Este documento explica como agrupar descobertas em casos.
Essas etapas são realizadas usando as páginas do console do Security Operations. Para abrir essas páginas no console do Google Cloud , acesse Configurações > Configurações do SOAR.
Visão geral
O mecanismo de agrupamento de descobertas agrupa automaticamente as descobertas ingeridas em casos. Por padrão, esse mecanismo de agrupamento garante que todas as descobertas em um caso pertençam ao mesmo:
- Proprietário do recurso
- Google Cloud projeto
- Conta da AWS
- Tipo de recurso
- Categoria
- Nível de gravidade
Configurar as opções de agrupamento
Para configurar as configurações de agrupamento padrão aplicáveis a todas as descobertas ingeridas, siga estas etapas:
No console do Security Operations, acesse Configurações > Ingestão > Conectores.
Selecione SCC Enterprise - Conector de descobertas de posturas urgentes.
Para personalizar o mecanismo de agrupamento e desativar opções específicas, desmarque as caixas de seleção de um ou mais dos seguintes parâmetros:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Por padrão, as seguintes configurações de agrupamento são aplicadas às descobertas ingeridas:
Agrupar por conta da AWS: os resultados são agrupados de acordo com as contas da AWS a que pertencem.
Agrupar por projeto do GCP: as descobertas são agrupadas de acordo com os projetos a que pertencem. Google Cloud
Agrupar por gravidade: as descobertas são agrupadas de acordo com o
severitynível, comoHIGHouMEDIUM.Agrupar por tipo de recurso: as descobertas são agrupadas de acordo com o tipo de recurso (Google Cloud tipo de recurso), como instância do Compute Engine ou conta de serviço do IAM.
Todas as descobertas agrupadas em um caso pertencem ao mesmo proprietário. Para garantir que as descobertas sejam agrupadas corretamente, incluindo aquelas sem tagsGoogle Cloud ou contatos essenciais herdados, sempre configure o parâmetro Fallback Owner do conector.
Exemplo: como o mecanismo de agrupamento funciona
Neste exemplo, apenas as descobertas de Google Cloud são usadas.
O conector ingere quatro descobertas com gravidades e valores diferentes herdados dos respectivos recursos Google Cloud :
Descoberta 1: gravidade:
Critical, tipo de recurso:Compute, projeto:Project_1Descoberta 2: gravidade:
Critical, tipo de recurso:IAM, projeto:Project_2Descoberta 3: gravidade:
High, tipo de recurso:Compute, projeto:Project_1Descoberta 4: gravidade:
High, tipo de recurso:Compute, projeto:Project_2
Mecanismo de agrupamento padrão
As configurações padrão significam que as descobertas são agrupadas de acordo com os respectivos projetos, tipos de recursos e propriedade de gravidade.
Neste exemplo, cada descoberta está incluída em um caso diferente.
Caso 1:
- Descoberta 1: gravidade:
Critical, tipo de recurso:Compute, projeto:Project_1
- Descoberta 1: gravidade:
Caso 2:
- Descoberta 2: gravidade:
Critical, tipo de recurso:IAM, projeto:Project_2
- Descoberta 2: gravidade:
Caso 3:
- Descoberta 3: gravidade:
High, tipo de recurso:Compute, projeto:Project_1
- Descoberta 3: gravidade:
Caso 4:
- Descoberta 4: gravidade:
High, tipo de recurso:Compute, projeto:Project_2
- Descoberta 4: gravidade:
Mecanismo de agrupamento personalizado
Ao marcar apenas a caixa de seleção Agrupar por projeto do GCP, as descobertas são agrupadas automaticamente de acordo com os projetos Google Cloud . Assim, um caso só contém descobertas pertencentes ao mesmo projeto:
Caso 1:
- Descoberta 1: gravidade
Critical, tipo de recurso:Compute, projeto:Project_1 - Descoberta 3: gravidade
High, tipo de recurso:Compute, projeto:Project_1
- Descoberta 1: gravidade
Caso 2:
- Descoberta 2: gravidade
Critical, tipo de recurso:IAM, projeto:Project_2 - Descoberta 4: gravidade
High, tipo de recurso:Compute, projeto:Project_2
- Descoberta 2: gravidade
Ao selecionar apenas a caixa de seleção Agrupar por gravidade, as descobertas são agrupadas automaticamente de acordo com a gravidade delas. Assim, um caso só contém descobertas com o mesmo nível de gravidade:
Caso 1:
- Descoberta 1: gravidade:
Critical, tipo de recurso:Compute, projeto:Project_1 - Descoberta 2: gravidade:
Critical, tipo de recurso:IAM, projeto:Project_2
- Descoberta 1: gravidade:
Caso 2:
- Descoberta 3: gravidade:
High, tipo de recurso:Compute, projeto:Project_1 - Descoberta 4: gravidade:
High, tipo de recurso:Compute, projeto:Project_2
- Descoberta 3: gravidade:
Marcar apenas a caixa de seleção Agrupar por tipo de recurso agrupa automaticamente as descobertas de acordo com os tipos de recursos (tipos de recursos em Google Cloud) para que um caso contenha apenas descobertas pertencentes ao mesmo recurso:
Caso 1:
- Descoberta 1: gravidade:
Critical, tipo de recurso:Compute, projeto:Project_1 - Descoberta 3: gravidade:
High, tipo de recurso:Compute, projeto:Project_1 - Descoberta 4: gravidade:
High, tipo de recurso:Compute, projeto:Project_2
- Descoberta 1: gravidade:
Caso 2:
- Descoberta 2: gravidade:
Critical, tipo de recurso:IAM, projeto:Project_2
- Descoberta 2: gravidade:
Ao selecionar as caixas de seleção Agrupar por projeto do GCP e Agrupar por gravidade, os resultados são agrupados automaticamente de acordo com os respectivos projetos e níveis de gravidade. Assim, um caso contém apenas resultados pertencentes ao mesmo projeto e com a mesma gravidade. Neste exemplo, o conector cria quatro casos de acompanhamento:
Caso 1:
- Descoberta 1: gravidade:
Critical, tipo de recurso:Compute, projeto:Project_1
- Descoberta 1: gravidade:
Caso 2:
- Descoberta 2: gravidade:
Critical, tipo de recurso:IAM, projeto:Project_2
- Descoberta 2: gravidade:
Caso 3:
- Descoberta 3: gravidade:
High, tipo de recurso:Compute, projeto:Project_1
- Descoberta 3: gravidade:
Caso 4:
- Descoberta 4: gravidade:
High, tipo de recurso:Compute, projeto:Project_2
- Descoberta 4: gravidade:
A seguir
- Saiba mais sobre alertas na documentação do Google SecOps.