將案件中的發現項目分組

本文說明如何將調查結果歸類為案件。

這些步驟是透過 Security Operations 控制台頁面執行。 如要從 Google Cloud 控制台開啟這些頁面,請依序前往「設定」> SOAR 設定

總覽

發現項目分組機制會自動將擷取的發現項目分組到案件中。根據預設,這項分組機制可確保案件中的所有發現項目都屬於下列相同項目:

  • 資源擁有者
  • Google Cloud 專案
  • AWS 帳戶
  • 資產類型
  • 類別
  • 嚴重性等級

設定分組設定

如要設定適用於所有擷取結果的預設分組設定,請按照下列步驟操作:

  1. 在 Security Operations 控制台中,依序前往「設定」>「擷取」 >「連線器」

  2. 選取「SCC Enterprise - Urgent Posture Findings Connector」

  3. 如要自訂分組機制並停用特定分組選項,請取消勾選下列一或多個參數的核取方塊:

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

根據預設,系統會對擷取的調查結果套用下列分組設定:

  • 依 AWS 帳戶分組:系統會根據發現項目所屬的 AWS 帳戶進行分組。

  • 依 GCP 專案分組:發現項目會依所屬的 Google Cloud專案分組。

  • 依嚴重程度分組:發現項目會依severity 嚴重程度分組, 例如 HIGHMEDIUM

  • 依資產類型分組:依資產類型 (Google Cloud 資源類型) 分組,例如 Compute Engine 執行個體或 IAM 服務帳戶。

案件中的所有發現項目都屬於同一位擁有者。為確保系統正確分組調查結果 (包括沒有繼承Google Cloud 標記或必要聯絡人的調查結果),請務必設定連接器 Fallback Owner 參數。

範例:分組機制的運作方式

在本範例中,只會使用 Google Cloud 的調查結果。

連接器會擷取四項嚴重程度不同的發現項目,以及從各自 Google Cloud 資源繼承的不同值:

  • 發現 1:嚴重程度:Critical、資產類型:Compute、專案:Project_1

  • 發現 2:嚴重程度:Critical、資產類型:IAM、專案:Project_2

  • 發現項目 3:嚴重程度:High、資產類型:Compute、專案:Project_1

  • 發現項目 4:嚴重程度:High、資產類型:Compute、專案:Project_2

預設分組機制

預設設定是指系統會依據發現項目所屬的專案、資產類型和嚴重性屬性,將發現項目分組。

在本例中,每項發現都包含在不同案件中。

  • 案例 1:

    • 發現 1:嚴重程度:Critical,資產類型:Compute, 專案:Project_1

  • 案例 2:

    • 發現 2:嚴重程度:Critical,資產類型:IAM,專案:Project_2

  • 案例 3:

    • 發現項目 3:嚴重程度:High,資產類型:Compute,專案: Project_1

  • 案例 4:

    • 發現 4:嚴重程度:High,資產類型:Compute,專案: Project_2

自訂分組機制

只勾選「依 GCP 專案分組」核取方塊,系統就會自動依專案分組調查結果,因此案件只會包含屬於同一專案的調查結果: Google Cloud

  • 案例 1:

    • 發現 1:嚴重程度 Critical、資產類型:Compute、專案: Project_1
    • 發現 3:嚴重程度 High、資產類型:Compute、專案: Project_1

  • 案例 2:

    • 發現 2:嚴重程度 Critical、資產類型:IAM、專案: Project_2
    • 發現 4:嚴重程度 High、資產類型:Compute、專案: Project_2

只選取「依嚴重程度分組」核取方塊,系統就會自動依嚴重程度將調查結果分組,因此案件只會包含嚴重程度相同的調查結果:

  • 案例 1:

    • 發現 1:嚴重程度:Critical,資產類型:Compute,專案: Project_1
    • 發現 2:嚴重程度:Critical,資產類型:IAM,專案: Project_2

  • 案例 2:

    • 發現項目 3:嚴重程度:High,資產類型:Compute,專案: Project_1
    • 發現 4:嚴重程度:High,資產類型:Compute,專案: Project_2

只要勾選「依資產類型分組」核取方塊,系統就會自動依資產類型 ( Google Cloud中的資源類型) 將調查結果分組,因此案件只會包含屬於相同資源的調查結果:

  • 案例 1:

    • 發現 1:嚴重程度:Critical,資產類型:Compute,專案: Project_1
    • 發現項目 3:嚴重程度:High,資產類型:Compute,專案: Project_1
    • 發現 4:嚴重程度:High,資產類型:Compute,專案: Project_2

  • 案例 2:

    • 發現 2:嚴重程度:Critical,資產類型:IAM,專案: Project_2

同時選取「依 GCP 專案分組」和「依嚴重程度分組」核取方塊,系統就會自動依據專案和嚴重程度等級分組調查結果,因此案件只會包含屬於同一專案嚴重程度相同的調查結果。在本範例中,連接器會建立下列四個案例:

  • 案例 1:

    • 發現 1:嚴重程度:Critical,資產類型:Compute,專案: Project_1

  • 案例 2:

    • 發現 2:嚴重程度:Critical,資源類型:IAM,專案:Project_2

  • 案例 3:

    • 發現項目 3:嚴重程度:High,資源類型:Compute,專案:Project_1

  • 案例 4:

    • 發現 4:嚴重程度:High、資源類型:Compute、專案:Project_2

後續步驟

  • 如要進一步瞭解 Google SecOps 中的快訊,請參閱相關文件。