Dokumen ini menjelaskan cara mengelompokkan temuan ke dalam kasus.
Langkah-langkah ini dilakukan menggunakan halaman konsol Operasi Keamanan. Untuk membuka halaman ini dari konsol Google Cloud , buka Setelan > Setelan SOAR.
Ringkasan
Mekanisme pengelompokan temuan secara otomatis mengelompokkan temuan yang di-ingest ke dalam kasus. Secara default, mekanisme pengelompokan ini memastikan bahwa semua temuan dalam kasus termasuk dalam:
- Pemilik fasilitas
- Google Cloud project
- Akun AWS
- Jenis aset
- Kategori
- Tingkat keparahan
Mengonfigurasi setelan pengelompokan
Untuk mengonfigurasi setelan pengelompokan default yang berlaku untuk semua temuan yang di-ingest, ikuti langkah-langkah berikut:
Di konsol Operasi Keamanan, buka Setelan > Penyerapan > Konektor.
Pilih SCC Enterprise - Urgent Posture Findings Connector.
Untuk menyesuaikan mekanisme pengelompokan dan menonaktifkan opsi pengelompokan tertentu, hapus centang pada kotak untuk satu atau beberapa parameter berikut:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Secara default, setelan pengelompokan berikut berlaku untuk temuan yang di-ingest:
Kelompokkan menurut Akun AWS: Temuan dikelompokkan menurut akun AWS yang terkait.
Kelompokkan menurut Project GCP: Temuan dikelompokkan menurut project tempat temuan tersebut berada. Google Cloud
Kelompokkan menurut Tingkat Keparahan: Temuan dikelompokkan menurut
severitytingkat, sepertiHIGHatauMEDIUM.Kelompokkan menurut Jenis Aset: Temuan dikelompokkan menurut jenis asetnya (Google Cloud jenis resource), seperti instance Compute Engine atau akun layanan IAM.
Semua temuan yang dikelompokkan ke dalam kasus yang sama dimiliki oleh pemilik yang sama. Untuk memastikan
temuan dikelompokkan dengan benar, termasuk temuan tanpa tag
Google Cloud yang diwarisi atau Kontak Penting, selalu konfigurasi parameter
konektor Fallback Owner.
Contoh: Cara kerja mekanisme pengelompokan
Dalam contoh ini, hanya temuan dari Google Cloud yang digunakan.
Konektor menyerap empat temuan dengan tingkat keparahan yang berbeda dan nilai yang berbeda yang diwarisi dari resource Google Cloud masing-masing:
Temuan 1: Tingkat Keparahan:
Critical, Jenis Aset:Compute, Project:Project_1Temuan 2: Tingkat Keparahan:
Critical, Jenis Aset:IAM, Project:Project_2Temuan 3: Tingkat Keseriusan:
High, Jenis Aset:Compute, Project:Project_1Temuan 4: Tingkat Keparahan:
High, Jenis Aset:Compute, Project:Project_2
Mekanisme pengelompokan default
Setelan default berarti temuan dikelompokkan menurut masing-masing project, jenis aset, dan properti tingkat keparahan.
Dalam contoh ini, setiap temuan disertakan dalam kasus yang berbeda.
Kasus 1:
- Temuan 1: Tingkat Keparahan:
Critical, Jenis Aset:Compute, Project:Project_1
- Temuan 1: Tingkat Keparahan:
Kasus 2:
- Temuan 2: Tingkat Keparahan:
Critical, Jenis Aset:IAM, Project:Project_2
- Temuan 2: Tingkat Keparahan:
Kasus 3:
- Temuan 3: Tingkat Keseriusan:
High, Jenis Aset:Compute, Project:Project_1
- Temuan 3: Tingkat Keseriusan:
Kasus 4:
- Temuan 4: Tingkat Keparahan:
High, Jenis Aset:Compute, Project:Project_2
- Temuan 4: Tingkat Keparahan:
Mekanisme pengelompokan kustom
Jika hanya memilih kotak centang Group by GCP Project, temuan akan otomatis dikelompokkan menurut projectnya sehingga kasus hanya berisi temuan yang termasuk dalam project yang sama: Google Cloud
Kasus 1:
- Temuan 1: Tingkat Keparahan
Critical, Jenis Aset:Compute, Project:Project_1 - Temuan 3: Tingkat Keparahan
High, Jenis Aset:Compute, Project:Project_1
- Temuan 1: Tingkat Keparahan
Kasus 2:
- Temuan 2: Tingkat Keparahan
Critical, Jenis Aset:IAM, Project:Project_2 - Temuan 4: Tingkat Keparahan
High, Jenis Aset:Compute, Project:Project_2
- Temuan 2: Tingkat Keparahan
Jika hanya memilih kotak centang Kelompokkan menurut Tingkat Keparahan, temuan akan otomatis dikelompokkan menurut tingkat keparahannya sehingga kasus hanya berisi temuan dengan tingkat keparahan yang sama:
Kasus 1:
- Temuan 1: Tingkat Keparahan:
Critical, Jenis Aset:Compute, Project:Project_1 - Temuan 2: Tingkat Keparahan:
Critical, Jenis Aset:IAM, Project:Project_2
- Temuan 1: Tingkat Keparahan:
Kasus 2:
- Temuan 3: Tingkat Keseriusan:
High, Jenis Aset:Compute, Project:Project_1 - Temuan 4: Tingkat Keparahan:
High, Jenis Aset:Compute, Project:Project_2
- Temuan 3: Tingkat Keseriusan:
Dengan hanya mencentang kotak Kelompokkan menurut Jenis Aset, temuan akan otomatis dikelompokkan menurut jenis asetnya (jenis resource di Google Cloud) sehingga kasus hanya berisi temuan yang termasuk dalam resource yang sama:
Kasus 1:
- Temuan 1: Tingkat Keparahan:
Critical, Jenis Aset:Compute, Project:Project_1 - Temuan 3: Tingkat Keseriusan:
High, Jenis Aset:Compute, Project:Project_1 - Temuan 4: Tingkat Keparahan:
High, Jenis Aset:Compute, Project:Project_2
- Temuan 1: Tingkat Keparahan:
Kasus 2:
- Temuan 2: Tingkat Keparahan:
Critical, Jenis Aset:IAM, Project:Project_2
- Temuan 2: Tingkat Keparahan:
Memilih kotak centang Kelompokkan menurut Project GCP dan Kelompokkan menurut Tingkat Keparahan akan mengelompokkan temuan secara otomatis menurut project dan tingkat keparahannya masing-masing sehingga kasus hanya berisi temuan yang termasuk dalam project yang sama dan memiliki tingkat keparahan yang sama. Dalam contoh ini, konektor membuat empat kasus berikut:
Kasus 1:
- Temuan 1: Tingkat Keparahan:
Critical, Jenis Aset:Compute, Project:Project_1
- Temuan 1: Tingkat Keparahan:
Kasus 2:
- Temuan 2: Tingkat Keseriusan:
Critical, Jenis Resource:IAM, Project:Project_2
- Temuan 2: Tingkat Keseriusan:
Kasus 3:
- Temuan 3: Tingkat Keseriusan:
High, Jenis Resource:Compute, Project:Project_1
- Temuan 3: Tingkat Keseriusan:
Kasus 4:
- Temuan 4: Tingkat Keseriusan:
High, Jenis Resource:Compute, Project:Project_2
- Temuan 4: Tingkat Keseriusan:
Apa langkah selanjutnya?
- Pelajari lebih lanjut notifikasi dalam dokumentasi Google SecOps.