En este documento se explica cómo puede agrupar las detecciones en casos.
Estos pasos se realizan en las páginas de la consola Operaciones de seguridad. Para abrir estas páginas desde la consola Google Cloud , ve a Configuración > Configuración de SOAR.
Información general
El mecanismo de agrupación de resultados agrupa automáticamente los resultados insertados en casos. De forma predeterminada, este mecanismo de agrupación asegura que todos los resultados de un caso pertenezcan a lo mismo:
- Propietario del recurso
- Google Cloud proyecto
- Cuenta de AWS
- Tipo de recurso
- Categoría
- Nivel de gravedad
Configurar los ajustes de agrupación
Para configurar los ajustes de agrupación predeterminados que se aplican a todos los resultados insertados, sigue estos pasos:
En la consola Security Operations, ve a Configuración > Ingesta > Conectores.
Selecciona SCC Enterprise - Urgent Posture Findings Connector.
Para personalizar el mecanismo de agrupación e inhabilitar opciones de agrupación específicas, desmarca las casillas de uno o varios de los siguientes parámetros:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
De forma predeterminada, los siguientes ajustes de agrupación se aplican a las detecciones insertadas:
Agrupar por cuenta de AWS: las detecciones se agrupan según las cuentas de AWS a las que pertenecen.
Agrupar por proyecto de GCP: las detecciones se agrupan según los proyectos a los que pertenecen. Google Cloud
Agrupar por gravedad: los resultados se agrupan según su
severitynivel, comoHIGHoMEDIUM.Agrupar por tipo de recurso: las detecciones se agrupan según su tipo de recurso (Google Cloud tipo de recurso), como una instancia de Compute Engine o una cuenta de servicio de gestión de identidades y accesos.
Todas las detecciones agrupadas en un caso pertenecen al mismo propietario. Para asegurarse de que los resultados se agrupan correctamente, incluidos los que no tienen etiquetasGoogle Cloud heredadas ni contactos esenciales, configure siempre el parámetro Fallback Owner del conector.
Ejemplo: cómo funciona el mecanismo de agrupación
En este ejemplo, solo se usan las detecciones de Google Cloud .
El conector ingiere cuatro detecciones con diferentes gravedades y diferentes valores heredados de sus respectivos Google Cloud recursos:
Resultado 1: gravedad:
Critical, tipo de recurso:Compute, proyecto:Project_1Detección 2: gravedad:
Critical, tipo de recurso:IAM, proyecto:Project_2Detección 3: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_1Detección 4: gravedad:
High, tipo de recurso:Compute, proyecto:Project_2
Mecanismo de agrupación predeterminado
Los ajustes predeterminados implican que los resultados se agrupan según sus respectivos proyectos, tipos de recursos y propiedad de gravedad.
En este ejemplo, cada resultado se incluye en un caso diferente.
Caso 1:
- Detección 1: gravedad:
Critical, tipo de recurso:Compute, proyecto:Project_1
- Detección 1: gravedad:
Caso 2:
- Detección 2: Gravedad:
Critical, Tipo de recurso:IAM, Proyecto:Project_2
- Detección 2: Gravedad:
Caso 3:
- Detección 3: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_1
- Detección 3: Gravedad:
Caso 4:
- Detección 4: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_2
- Detección 4: Gravedad:
Mecanismo de agrupación personalizado
Si solo selecciona la casilla Agrupar por proyecto de GCP, las detecciones se agruparán automáticamente según sus proyectos Google Cloud , de modo que un caso solo contendrá detecciones que pertenezcan al mismo proyecto:
Caso 1:
- Detección 1: gravedad
Critical, tipo de recursoCompute, proyecto:Project_1 - Detección 3: gravedad
High, tipo de recursoCompute, proyecto:Project_1
- Detección 1: gravedad
Caso 2:
- Detección 2: gravedad
Critical, tipo de recursoIAM, proyecto:Project_2 - Hallazgo 4: gravedad
High, tipo de recurso:Compute, proyecto:Project_2
- Detección 2: gravedad
Si solo marcas la casilla Agrupar por gravedad, las detecciones se agruparán automáticamente según su gravedad, de modo que un caso solo contendrá detecciones con el mismo nivel de gravedad:
Caso 1:
- Resultado 1: gravedad:
Critical, tipo de recurso:Compute, proyecto:Project_1 - Detección 2: Gravedad:
Critical, Tipo de recurso:IAM, Proyecto:Project_2
- Resultado 1: gravedad:
Caso 2:
- Detección 3: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_1 - Detección 4: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_2
- Detección 3: Gravedad:
Si solo marca la casilla Agrupar por tipo de recurso, las detecciones se agruparán automáticamente según sus tipos de recurso (tipos de recurso en Google Cloud) para que un caso solo contenga detecciones que pertenezcan al mismo recurso:
Caso 1:
- Detección 1: gravedad:
Critical, tipo de recurso:Compute, proyecto:Project_1 - Detección 3: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_1 - Detección 4: gravedad:
High, tipo de recurso:Compute, proyecto:Project_2
- Detección 1: gravedad:
Caso 2:
- Detección 2: Gravedad:
Critical, Tipo de recurso:IAM, Proyecto:Project_2
- Detección 2: Gravedad:
Si selecciona las casillas Agrupar por proyecto de GCP y Agrupar por gravedad, las detecciones se agruparán automáticamente según sus proyectos y niveles de gravedad respectivos, de modo que un caso solo contenga detecciones que pertenezcan al mismo proyecto y tengan la misma gravedad. En este ejemplo, el conector crea cuatro casos:
Caso 1:
- Resultado 1: gravedad:
Critical, tipo de recurso:Compute, proyecto:Project_1
- Resultado 1: gravedad:
Caso 2:
- Detección 2: Gravedad:
Critical, Tipo de recurso:IAM, Proyecto:Project_2
- Detección 2: Gravedad:
Caso 3:
- Detección 3: gravedad:
High, tipo de recurso:Compute, proyecto:Project_1
- Detección 3: gravedad:
Caso 4:
- Detección 4: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_2
- Detección 4: Gravedad:
Siguientes pasos
- Consulta más información sobre las alertas en la documentación de Google SecOps.