在支持请求中对发现结果进行分组

本文档介绍了如何将检测结果归入相应的问题。

这些步骤使用安全运维控制台页面执行。 如需从 Google Cloud 控制台打开这些页面,请依次前往设置 > SOAR 设置

概览

发现结果分组机制会自动将提取的发现结果分组到相应的事例中。默认情况下,此分组机制可确保一个案例中的所有发现都属于同一:

  • 资源所有者
  • Google Cloud 项目
  • AWS 账号
  • 资源类型
  • 类别
  • 严重级别

配置分组设置

如需配置适用于所有提取的发现结果的默认分组设置,请按以下步骤操作:

  1. 在 Security Operations 控制台中,依次前往设置 > 提取> 连接器

  2. 选择 SCC Enterprise - Urgent Posture Findings 连接器

  3. 如需自定义分组机制并停用特定分组选项,请取消选中以下一个或多个参数对应的复选框:

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

默认情况下,以下分组设置适用于提取的发现结果:

  • 按 AWS 账号分组:检测结果会根据其所属的 AWS 账号进行分组。

  • 按 GCP 项目分组:根据发现项所属的 Google Cloud项目对发现项进行分组。

  • 按严重程度分组:发现结果会根据其severity 级别(例如 HIGHMEDIUM)进行分组。

  • 按资产类型分组:检测结果会根据其资产类型(Google Cloud 资源类型)进行分组,例如 Compute Engine 实例或 IAM 服务账号。

归入同一支持请求的所有发现结果都属于同一所有者。为确保正确分组发现结果(包括没有继承Google Cloud 标记或重要联系人的发现结果),请务必配置连接器 Fallback Owner 参数。

示例:分组机制的运作方式

在此示例中,仅使用来自 Google Cloud 的发现结果。

连接器会提取四项严重程度各异的发现,这些发现从各自的 Google Cloud 资源继承了不同的值:

  • 发现结果 1:严重程度:Critical,资源类型:Compute,项目:Project_1

  • 发现 2:严重程度:Critical,资源类型:IAM,项目:Project_2

  • 发现 3:严重程度:High,资源类型:Compute,项目:Project_1

  • 发现 4:严重程度:High,资源类型:Compute,项目:Project_2

默认分组机制

默认设置是指按相应项目、资源类型和严重程度属性对发现结果进行分组。

在此示例中,每个发现都包含在不同的情形中。

  • 案例 1:

    • 发现结果 1:严重程度:Critical,资源类型:Compute,项目:Project_1

  • 情形 2:

    • 发现 2:严重程度:Critical,资源类型:IAM,项目:Project_2

  • 情况 3:

    • 发现 3:严重程度:High,资源类型:Compute,项目:Project_1

  • 情况 4:

    • 发现 4:严重程度:High,资源类型:Compute,项目:Project_2

自定义分组机制

仅选中按 GCP 项目分组复选框会自动根据检测结果所属的 Google Cloud 项目对检测结果进行分组,这样,一个支持请求就只会包含属于同一项目的检测结果:

  • 案例 1:

    • 发现结果 1:严重程度 Critical,资源类型:Compute,项目:Project_1
    • 发现 3:严重程度 High,资源类型:Compute,项目:Project_1

  • 情形 2:

    • 发现 2:严重程度 Critical,资源类型:IAM,项目:Project_2
    • 发现 4:严重程度 High,资源类型:Compute,项目:Project_2

仅选中按严重程度分组复选框会自动按严重程度对发现结果进行分组,以便一个支持请求仅包含严重程度相同的发现结果:

  • 案例 1:

    • 发现 1:严重程度:Critical,资源类型:Compute,项目: Project_1
    • 发现 2:严重程度:Critical,资源类型:IAM,项目:Project_2

  • 情形 2:

    • 发现 3:严重程度:High,资源类型:Compute,项目:Project_1
    • 发现 4:严重程度:High,资源类型:Compute,项目:Project_2

仅选中按资产类型分组复选框会自动根据发现结果的资产类型( Google Cloud中的资源类型)对发现结果进行分组,以便一个问题仅包含属于同一资源的发现结果:

  • 案例 1:

    • 发现 1:严重程度:Critical,资源类型:Compute,项目: Project_1
    • 发现 3:严重程度:High,资源类型:Compute,项目:Project_1
    • 发现 4:严重程度:High,资源类型:Compute,项目:Project_2

  • 情形 2:

    • 发现 2:严重程度:Critical,资源类型:IAM,项目:Project_2

同时选中按 GCP 项目分组按严重程度分组复选框后,系统会自动根据相应项目和严重程度级别对检测结果进行分组,这样一来,一个支持请求就只会包含属于同一项目严重程度相同的检测结果。在此示例中,连接器会创建以下四种情况:

  • 案例 1:

    • 发现 1:严重程度:Critical,资源类型:Compute,项目:Project_1

  • 情形 2:

    • 发现 2:严重程度:Critical,资源类型:IAM,项目:Project_2

  • 情况 3:

    • 发现 3:严重程度:High,资源类型:Compute,项目:Project_1

  • 情况 4:

    • 发现 4:严重程度:High,资源类型:Compute,项目:Project_2

后续步骤

  • 如需详细了解,请参阅 Google SecOps 文档中的提醒