Ce document explique comment regrouper les résultats dans des cas.
Ces étapes sont effectuées à l'aide des pages de la console Security Operations. Pour ouvrir ces pages depuis la console Google Cloud , accédez à Paramètres > Paramètres SOAR.
Présentation
Le mécanisme de regroupement des résultats regroupe automatiquement les résultats ingérés dans des cas. Par défaut, ce mécanisme de regroupement garantit que tous les résultats d'une étude appartiennent à la même catégorie :
- Propriétaire de la ressource
- Google Cloud projet
- Compte AWS
- Type d'élément
- Catégorie
- Niveau de gravité
Configurer les paramètres de regroupement
Pour configurer les paramètres de regroupement par défaut applicables à tous les résultats ingérés, procédez comme suit :
Dans la console Security Operations, accédez à Paramètres > Ingestion > Connecteurs.
Sélectionnez Connecteur SCC Enterprise – Urgent Posture Findings.
Pour personnaliser le mécanisme de regroupement et désactiver des options de regroupement spécifiques, décochez les cases correspondant à un ou plusieurs des paramètres suivants :
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Par défaut, les paramètres de regroupement suivants s'appliquent aux résultats ingérés :
Regrouper par compte AWS : les résultats sont regroupés en fonction des comptes AWS auxquels ils appartiennent.
Regrouper par projet GCP : les résultats sont regroupés en fonction des projets Google Cloudauxquels ils appartiennent.
Regrouper par gravité : les résultats sont regroupés en fonction de leur niveau
severity, par exempleHIGHouMEDIUM.Regrouper par type d'actif : les résultats sont regroupés en fonction de leur type d'actif (type de ressourceGoogle Cloud ), comme une instance Compute Engine ou un compte de service IAM.
Toutes les conclusions regroupées dans un même dossier appartiennent au même propriétaire. Pour vous assurer que les résultats sont correctement regroupés, y compris ceux sans balisesGoogle Cloud ni contacts essentiels hérités, configurez toujours le paramètre Fallback Owner du connecteur.
Exemple : fonctionnement du mécanisme de regroupement
Dans cet exemple, seuls les résultats de Google Cloud sont utilisés.
Le connecteur ingère quatre résultats de gravité et de valeurs différentes, héritées de leurs ressources Google Cloud respectives :
Résultat 1 : Gravité :
Critical, Type de composant :Compute, Projet :Project_1Constat 2 : Gravité :
Critical, Type de composant :IAM, Projet :Project_2Problème 3 : Gravité :
High, Type d'asset :Compute, Projet :Project_1Constat 4 : Gravité :
High, Type d'asset :Compute, Projet :Project_2
Mécanisme de regroupement par défaut
Les paramètres par défaut signifient que les résultats sont regroupés en fonction de leurs projets, types d'éléments et gravité respectifs.
Dans cet exemple, chaque résultat est inclus dans un cas différent.
Cas 1 :
- Résultat 1 : Gravité :
Critical, Type de composant :Compute, Projet :Project_1
- Résultat 1 : Gravité :
Cas 2 :
- Constat 2 : Gravité :
Critical, Type de composant :IAM, Projet :Project_2
- Constat 2 : Gravité :
Cas 3 :
- Constat 3 : Gravité :
High, Type de composant :Compute, Projet :Project_1
- Constat 3 : Gravité :
Cas 4 :
- Constat 4 : Gravité :
High, Type de composant :Compute, Projet :Project_2
- Constat 4 : Gravité :
Mécanisme de regroupement personnalisé
Si vous ne cochez que la case Regrouper par projet GCP, les résultats sont automatiquement regroupés en fonction de leurs projets Google Cloud . Ainsi, une demande ne contient que les résultats appartenant au même projet :
Cas 1 :
- Résultat 1 : Gravité
Critical, Type de composant :Compute, Projet :Project_1 - Problème 3 : Gravité
High, Type d'asset :Compute, Projet :Project_1
- Résultat 1 : Gravité
Cas 2 :
- Résultat 2 : Gravité
Critical, Type d'asset :IAM, Projet :Project_2 - Constat 4 : Gravité
High, Type d'asset :Compute, Projet :Project_2
- Résultat 2 : Gravité
Si vous ne cochez que la case Regrouper par gravité, les résultats sont automatiquement regroupés en fonction de leur gravité. Une demande ne contient alors que les résultats ayant le même niveau de gravité :
Cas 1 :
- Résultat 1 : Gravité :
Critical, Type de composant :Compute, Projet :Project_1 - Constat 2 : Gravité :
Critical, Type de composant :IAM, Projet :Project_2
- Résultat 1 : Gravité :
Cas 2 :
- Constat 3 : Gravité :
High, Type de composant :Compute, Projet :Project_1 - Constat 4 : Gravité :
High, Type de composant :Compute, Projet :Project_2
- Constat 3 : Gravité :
Si vous ne cochez que la case Regrouper par type d'élément, les résultats sont automatiquement regroupés en fonction de leur type d'élément (types de ressources dans Google Cloud). Ainsi, une demande ne contient que les résultats appartenant à la même ressource :
Cas 1 :
- Résultat 1 : Gravité :
Critical, Type d'asset :Compute, Projet :Project_1 - Constat 3 : Gravité :
High, Type de composant :Compute, Projet :Project_1 - Constat 4 : Gravité :
High, Type de composant :Compute, Projet :Project_2
- Résultat 1 : Gravité :
Cas 2 :
- Constat 2 : Gravité :
Critical, Type de composant :IAM, Projet :Project_2
- Constat 2 : Gravité :
Si vous cochez les cases Regrouper par projet GCP et Regrouper par niveau de gravité, les résultats sont automatiquement regroupés en fonction de leurs projets et niveaux de gravité respectifs. Ainsi, une demande ne contient que les résultats appartenant au même projet et présentant le même niveau de gravité. Dans cet exemple, le connecteur crée quatre cas suivants :
Cas 1 :
- Résultat 1 : Gravité :
Critical, Type de composant :Compute, Projet :Project_1
- Résultat 1 : Gravité :
Cas 2 :
- Constat 2 : Gravité :
Critical, Type de ressource :IAM, Projet :Project_2
- Constat 2 : Gravité :
Cas 3 :
- Résultat 3 : Gravité :
High, Type de ressource :Compute, Projet :Project_1
- Résultat 3 : Gravité :
Cas 4 :
- Résultat 4 : Gravité :
High, Type de ressource :Compute, Projet :Project_2
- Résultat 4 : Gravité :
Étape suivante
- En savoir plus sur les alertes dans la documentation Google SecOps