En este documento, se explica cómo puedes agrupar los hallazgos en casos.
Estos pasos se realizan con las páginas de la consola de Operaciones de seguridad. Para abrir estas páginas desde la consola de Google Cloud , ve aConfiguración > Configuración de SOAR.
Descripción general
El mecanismo de agrupación de hallazgos agrupa automáticamente los hallazgos incorporados en casos. De forma predeterminada, este mecanismo de agrupación garantiza que todos los hallazgos de un caso pertenezcan a lo siguiente:
- Propietario del recurso
- Google Cloud proyecto
- Cuenta de AWS
- Tipo de recurso
- Categoría
- Nivel de gravedad
Cómo configurar los parámetros de agrupación
Para configurar los parámetros de configuración de agrupamiento predeterminados aplicables a todos los hallazgos transferidos, sigue estos pasos:
En la consola de Operaciones de seguridad, ve a Configuración > Ingestión > Conectores.
Selecciona SCC Enterprise - Urgent Posture Findings Connector.
Para personalizar el mecanismo de agrupación y, así, inhabilitar opciones de agrupación específicas, desmarca las casillas de verificación de uno o más de los siguientes parámetros:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
De forma predeterminada, se aplican los siguientes parámetros de configuración de agrupación a los resultados transferidos:
Agrupar por cuenta de AWS: Los hallazgos se agrupan según las cuentas de AWS a las que pertenecen.
Agrupar por proyecto de GCP: Los hallazgos se agrupan según los proyectos a los que pertenecen. Google Cloud
Agrupar por gravedad: Los resultados se agrupan según su
severitynivel, comoHIGHoMEDIUM.Agrupar por tipo de recurso: Los hallazgos se agrupan según su tipo de recurso (Google Cloud tipo de recurso), como una instancia de Compute Engine o una cuenta de servicio de IAM.
Todos los hallazgos agrupados en un caso pertenecen al mismo propietario. Para garantizar que los hallazgos se agrupen correctamente, incluidos los que no tienen etiquetasGoogle Cloud heredadas ni contactos esenciales, siempre configura el parámetro Fallback Owner del conector.
Ejemplo: Cómo funciona el mecanismo de agrupación
En este ejemplo, solo se usan los hallazgos de Google Cloud .
El conector ingiere cuatro hallazgos con diferentes niveles de gravedad y valores heredados de sus respectivos recursos Google Cloud :
Hallazgo 1: Gravedad:
Critical, Tipo de recurso:Compute, Proyecto:Project_1Hallazgo 2: Gravedad:
Critical, Tipo de recurso:IAM, Proyecto:Project_2Hallazgo 3: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_1Hallazgo 4: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_2
Mecanismo de agrupación predeterminado
La configuración predeterminada significa que los hallazgos se agrupan según sus respectivos proyectos, tipos de recursos y propiedad de gravedad.
En este ejemplo, cada hallazgo se incluye en un caso diferente.
Caso 1:
- Hallazgo 1: Gravedad:
Critical, Tipo de recurso:Compute, Proyecto:Project_1
- Hallazgo 1: Gravedad:
Caso 2:
- Hallazgo 2: Gravedad:
Critical, Tipo de recurso:IAM, Proyecto:Project_2
- Hallazgo 2: Gravedad:
Caso 3:
- Hallazgo 3: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_1
- Hallazgo 3: Gravedad:
Caso 4:
- Hallazgo 4: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_2
- Hallazgo 4: Gravedad:
Mecanismo de agrupación personalizado
Si seleccionas solo la casilla de verificación Agrupar por proyecto de GCP, los hallazgos se agrupan automáticamente según sus Google Cloud proyectos, de modo que un caso solo contiene hallazgos que pertenecen al mismo proyecto:
Caso 1:
- Hallazgo 1: Gravedad
Critical, Tipo de recurso:Compute, Proyecto:Project_1 - Hallazgo 3: Gravedad
High, Tipo de recurso:Compute, Proyecto:Project_1
- Hallazgo 1: Gravedad
Caso 2:
- Hallazgo 2: Gravedad
Critical, Tipo de recurso:IAM, Proyecto:Project_2 - Hallazgo 4: Gravedad
High, Tipo de recurso:Compute, Proyecto:Project_2
- Hallazgo 2: Gravedad
Si seleccionas solo la casilla de verificación Agrupar por gravedad, los resultados se agruparán automáticamente según su gravedad, de modo que un caso solo contenga resultados con el mismo nivel de gravedad:
Caso 1:
- Hallazgo 1: Gravedad:
Critical, Tipo de recurso:Compute, Proyecto:Project_1 - Hallazgo 2: Gravedad:
Critical, Tipo de recurso:IAM, Proyecto:Project_2
- Hallazgo 1: Gravedad:
Caso 2:
- Hallazgo 3: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_1 - Hallazgo 4: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_2
- Hallazgo 3: Gravedad:
Si seleccionas solo la casilla de verificación Agrupar por tipo de recurso, los resultados se agruparán automáticamente según sus tipos de recursos (tipos de recursos en Google Cloud), de modo que un caso solo contenga resultados que pertenezcan al mismo recurso:
Caso 1:
- Hallazgo 1: Gravedad:
Critical, Tipo de recurso:Compute, Proyecto:Project_1 - Hallazgo 3: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_1 - Hallazgo 4: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_2
- Hallazgo 1: Gravedad:
Caso 2:
- Hallazgo 2: Gravedad:
Critical, Tipo de recurso:IAM, Proyecto:Project_2
- Hallazgo 2: Gravedad:
Si seleccionas las casillas de verificación Agrupar por proyecto de GCP y Agrupar por gravedad, los hallazgos se agruparán automáticamente según sus respectivos proyectos y niveles de gravedad, de modo que un caso solo contenga hallazgos que pertenezcan al mismo proyecto y que tengan la misma gravedad. En este ejemplo, el conector crea los siguientes cuatro casos:
Caso 1:
- Hallazgo 1: Gravedad:
Critical, Tipo de recurso:Compute, Proyecto:Project_1
- Hallazgo 1: Gravedad:
Caso 2:
- Hallazgo 2: Gravedad:
Critical, Tipo de recurso:IAM, Proyecto:Project_2
- Hallazgo 2: Gravedad:
Caso 3:
- Hallazgo 3: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_1
- Hallazgo 3: Gravedad:
Caso 4:
- Hallazgo 4: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_2
- Hallazgo 4: Gravedad:
Próximos pasos
- Obtén más información sobre las alertas en la documentación de Google SecOps.