Raggruppare i risultati nelle richieste

Questo documento spiega come raggruppare i risultati in casi.

Questi passaggi vengono eseguiti utilizzando le pagine della console Security Operations. Per aprire queste pagine dalla console Google Cloud , vai a Impostazioni > Impostazioni SOAR.

Panoramica

Il meccanismo di raggruppamento dei risultati raggruppa automaticamente i risultati inseriti in casi. Per impostazione predefinita, questo meccanismo di raggruppamento garantisce che tutti i risultati in un caso appartengano allo stesso:

  • Proprietario risorsa
  • Google Cloud project
  • Account AWS
  • Tipo di asset
  • Categoria
  • Livello di gravità

Configurare le impostazioni di raggruppamento

Per configurare le impostazioni di raggruppamento predefinite applicabili a tutti i risultati importati, segui questi passaggi:

  1. Nella console Security Operations, vai a Impostazioni > Inserimento > Connettori.

  2. Seleziona Connettore SCC Enterprise - Urgent Posture Findings.

  3. Per personalizzare il meccanismo di raggruppamento e disattivare opzioni di raggruppamento specifiche, deseleziona le caselle di controllo per uno o più dei seguenti parametri:

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

Per impostazione predefinita, alle vulnerabilità importate si applicano le seguenti impostazioni di raggruppamento:

  • Raggruppa per account AWS: i risultati vengono raggruppati in base agli account AWS a cui appartengono.

  • Raggruppa per progetto GCP: i risultati vengono raggruppati in base ai progetti a cui appartengono. Google Cloud

  • Raggruppa per gravità: i risultati vengono raggruppati in base al loro severity livello, ad esempio HIGH o MEDIUM.

  • Raggruppa per tipo di asset: i risultati vengono raggruppati in base al tipo di asset (Google Cloud tipo di risorsa), come l'istanza Compute Engine o il account di servizio IAM.

Tutti i risultati raggruppati in un caso appartengono allo stesso proprietario. Per assicurarti che i risultati siano raggruppati correttamente, inclusi quelli senza tag Google Cloud o contatti essenziali ereditati, configura sempre il parametro Fallback Owner del connettore.

Esempio: come funziona il meccanismo di raggruppamento

In questo esempio, vengono utilizzati solo i risultati di Google Cloud .

Il connettore acquisisce quattro risultati con gravità diverse e valori diversi ereditati dalle rispettive risorse Google Cloud :

  • Risultato 1: gravità: Critical, tipo di asset: Compute, progetto: Project_1

  • Risultato 2: gravità: Critical, tipo di asset: IAM, progetto: Project_2

  • Risultato 3: gravità: High, tipo di asset: Compute, progetto: Project_1

  • Risultato 4: gravità: High, tipo di asset: Compute, progetto: Project_2

Meccanismo di raggruppamento predefinito

Le impostazioni predefinite prevedono che i risultati vengano raggruppati in base ai rispettivi progetti, tipi di asset e proprietà di gravità.

In questo esempio, ogni risultato è incluso in un caso diverso.

  • Caso 1:

    • Risultato 1: Gravità: Critical, Tipo di asset: Compute, Progetto: Project_1

  • Caso 2:

    • Risultato 2: Gravità: Critical, Tipo di asset: IAM, Progetto: Project_2

  • Caso 3:

    • Risultato 3: gravità: High, tipo di asset: Compute, progetto: Project_1

  • Caso 4:

    • Risultato 4: gravità: High, tipo di asset: Compute, progetto: Project_2

Meccanismo di raggruppamento personalizzato

Se selezioni solo la casella di controllo Raggruppa per progetto Google Cloud, i risultati vengono raggruppati automaticamente in base ai progetti Google Cloud , in modo che una richiesta contenga solo i risultati appartenenti allo stesso progetto:

  • Caso 1:

    • Risultato 1: gravità Critical, tipo di asset: Compute, progetto: Project_1
    • Risultato 3: gravità High, tipo di asset: Compute, progetto: Project_1

  • Caso 2:

    • Risultato 2: gravità Critical, tipo di asset: IAM, progetto: Project_2
    • Risultato 4: gravità High, tipo di asset: Compute, progetto: Project_2

Se selezioni solo la casella di controllo Raggruppa per gravità, i risultati vengono raggruppati automaticamente in base alla gravità, in modo che una richiesta contenga solo risultati con lo stesso livello di gravità:

  • Caso 1:

    • Risultato 1: Gravità: Critical, Tipo di asset: Compute, Progetto: Project_1
    • Risultato 2: gravità: Critical, tipo di asset: IAM, progetto: Project_2

  • Caso 2:

    • Risultato 3: gravità: High, tipo di asset: Compute, progetto: Project_1
    • Risultato 4: gravità: High, tipo di asset: Compute, progetto: Project_2

Se selezioni solo la casella di controllo Raggruppa per tipo di asset, i risultati vengono raggruppati automaticamente in base ai tipi di asset (tipi di risorse in Google Cloud), in modo che un caso contenga solo risultati appartenenti alla stessa risorsa:

  • Caso 1:

    • Risultato 1: Gravità: Critical, Tipo di asset: Compute, Progetto: Project_1
    • Risultato 3: gravità: High, tipo di asset: Compute, progetto: Project_1
    • Risultato 4: gravità: High, tipo di asset: Compute, progetto: Project_2

  • Caso 2:

    • Risultato 2: gravità: Critical, tipo di asset: IAM, progetto: Project_2

Se selezioni le caselle di controllo Raggruppa per progetto Google Cloud e Raggruppa per gravità, i risultati vengono raggruppati automaticamente in base ai rispettivi progetti e livelli di gravità, in modo che una richiesta contenga solo i risultati appartenenti allo stesso progetto e con la stessa gravità. In questo esempio, il connettore crea quattro scenari:

  • Caso 1:

    • Risultato 1: Gravità: Critical, Tipo di asset: Compute, Progetto: Project_1

  • Caso 2:

    • Risultato 2: gravità: Critical, tipo di risorsa: IAM, progetto: Project_2

  • Caso 3:

    • Risultato 3: gravità: High, tipo di risorsa: Compute, progetto: Project_1

  • Caso 4:

    • Risultato 4: Gravità: High, Tipo di risorsa: Compute, Progetto: Project_2

Passaggi successivi

  • Scopri di più sugli avvisi nella documentazione di Google SecOps.