Ce document explique comment regrouper les résultats dans des incidents au niveau de l'entreprise dans Security Command Center.
Présentation
Le mécanisme de regroupement des résultats regroupe automatiquement les résultats ingérés en cas. Par défaut, ce mécanisme de regroupement garantit que toutes les conclusions d'une demande appartiennent à la même:
- Propriétaire de la ressource
- Projet Google Cloud
- Compte AWS
- Type d'élément
- Catégorie
- Niveau de gravité
Configurer les paramètres de regroupement
Pour configurer les paramètres de regroupement par défaut applicables à toutes les conclusions ingérées, procédez comme suit:
Dans la console Security Operations, accédez à Settings > Ingestion > Connectors (Paramètres > Ingestion > Connecteurs).
Sélectionnez Connecteur SCC Enterprise – Urgent Posture Findings.
Pour personnaliser le mécanisme de regroupement et désactiver des options de regroupement spécifiques, décochez une ou plusieurs des cases à cocher pour les paramètres suivants:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Par défaut, les paramètres de regroupement suivants s'appliquent aux résultats ingérés:
Grouper par compte AWS: les résultats sont regroupés en fonction des comptes AWS auxquels ils appartiennent.
Regrouper par projet GCP: les résultats sont regroupés en fonction des projets Google Cloud auxquels ils appartiennent.
Regrouper par gravité: les résultats sont regroupés en fonction de leur niveau
severity, par exempleHIGHouMEDIUM.Grouper par type d'asset: les résultats sont regroupés en fonction de leur type d'asset (type de ressource Google Cloud), par exemple instance Compute Engine ou compte de service IAM.
Toutes les conclusions regroupées dans un ticket appartiennent au même propriétaire. Pour vous assurer que les résultats sont correctement regroupés, y compris ceux sans tags Google Cloud ni contacts essentiels hérités, configurez toujours le paramètre Fallback Owner du connecteur.
Exemple: Fonctionnement du mécanisme de regroupement
Dans cet exemple, seuls les résultats de Google Cloud sont utilisés.
Le connecteur ingère quatre résultats de gravité et de valeur différentes hérités de leurs ressources Google Cloud respectives:
Résultat 1: Gravité: Critical, Type d'asset: Compute, Projet: Project_1
Observation 2: Gravité: Critical, Type d'asset: IAM, Projet: Project_2
Observation 3: Gravité: High, Type d'asset: Compute, Projet: Project_1
Observation 4: Gravité: High, Type d'asset: Compute, Projet: Project_2
Mécanisme de regroupement par défaut
Les paramètres par défaut signifient que les résultats sont regroupés en fonction de leurs projets, types d'éléments et propriétés de gravité respectifs.
Dans cet exemple, chaque résultat est inclus dans un cas différent.
Cas 1:
- Résultat 1: Gravité:
Critical, Type d'asset:Compute, Projet:Project_1
- Résultat 1: Gravité:
Cas 2:
- Observation 2: Gravité:
Critical, Type d'asset:IAM, Projet :Project_2
- Observation 2: Gravité:
Cas 3:
- Observation 3: Gravité:
High, Type d'asset:Compute, Projet :Project_1
- Observation 3: Gravité:
Cas 4:
- Observation 4: Gravité:
High, Type d'asset:Compute, Projet :Project_2
- Observation 4: Gravité:
Mécanisme de regroupement personnalisé
Si vous ne cochez que la case Grouper par projet GCP, les résultats sont automatiquement regroupés en fonction de leurs projets Google Cloud, de sorte qu'une demande ne contienne que les résultats appartenant au même projet:
Cas 1:
- Résultat 1: Gravité
Critical, type d'asset:Compute, projet :Project_1 - Observation 3: Gravité
High, type d'asset:Compute, projet :Project_1
- Résultat 1: Gravité
Cas 2:
- Observation 2: Gravité
Critical, type d'asset:IAM, projet :Project_2 - Observation 4: Gravité
High, type d'asset:Compute, projet :Project_2
- Observation 2: Gravité
Si vous ne cochez que la case Regrouper par gravité, les résultats sont automatiquement regroupés en fonction de leur gravité, de sorte qu'une demande ne contienne que des résultats de même niveau de gravité:
Cas 1:
- Résultat 1: Gravité:
Critical, Type d'asset:Compute, Projet :Project_1 - Observation 2: Gravité:
Critical, type d'asset:IAM, projet :Project_2
- Résultat 1: Gravité:
Cas 2:
- Observation 3: Gravité:
High, type d'asset:Compute, projet :Project_1 - Observation 4: Gravité:
High, Type d'asset:Compute, Projet :Project_2
- Observation 3: Gravité:
Si vous ne cochez que la case Grouper par type d'élément, les résultats sont automatiquement regroupés en fonction de leur type d'élément (type de ressource dans Google Cloud) afin qu'une demande ne contienne que les résultats appartenant à la même ressource:
Cas 1:
- Résultat 1: Gravité:
Critical, Type d'asset:Compute, Projet :Project_1 - Observation 3: Gravité:
High, Type d'asset:Compute, Projet :Project_1 - Observation 4: Gravité:
High, Type d'asset:Compute, Projet :Project_2
- Résultat 1: Gravité:
Cas 2:
- Observation 2: Gravité:
Critical, Type d'asset:IAM, Projet :Project_2
- Observation 2: Gravité:
Si vous cochez les cases Grouper par projet GCP et Grouper par gravité, les résultats sont automatiquement regroupés en fonction de leurs projets et niveaux de gravité respectifs. Ainsi, une demande ne contient que les résultats appartenant au même projet et ayant la même gravité. Dans cet exemple, le connecteur crée les quatre cas suivants:
Cas 1:
- Résultat 1: Gravité:
Critical, Type d'asset:Compute, Projet :Project_1
- Résultat 1: Gravité:
Cas 2:
- Observation 2: Gravité:
Critical, type de ressource:IAM, projet :Project_2
- Observation 2: Gravité:
Cas 3:
- Observation 3: Gravité:
High, type de ressource:Compute, projet :Project_1
- Observation 3: Gravité:
Cas 4:
- Observation 4: Gravité:
High, type de ressource:Compute, projet :Project_2
- Observation 4: Gravité:
Étape suivante
- En savoir plus sur les alertes dans la documentation Google SecOps