En este documento, se explica cómo puedes agrupar los hallazgos en casos de Enterprise de Security Command Center.
Descripción general
El mecanismo de agrupación de hallazgos agrupa automáticamente los hallazgos transferidos en diferentes. De forma predeterminada, este mecanismo de agrupación garantiza que todos los hallazgos de un caso pertenecen al mismo:
- Propietario del recurso
- Proyecto de Google Cloud
- Cuenta de AWS
- Tipo de recurso
- Categoría
- Nivel de gravedad
Define la configuración de agrupación
Para establecer la configuración de agrupación predeterminada que se aplica a todos los resultados transferidos, sigue estos pasos:
En la consola de operaciones de seguridad, ve a Configuración > Transferencia > Conectores.
Selecciona SCC Enterprise - Urgent Posture Findings Connector.
Para personalizar el mecanismo de agrupación y, luego, inhabilitar opciones de agrupación específicas, sigue estos pasos: Desmarque las casillas de verificación de uno o más de los siguientes parámetros:
Group by AWS Account
Group by GCP Project
Group by Severity
Group by Asset Type
De forma predeterminada, la siguiente configuración de agrupación se aplica a los resultados transferidos:
Agrupar por cuenta de AWS: Los resultados se agrupan según las cuentas de AWS. a las que pertenecen.
Agrupar por proyecto de GCP: Los resultados se agrupan de acuerdo con el los proyectos a los que pertenecen.
Agrupar por gravedad: Los resultados se agrupan según su
severity
. nivel, comoHIGH
oMEDIUM
.Agrupar por tipo de recurso: Los resultados se agrupan según su recurso. (tipo de recurso de Google Cloud), como una instancia de Compute Engine o una cuenta de servicio de IAM.
Todos los hallazgos agrupados en un caso pertenecen al mismo propietario. Para garantizar
que los hallazgos se agrupen correctamente, incluidos los hallazgos sin estado heredado
las etiquetas de Google Cloud o los contactos esenciales,
conector Fallback Owner
.
Ejemplo: Cómo funciona el mecanismo de agrupación
En este ejemplo, solo se usan los hallazgos de Google Cloud.
El conector transfiere cuatro hallazgos con diferentes niveles de gravedad y diferentes valores heredados de sus respectivos recursos de Google Cloud:
Resultado 1: Gravedad: Critical
, Tipo de recurso: Compute
, Proyecto: Project_1
Resultado 2: Gravedad: Critical
, Tipo de recurso: IAM
, Proyecto: Project_2
Resultado 3: Gravedad: High
, Tipo de recurso: Compute
, Proyecto: Project_1
Resultado 4: Gravedad: High
, Tipo de recurso: Compute
, Proyecto: Project_2
Mecanismo de agrupación predeterminado
Los parámetros de configuración predeterminados implican que los resultados se agrupan según sus respectivos tipos de recursos y propiedad de gravedad.
En este ejemplo, cada hallazgo está incluido en un caso diferente.
Caso 1:
- Resultado 1: Gravedad:
Critical
, Tipo de activo:Compute
, Proyecto:Project_1
- Resultado 1: Gravedad:
Caso 2:
- Resultado 2: Gravedad:
Critical
, Tipo de activo:IAM
, Proyecto:Project_2
- Resultado 2: Gravedad:
Caso 3:
- Resultado 3: Gravedad:
High
, Tipo de activo:Compute
, Proyecto:Project_1
- Resultado 3: Gravedad:
Caso 4:
- Resultado 4: Gravedad:
High
, Tipo de activo:Compute
, Proyecto:Project_2
- Resultado 4: Gravedad:
Mecanismo de agrupación personalizada
Selecciona solo la casilla de verificación Agrupar por proyecto de GCP (Group by GCP Project) agrupa los resultados automáticamente según sus proyectos de Google Cloud, de modo que un caso solo contenga hallazgos que pertenecen al mismo proyecto:
Caso 1:
- Resultado 1: Gravedad
Critical
, Tipo de recurso:Compute
, Proyecto:Project_1
- Resultado 3: Gravedad
High
, Tipo de recurso:Compute
, Proyecto:Project_1
- Resultado 1: Gravedad
Caso 2:
- Resultado 2: Gravedad
Critical
, Tipo de recurso:IAM
, Proyecto:Project_2
- Resultado 4: Gravedad
High
, Tipo de recurso:Compute
, Proyecto:Project_2
- Resultado 2: Gravedad
Si seleccionas solo la casilla de verificación Agrupar por gravedad, se agrupan automáticamente los resultados según su gravedad, para que un caso solo contenga hallazgos con la misma nivel de gravedad:
Caso 1:
- Resultado 1: Gravedad:
Critical
, Tipo de recurso:Compute
, Proyecto:Project_1
- Resultado 2: Gravedad:
Critical
, Tipo de recurso:IAM
, Proyecto:Project_2
- Resultado 1: Gravedad:
Caso 2:
- Resultado 3: Gravedad:
High
, Tipo de recurso:Compute
, Proyecto:Project_1
- Resultado 4: Gravedad:
High
, Tipo de recurso:Compute
, Proyecto:Project_2
- Resultado 3: Gravedad:
Si seleccionas solo la casilla de verificación Agrupar por tipo de recurso, se agrupan automáticamente los resultados según sus tipos de recursos (tipos de recursos en Google Cloud) para que un caso solo contiene resultados que pertenecen al mismo recurso:
Caso 1:
- Hallazgo 1: Gravedad:
Critical
, Tipo de recurso:Compute
, Proyecto:Project_1
- Resultado 3: Gravedad:
High
, Tipo de recurso:Compute
, Proyecto:Project_1
- Resultado 4: Gravedad:
High
, Tipo de recurso:Compute
, Proyecto:Project_2
- Hallazgo 1: Gravedad:
Caso 2:
- Hallazgo 2: Gravedad:
Critical
, Tipo de recurso:IAM
, Proyecto:Project_2
- Hallazgo 2: Gravedad:
Selecciona las casillas de verificación Agrupar por proyecto de GCP y Agrupar por gravedad. agrupa automáticamente los hallazgos según sus respectivos proyectos y gravedad. niveles para que un caso solo contenga hallazgos que pertenezcan al mismo proyecto y con la misma gravedad. En este ejemplo, el conector crea cuatro los siguientes casos:
Caso 1:
- Resultado 1: Gravedad:
Critical
, Tipo de recurso:Compute
, Proyecto:Project_1
- Resultado 1: Gravedad:
Caso 2:
- Resultado 2: Gravedad:
Critical
, Tipo de recurso:IAM
, Proyecto:Project_2
- Resultado 2: Gravedad:
Caso 3:
- Resultado 3: Gravedad:
High
, Tipo de recurso:Compute
, Proyecto:Project_1
- Resultado 3: Gravedad:
Caso 4:
- Resultado 4: Gravedad:
High
, Tipo de recurso:Compute
, Proyecto:Project_2
- Resultado 4: Gravedad:
Próximos pasos
- Obtén más información sobre las alertas en las SecOps de Google en la documentación de Google Cloud.