Neste documento, explicamos como agrupar descobertas em casos no nível Enterprise do Security Command Center.
Visão geral
O mecanismo de agrupamento de descobertas agrupa automaticamente as descobertas processadas em casos de uso diferentes. Por padrão, esse mecanismo de agrupamento garante que todas as descobertas em um caso pertencem ao mesmo:
- Proprietário do recurso
- Projeto do Google Cloud
- Conta da AWS
- Tipo de recurso
- Categoria
- Nível de gravidade
Definir configurações de agrupamento
Para definir as configurações de agrupamento padrão aplicáveis a todas as descobertas ingeridas, faça o seguinte: siga estas etapas:
No console de Operações de Segurança, acesse Configurações > Ingestão > Conectores.
Selecione SCC Enterprise - Urgent Posture Findings Connector.
Para personalizar o mecanismo de agrupamento e desativar opções específicas, desmarque as caixas de seleção de um ou mais dos seguintes parâmetros:
Group by AWS Account
Group by GCP Project
Group by Severity
Group by Asset Type
Por padrão, as seguintes configurações de agrupamento se aplicam às descobertas ingeridas:
Agrupar por conta da AWS: as descobertas são agrupadas de acordo com as contas da AWS. às quais pertencem.
Agrupar por projeto do GCP: as descobertas são agrupadas de acordo com o projetos a que pertencem.
Agrupar por gravidade: as descobertas são agrupadas de acordo com o
severity
. do nível, comoHIGH
ouMEDIUM
.Agrupar por tipo de recurso: as descobertas são agrupadas de acordo com o recurso. tipo (tipo de recurso do Google Cloud), como uma instância do Compute Engine ou uma conta de serviço do IAM.
Todas as descobertas agrupadas em um caso pertencem ao mesmo proprietário. Para garantir
que as descobertas sejam agrupadas corretamente, incluindo aquelas sem grupos
tags do Google Cloud ou contatos essenciais, sempre configure
parâmetro Fallback Owner
do conector.
Exemplo: como o mecanismo de agrupamento funciona
Neste exemplo, só são usadas as descobertas do Google Cloud.
O conector ingere quatro descobertas com diferentes gravidades e valores diferentes herdados dos respectivos recursos do Google Cloud:
Descoberta 1: gravidade: Critical
, tipo de recurso: Compute
, projeto: Project_1
2ª descoberta: gravidade: Critical
, tipo de recurso: IAM
, projeto: Project_2
Descoberta 3: gravidade: High
, tipo de recurso: Compute
, projeto: Project_1
Observação 4: gravidade: High
, tipo de recurso: Compute
, projeto: Project_2
Mecanismo de agrupamento padrão
Com as configurações padrão, as descobertas são agrupadas de acordo com as respectivas projetos, tipos de recursos e propriedades de gravidade.
Neste exemplo, cada descoberta está incluída em um caso diferente.
Caso 1:
- Descoberta 1: gravidade:
Critical
, tipo do recurso:Compute
, Projeto:Project_1
- Descoberta 1: gravidade:
Caso 2:
- Descoberta 2: gravidade:
Critical
, tipo do recurso:IAM
, projeto:Project_2
- Descoberta 2: gravidade:
Caso 3:
- Descoberta 3: gravidade:
High
, tipo do recurso:Compute
, projeto:Project_1
- Descoberta 3: gravidade:
Caso 4:
- Descoberta 4: gravidade:
High
, tipo de recurso:Compute
, projeto:Project_2
- Descoberta 4: gravidade:
Mecanismo de agrupamento personalizado
Marcar apenas a caixa de seleção Agrupar por projeto do GCP agrupa automaticamente as descobertas de acordo com os projetos do Google Cloud para que um caso contenha apenas descobertas que pertencem ao mesmo projeto:
Caso 1:
- Descoberta 1: gravidade
Critical
, tipo de recurso:Compute
, projeto:Project_1
- Descoberta 3: gravidade
High
, tipo de recurso:Compute
, projeto:Project_1
- Descoberta 1: gravidade
Caso 2:
- Descoberta 2: gravidade
Critical
, tipo de recurso:IAM
, projeto:Project_2
- Descoberta 4: gravidade
High
, tipo de recurso:Compute
, projeto:Project_2
- Descoberta 2: gravidade
Marcar apenas a caixa de seleção Agrupar por gravidade agrupa automaticamente as descobertas de acordo com a gravidade, para que um caso contenha apenas descobertas com o mesmo nível de gravidade:
Caso 1:
- Descoberta 1: gravidade:
Critical
, tipo de recurso:Compute
, projeto:Project_1
- Descoberta 2: gravidade:
Critical
, tipo de recurso:IAM
, projeto:Project_2
- Descoberta 1: gravidade:
Caso 2:
- Descoberta 3: gravidade:
High
, tipo de recurso:Compute
, projeto:Project_1
- Descoberta 4: gravidade:
High
, tipo de recurso:Compute
, projeto:Project_2
- Descoberta 3: gravidade:
Marcar apenas a caixa de seleção Agrupar por tipo de recurso agrupa automaticamente as descobertas de acordo com os tipos de recursos (tipos de recursos no Google Cloud) para que um caso contém apenas descobertas pertencentes ao mesmo recurso:
Caso 1:
- Detecção 1: gravidade:
Critical
, tipo de recurso:Compute
, projeto:Project_1
- Descoberta 3: gravidade:
High
, tipo de recurso:Compute
, projeto:Project_1
- Descoberta 4: gravidade:
High
, tipo de recurso:Compute
, projeto:Project_2
- Detecção 1: gravidade:
Caso 2:
- Descoberta 2: gravidade:
Critical
, tipo de recurso:IAM
, projeto:Project_2
- Descoberta 2: gravidade:
Marque as caixas de seleção Agrupar por projeto do GCP e Agrupar por gravidade. agrupa automaticamente as descobertas de acordo com os respectivos projetos e gravidade para que um caso contenha apenas descobertas pertencentes ao mesmo projeto e com a mesma gravidade. Neste exemplo, o conector cria quatro seguintes casos:
Caso 1:
- Descoberta 1: gravidade:
Critical
, tipo de recurso:Compute
, projeto:Project_1
- Descoberta 1: gravidade:
Caso 2:
- Descoberta 2: gravidade:
Critical
, tipo de recurso:IAM
, projeto:Project_2
- Descoberta 2: gravidade:
Caso 3:
- Descoberta 3: gravidade:
High
, tipo de recurso:Compute
, projeto:Project_1
- Descoberta 3: gravidade:
Caso 4:
- Descoberta 4: gravidade:
High
, tipo de recurso:Compute
, projeto:Project_2
- Descoberta 4: gravidade:
A seguir
- Saiba mais sobre alertas no Google SecOps na documentação do Google Cloud.