Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Este documento explica como agrupar descobertas em casos.
Essas etapas são realizadas usando as páginas do console do Security Operations.
Para abrir essas páginas no console do Google Cloud , acesse
Configurações > Configurações do SOAR.
Visão geral
O mecanismo de agrupamento de descobertas agrupa automaticamente as descobertas ingeridas em casos. Por padrão, esse mecanismo de agrupamento garante que todas as descobertas em um caso pertençam ao mesmo:
Proprietário do recurso
Google Cloud projeto
Conta da AWS
Tipo de recurso
Categoria
Nível de gravidade
Configurar as opções de agrupamento
Para configurar as configurações de agrupamento padrão aplicáveis a todas as descobertas ingeridas, siga estas etapas:
No console do Security Operations, acesse Configurações > Ingestão
> Conectores.
Selecione SCC Enterprise - Conector de descobertas de posturas urgentes.
Para personalizar o mecanismo de agrupamento e desativar opções específicas, desmarque as caixas de seleção de um ou mais dos seguintes parâmetros:
Group by AWS Account
Group by GCP Project
Group by Severity
Group by Asset Type
Por padrão, as seguintes configurações de agrupamento são aplicadas às descobertas ingeridas:
Agrupar por conta da AWS: os resultados são agrupados de acordo com as contas da AWS a que pertencem.
Agrupar por projeto do GCP: as descobertas são agrupadas de acordo com os projetos a que pertencem. Google Cloud
Agrupar por gravidade: as descobertas são agrupadas de acordo com o severitynível,
como HIGH ou MEDIUM.
Agrupar por tipo de recurso: as descobertas são agrupadas de acordo com o tipo de recurso (Google Cloud tipo de recurso), como instância do Compute Engine ou conta de serviço do IAM.
Todas as descobertas agrupadas em um caso pertencem ao mesmo proprietário. Para garantir que as descobertas sejam agrupadas corretamente, incluindo aquelas sem tagsGoogle Cloud ou contatos essenciais herdados, sempre configure o parâmetro Fallback Owner do conector.
Exemplo: como o mecanismo de agrupamento funciona
Neste exemplo, apenas as descobertas de Google Cloud são usadas.
O conector ingere quatro descobertas com gravidades e valores diferentes herdados dos respectivos recursos Google Cloud :
Descoberta 1: gravidade: Critical, tipo de recurso: Compute, projeto: Project_1
Descoberta 2: gravidade: Critical, tipo de recurso: IAM, projeto: Project_2
Descoberta 3: gravidade: High, tipo de recurso: Compute, projeto: Project_1
Descoberta 4: gravidade: High, tipo de recurso: Compute, projeto: Project_2
Mecanismo de agrupamento padrão
As configurações padrão significam que as descobertas são agrupadas de acordo com os respectivos
projetos, tipos de recursos e propriedade de gravidade.
Neste exemplo, cada descoberta está incluída em um caso diferente.
Caso 1:
Descoberta 1: gravidade: Critical, tipo de recurso: Compute,
projeto: Project_1
Caso 2:
Descoberta 2: gravidade: Critical, tipo de recurso: IAM, projeto:
Project_2
Caso 3:
Descoberta 3: gravidade: High, tipo de recurso: Compute, projeto: Project_1
Caso 4:
Descoberta 4: gravidade: High, tipo de recurso: Compute, projeto: Project_2
Mecanismo de agrupamento personalizado
Ao marcar apenas a caixa de seleção Agrupar por projeto do GCP, as descobertas são agrupadas automaticamente de acordo com os projetos Google Cloud . Assim, um caso só contém descobertas pertencentes ao mesmo projeto:
Caso 1:
Descoberta 1: gravidade Critical, tipo de recurso: Compute, projeto:
Project_1
Descoberta 3: gravidade High, tipo de recurso: Compute, projeto:
Project_1
Caso 2:
Descoberta 2: gravidade Critical, tipo de recurso: IAM, projeto:
Project_2
Descoberta 4: gravidade High, tipo de recurso: Compute, projeto:
Project_2
Ao selecionar apenas a caixa de seleção Agrupar por gravidade, as descobertas são agrupadas automaticamente de acordo com a gravidade delas. Assim, um caso só contém descobertas com o mesmo nível de gravidade:
Caso 1:
Descoberta 1: gravidade: Critical, tipo de recurso: Compute, projeto: Project_1
Descoberta 2: gravidade: Critical, tipo de recurso: IAM, projeto: Project_2
Caso 2:
Descoberta 3: gravidade: High, tipo de recurso: Compute, projeto: Project_1
Descoberta 4: gravidade: High, tipo de recurso: Compute, projeto: Project_2
Marcar apenas a caixa de seleção Agrupar por tipo de recurso agrupa automaticamente as descobertas
de acordo com os tipos de recursos (tipos de recursos em Google Cloud) para que um caso
contenha apenas descobertas pertencentes ao mesmo recurso:
Caso 1:
Descoberta 1: gravidade: Critical, tipo de recurso: Compute, projeto: Project_1
Descoberta 3: gravidade: High, tipo de recurso: Compute, projeto: Project_1
Descoberta 4: gravidade: High, tipo de recurso: Compute, projeto: Project_2
Caso 2:
Descoberta 2: gravidade: Critical, tipo de recurso: IAM, projeto: Project_2
Ao selecionar as caixas de seleção Agrupar por projeto do GCP e Agrupar por gravidade, os resultados são agrupados automaticamente de acordo com os respectivos projetos e níveis de gravidade. Assim, um caso contém apenas resultados pertencentes ao mesmo projeto e com a mesma gravidade. Neste exemplo, o conector cria quatro casos de acompanhamento:
Caso 1:
Descoberta 1: gravidade: Critical, tipo de recurso: Compute, projeto:
Project_1
Caso 2:
Descoberta 2: gravidade: Critical, tipo de recurso: IAM, projeto:
Project_2
Caso 3:
Descoberta 3: gravidade: High, tipo de recurso: Compute, projeto:
Project_1
Caso 4:
Descoberta 4: gravidade: High, tipo de recurso: Compute, projeto: Project_2
A seguir
Saiba mais sobre alertas na documentação do Google SecOps.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[],[],null,["| Enterprise [service tier](/security-command-center/docs/service-tiers)\n\nThis document explains how you can group findings into cases.\n\nThese steps are performed using Security Operations console pages.\nTo open these pages from the Google Cloud console, go to\n**Settings \\\u003e SOAR settings**.\n\nOverview\n\nThe findings grouping mechanism automatically groups ingested findings into\ncases. By default, this grouping mechanism ensures that all findings in a case\nbelong to the same:\n\n- Resource owner\n- Google Cloud project\n- AWS account\n- Asset type\n- Category\n- Severity level\n\nConfigure grouping settings\n\nTo configure the default grouping settings applicable to all ingested findings,\nfollow these steps:\n\n1. In the Security Operations console, go to **Settings \\\u003e Ingestion\n \\\u003e Connectors**.\n\n2. Select **SCC Enterprise - Urgent Posture Findings Connector**.\n\n3. To customize the grouping mechanism and disable specific grouping options,\n clear the checkboxes for one or more of the following parameters:\n\n - `Group by AWS Account`\n - `Group by GCP Project`\n - `Group by Severity`\n - `Group by Asset Type`\n\n| **Important:** When customizing the grouping mechanism, we recommend to always select the **Group by GCP Project** and **Group by Asset Type** checkboxes and the **Group by AWS Account**, if the latter applies.\n\nBy default, the following grouping settings apply to ingested findings:\n\n- **Group by AWS Account**: Findings are grouped according to the AWS accounts\n they belong to.\n\n- **Group by GCP Project**: Findings are grouped according to the Google Cloud\n projects they belong to.\n\n- **Group by Severity** : Findings are grouped according to their `severity`\n [level](/security-command-center/docs/finding-severity-classifications),\n such as `HIGH` or `MEDIUM`.\n\n- **Group by Asset Type** : Findings are grouped according to their asset\n type (Google Cloud [resource type](/resource-manager/docs/cloud-platform-resource-hierarchy)),\n such as Compute Engine instance or IAM service account.\n\nAll findings that are grouped into a case belong to the same owner. To ensure\nthat findings are grouped correctly, including findings with no inherited\nGoogle Cloud tags or Essential Contacts, always configure the\nconnector `Fallback Owner` parameter.\n\nExample: How the grouping mechanism works\n\nIn this example, only findings from Google Cloud are used.\n\nThe connector ingests four findings with different severities\nand different values inherited from their respective Google Cloud resources:\n\n- Finding 1: Severity: `Critical`, Asset Type: `Compute`, Project: `Project_1`\n\n- Finding 2: Severity: `Critical`, Asset Type: `IAM`, Project: `Project_2`\n\n- Finding 3: Severity: `High`, Asset Type: `Compute`, Project: `Project_1`\n\n- Finding 4: Severity: `High`, Asset Type: `Compute`, Project: `Project_2`\n\nDefault grouping mechanism\n\nDefault settings mean that the findings are grouped according to their respective\nprojects, asset types, and severity property.\n\nIn this example, every finding is included in a different case.\n\n- Case 1:\n\n - Finding 1: Severity: **`Critical`** , Asset Type: **`Compute`** , Project: **`Project_1`**\n- Case 2:\n\n - Finding 2: Severity: **`Critical`** , Asset Type: **`IAM`** , Project: **`Project_2`**\n- Case 3:\n\n - Finding 3: Severity: **`High`** , Asset Type: **`Compute`** , Project: **`Project_1`**\n- Case 4:\n\n - Finding 4: Severity: **`High`** , Asset Type: **`Compute`** , Project: **`Project_2`**\n\nCustom grouping mechanism\n\nSelecting only the **Group by GCP Project** checkbox automatically groups findings\naccording to their Google Cloud projects so that a case only contains findings\nbelonging to the same project:\n\n- Case 1:\n\n - Finding 1: Severity `Critical`, Asset Type: `Compute`, Project: **`Project_1`**\n - Finding 3: Severity `High`, Asset Type: `Compute`, Project: **`Project_1`**\n- Case 2:\n\n - Finding 2: Severity `Critical`, Asset Type: `IAM`, Project: **`Project_2`**\n - Finding 4: Severity `High`, Asset Type: `Compute`, Project: **`Project_2`**\n\nSelecting only the **Group by Severity** checkbox automatically groups findings\naccording to their severities so that a case only contains findings with the same\nseverity level:\n\n- Case 1:\n\n - Finding 1: Severity: **`Critical`** , Asset Type: `Compute`, Project: `Project_1`\n - Finding 2: Severity: **`Critical`** , Asset Type: `IAM`, Project: `Project_2`\n- Case 2:\n\n - Finding 3: Severity: **`High`** , Asset Type: `Compute`, Project: `Project_1`\n - Finding 4: Severity: **`High`** , Asset Type: `Compute`, Project: `Project_2`\n\nSelecting only the **Group by Asset Type** checkbox automatically groups findings\naccording to their asset types (resource types in Google Cloud) so that a case\nonly contains findings belonging to the same resource:\n\n- Case 1:\n\n - Finding 1: Severity: `Critical`, Asset Type: **`Compute`** , Project: `Project_1`\n - Finding 3: Severity: `High`, Asset Type: **`Compute`** , Project: `Project_1`\n - Finding 4: Severity: `High`, Asset Type: **`Compute`** , Project: `Project_2`\n- Case 2:\n\n - Finding 2: Severity: `Critical`, Asset Type: **`IAM`** , Project: `Project_2`\n\nSelecting both **Group by GCP Project** and **Group by Severity** checkboxes\nautomatically groups findings according to their respective projects and severity\nlevels so that a case only contains findings belonging to the same project *and*\npossessing the same severity. In this example, the connector creates four\nfollowing cases:\n\n- Case 1:\n\n - Finding 1: Severity: **`Critical`** , Asset Type: `Compute`, Project: **`Project_1`**\n- Case 2:\n\n - Finding 2: Severity: **`Critical`** , Resource Type: `IAM`, Project: **`Project_2`**\n- Case 3:\n\n - Finding 3: Severity: **`High`** , Resource Type: `Compute`, Project: **`Project_1`**\n- Case 4:\n\n - Finding 4: Severity: **`High`** , Resource Type: `Compute`, Project: **`Project_2`**\n\nWhat's next?\n\n- Learn more about [alerts](/chronicle/docs/soar/investigate/working-with-alerts/whats-on-the-alert-overview-tab) in the Google SecOps documentation."]]
