweregrad: High, Asset-Typ: Compute, Projekt: Project_2

Wenn Sie nur das Kästchen Nach Asset-Typ gruppieren auswählen, werden Ergebnisse automatisch nach ihren Asset-Typen (Ressourcentypen in Google Cloud) gruppiert, sodass ein Fall nur Ergebnisse enthält, die zur selben Ressource gehören:

• Fall 1:

  • Ergebnis 1: Schweregrad: Critical, Asset-Typ: Compute, Projekt: Project_1
  • Ergebnis 3: Schweregrad: High, Asset-Typ: Compute, Projekt: Project_1
  • Ergebnis 4: Schweregrad: High, Asset-Typ: Compute, Projekt: Project_2

• Fall 2:

  • Ergebnis 2: Schweregrad: Critical, Asset-Typ: IAM, Projekt: Project_2

Wenn Sie sowohl das Kästchen Nach GCP-Projekt gruppieren als auch das Kästchen Nach Schweregrad gruppieren auswählen, werden die Ergebnisse automatisch nach den jeweiligen Projekten und Schweregraden gruppiert. Eine Supportanfrage enthält dann nur Ergebnisse, die zum selben Projekt gehören und denselben Schweregrad haben. In diesem Beispiel erstellt der Connector vier Fälle:

• Fall 1:

  • Ergebnis 1: Schweregrad: Critical, Asset-Typ: Compute, Projekt: Project_1

• Fall 2:

  • Ergebnis 2: Schweregrad: Critical, Ressourcentyp: IAM, Projekt: Project_2

• Fall 3:

  • Ergebnis 3: Schweregrad: High, Ressourcentyp: Compute, Projekt: Project_1

• Fall 4:

  • Ergebnis 4: Schweregrad: High, Ressourcentyp: Compute, Projekt: Project_2

Nächste Schritte

• Weitere Informationen zu Benachrichtigungen finden Sie in der Google SecOps-Dokumentation.