Mengelompokkan temuan dalam kasus

Dokumen ini menjelaskan cara mengelompokkan temuan ke dalam kasus.

Langkah-langkah ini dilakukan menggunakan halaman konsol Operasi Keamanan. Untuk membuka halaman ini dari konsol Google Cloud , buka Setelan > Setelan SOAR.

Ringkasan

Mekanisme pengelompokan temuan secara otomatis mengelompokkan temuan yang di-ingest ke dalam kasus. Secara default, mekanisme pengelompokan ini memastikan bahwa semua temuan dalam kasus termasuk dalam:

  • Pemilik fasilitas
  • Google Cloud project
  • Akun AWS
  • Jenis aset
  • Kategori
  • Tingkat keparahan

Mengonfigurasi setelan pengelompokan

Untuk mengonfigurasi setelan pengelompokan default yang berlaku untuk semua temuan yang di-ingest, ikuti langkah-langkah berikut:

  1. Di konsol Operasi Keamanan, buka Setelan > Penyerapan > Konektor.

  2. Pilih SCC Enterprise - Urgent Posture Findings Connector.

  3. Untuk menyesuaikan mekanisme pengelompokan dan menonaktifkan opsi pengelompokan tertentu, hapus centang pada kotak untuk satu atau beberapa parameter berikut:

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

Secara default, setelan pengelompokan berikut berlaku untuk temuan yang di-ingest:

  • Kelompokkan menurut Akun AWS: Temuan dikelompokkan menurut akun AWS yang terkait.

  • Kelompokkan menurut Project GCP: Temuan dikelompokkan menurut project tempat temuan tersebut berada. Google Cloud

  • Kelompokkan menurut Tingkat Keparahan: Temuan dikelompokkan menurut severity tingkat, seperti HIGH atau MEDIUM.

  • Kelompokkan menurut Jenis Aset: Temuan dikelompokkan menurut jenis asetnya (Google Cloud jenis resource), seperti instance Compute Engine atau akun layanan IAM.

Semua temuan yang dikelompokkan ke dalam kasus dimiliki oleh pemilik yang sama. Untuk memastikan temuan dikelompokkan dengan benar, termasuk temuan tanpa tag Google Cloud yang diwarisi atau Kontak Penting, selalu konfigurasi parameter konektor Fallback Owner.

Contoh: Cara kerja mekanisme pengelompokan

Dalam contoh ini, hanya temuan dari Google Cloud yang digunakan.

Konektor menyerap empat temuan dengan tingkat keparahan yang berbeda dan nilai yang berbeda yang diwarisi dari resource Google Cloud masing-masing:

  • Temuan 1: Tingkat Keparahan: Critical, Jenis Aset: Compute, Project: Project_1

  • Temuan 2: Tingkat Keparahan: Critical, Jenis Aset: IAM, Project: Project_2

  • Temuan 3: Tingkat Keseriusan: High, Jenis Aset: Compute, Project: Project_1

  • Temuan 4: Tingkat Keparahan: High, Jenis Aset: Compute, Project: Project_2

Mekanisme pengelompokan default

Setelan default berarti temuan dikelompokkan menurut masing-masing project, jenis aset, dan properti tingkat keparahan.

Dalam contoh ini, setiap temuan disertakan dalam kasus yang berbeda.

  • Kasus 1:

    • Temuan 1: Tingkat Keparahan: Critical, Jenis Aset: Compute, Project: Project_1

  • Kasus 2:

    • Temuan 2: Tingkat Keparahan: Critical, Jenis Aset: IAM, Project: Project_2

  • Kasus 3:

    • Temuan 3: Tingkat Keseriusan: High, Jenis Aset: Compute, Project: Project_1

  • Kasus 4:

    • Temuan 4: Tingkat Keparahan: High, Jenis Aset: Compute, Project: Project_2

Mekanisme pengelompokan kustom

Jika hanya memilih kotak centang Group by GCP Project, temuan akan otomatis dikelompokkan menurut projectnya sehingga kasus hanya berisi temuan yang termasuk dalam project yang sama: Google Cloud

  • Kasus 1:

    • Temuan 1: Tingkat Keparahan Critical, Jenis Aset: Compute, Project: Project_1
    • Temuan 3: Tingkat Keparahan High, Jenis Aset: Compute, Project: Project_1

  • Kasus 2:

    • Temuan 2: Tingkat Keparahan Critical, Jenis Aset: IAM, Project: Project_2
    • Temuan 4: Tingkat Keparahan High, Jenis Aset: Compute, Project: Project_2

Jika hanya memilih kotak centang Kelompokkan menurut Tingkat Keparahan, temuan akan otomatis dikelompokkan menurut tingkat keparahannya sehingga kasus hanya berisi temuan dengan tingkat keparahan yang sama:

  • Kasus 1:

    • Temuan 1: Tingkat Keparahan: Critical, Jenis Aset: Compute, Project: Project_1
    • Temuan 2: Tingkat Keparahan: Critical, Jenis Aset: IAM, Project: Project_2

  • Kasus 2:

    • Temuan 3: Tingkat Keseriusan: High, Jenis Aset: Compute, Project: Project_1
    • Temuan 4: Tingkat Keparahan: High, Jenis Aset: Compute, Project: Project_2

Dengan hanya mencentang kotak Kelompokkan menurut Jenis Aset, temuan akan otomatis dikelompokkan menurut jenis asetnya (jenis resource di Google Cloud) sehingga kasus hanya berisi temuan yang termasuk dalam resource yang sama:

  • Kasus 1:

    • Temuan 1: Tingkat Keparahan: Critical, Jenis Aset: Compute, Project: Project_1
    • Temuan 3: Tingkat Keseriusan: High, Jenis Aset: Compute, Project: Project_1
    • Temuan 4: Tingkat Keparahan: High, Jenis Aset: Compute, Project: Project_2

  • Kasus 2:

    • Temuan 2: Tingkat Keparahan: Critical, Jenis Aset: IAM, Project: Project_2

Memilih kotak centang Kelompokkan menurut Project GCP dan Kelompokkan menurut Tingkat Keparahan akan mengelompokkan temuan secara otomatis menurut project dan tingkat keparahannya masing-masing sehingga kasus hanya berisi temuan yang termasuk dalam project yang sama dan memiliki tingkat keparahan yang sama. Dalam contoh ini, konektor membuat empat kasus berikut:

  • Kasus 1:

    • Temuan 1: Tingkat Keparahan: Critical, Jenis Aset: Compute, Project: Project_1

  • Kasus 2:

    • Temuan 2: Tingkat Keseriusan: Critical, Jenis Resource: IAM, Project: Project_2

  • Kasus 3:

    • Temuan 3: Tingkat Keseriusan: High, Jenis Resource: Compute, Project: Project_1

  • Kasus 4:

    • Temuan 4: Tingkat Keseriusan: High, Jenis Resource: Compute, Project: Project_2

Apa langkah selanjutnya?

  • Pelajari lebih lanjut notifikasi dalam dokumentasi Google SecOps.