Agrupa los hallazgos en casos

En este documento, se explica cómo puedes agrupar los resultados en casos.

Estos pasos se realizan con las páginas de la consola de Security Operations. Para abrir estas páginas desde la Google Cloud consola de, ve a Configuración > Configuración de SOAR.

Descripción general

El mecanismo de agrupación de resultados agrupa automáticamente los resultados transferidos en casos. De forma predeterminada, este mecanismo de agrupación garantiza que todos los resultados de un caso pertenezcan a lo siguiente:

  • Propietario del recurso
  • Google Cloud proyecto
  • Cuenta de AWS
  • Tipo de recurso
  • Categoría
  • Nivel de gravedad

Configura los parámetros de configuración de agrupación

Para configurar los parámetros de configuración de agrupación predeterminados aplicables a todos los resultados transferidos, sigue estos pasos:

  1. En la consola de Security Operations, ve a Configuración > Transferencia > Conectores.

  2. Selecciona Conector de SCC Enterprise Urgent Posture Findings.

  3. Para personalizar el mecanismo de agrupación y, también, inhabilitar opciones de agrupación específicas, desmarca las casillas de verificación de uno o más de los siguientes parámetros:

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

De forma predeterminada, los siguientes parámetros de configuración de agrupación se aplican a los resultados transferidos:

  • Group by AWS Account: Los resultados se agrupan según las cuentas de AWS a las que pertenecen.

  • Agrupar por proyecto de GCP: Los resultados se agrupan según los Google Cloud proyectos a los que pertenecen.

  • Agrupar por gravedad: Los resultados se agrupan según su severity nivel, como HIGH o MEDIUM.

  • Agrupar por tipo de recurso: Los resultados se agrupan según su tipo de recurso (Google Cloud tipo de recurso), como la instancia de Compute Engine o la cuenta de servicio de IAM.

Todos los resultados que se agrupan en un caso pertenecen al mismo propietario. Para garantizar que los resultados se agrupen correctamente, incluidos los resultados sin etiquetas heredadas Google Cloud o contactos esenciales, siempre configura el parámetro Fallback Owner del conector.

Ejemplo: Cómo funciona el mecanismo de agrupación

En este ejemplo, solo se usan los resultados de Google Cloud

El conector transfiere cuatro resultados con diferentes niveles de gravedad y valores diferentes heredados de sus respectivos Google Cloud recursos:

  • Hallazgo 1: Gravedad: Critical, Tipo de recurso: Compute, Proyecto: Project_1

  • Hallazgo 2: Gravedad: Critical, Tipo de recurso: IAM, Proyecto: Project_2

  • Hallazgo 3: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_1

  • Hallazgo 4: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_2

Mecanismo de agrupación predeterminado

La configuración predeterminada significa que los resultados se agrupan según sus respectivos proyectos, tipos de recursos y propiedad de gravedad.

En este ejemplo, cada hallazgo se incluye en un caso diferente.

  • Caso 1:

    • Hallazgo 1: Gravedad: Critical, Tipo de recurso: Compute, Proyecto: Project_1

  • Caso 2:

    • Hallazgo 2: Gravedad: Critical, Tipo de recurso: IAM, Proyecto: Project_2

  • Caso 3:

    • Hallazgo 3: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_1

  • Caso 4:

    • Hallazgo 4: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_2

Mecanismo de agrupación personalizado

Si seleccionas solo la casilla de verificación Group by GCP Project , los resultados se agrupan automáticamente según sus Google Cloud proyectos, de modo que un caso solo contenga resultados que pertenezcan al mismo proyecto:

  • Caso 1:

    • Hallazgo 1: Gravedad Critical, Tipo de recurso: Compute, Proyecto: Project_1
    • Hallazgo 3: Gravedad High, Tipo de recurso: Compute, Proyecto: Project_1

  • Caso 2:

    • Hallazgo 2: Gravedad Critical, Tipo de recurso: IAM, Proyecto: Project_2
    • Hallazgo 4: Gravedad High, Tipo de recurso: Compute, Proyecto: Project_2

Si seleccionas solo la casilla de verificación Group by Severity , los resultados se agrupan automáticamente según sus niveles de gravedad, de modo que un caso solo contenga resultados con el mismo nivel de gravedad:

  • Caso 1:

    • Hallazgo 1: Gravedad: Critical, Tipo de recurso: Compute, Proyecto: Project_1
    • Hallazgo 2: Gravedad: Critical, Tipo de recurso: IAM, Proyecto: Project_2

  • Caso 2:

    • Hallazgo 3: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_1
    • Hallazgo 4: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_2

Si seleccionas solo la casilla de verificación Group by Asset Type, los resultados se agrupan automáticamente según sus tipos de recursos (tipos de recursos en Google Cloud), de modo que un caso solo contenga resultados que pertenezcan al mismo recurso:

  • Caso 1:

    • Hallazgo 1: Gravedad: Critical, Tipo de recurso: Compute, Proyecto: Project_1
    • Resultado 3: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_1
    • Hallazgo 4: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_2

  • Caso 2:

    • Resultado 2: Gravedad: Critical, Tipo de recurso: IAM, Proyecto: Project_2

Si seleccionas las casillas de verificación Group by GCP Project y Group by Severity , los resultados se agrupan automáticamente según sus respectivos proyectos y niveles de gravedad, de modo que un caso solo contenga resultados que pertenezcan al mismo proyecto y que tengan el mismo nivel de gravedad. En este ejemplo, el conector crea los siguientes cuatro casos:

  • Caso 1:

    • Hallazgo 1: Gravedad: Critical, Tipo de recurso: Compute, Proyecto: Project_1

  • Caso 2:

    • Hallazgo 2: Gravedad: Critical, Tipo de recurso: IAM, Proyecto: Project_2

  • Caso 3:

    • Hallazgo 3: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_1

  • Caso 4:

    • Hallazgo 4: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_2

Próximos pasos

  • Obtén más información sobre las alertas en la documentación de Google SecOps.