Regrouper les résultats dans les demandes

Ce document explique comment regrouper les résultats dans des demandes.

Ces étapes sont effectuées à l'aide des pages de la console Security Operations. Pour ouvrir ces pages à partir de la Google Cloud console, accédez à Settings > SOAR settings (Paramètres > Paramètres SOAR).

Présentation

Le mécanisme de regroupement des résultats regroupe automatiquement les résultats ingérés dans des demandes. Par défaut, ce mécanisme de regroupement garantit que tous les résultats d'une demande appartiennent au même :

  • Propriétaire de la ressource
  • Google Cloud Projet
  • Compte AWS
  • Type d'élément
  • Catégorie
  • Niveau de gravité

Configurer les paramètres de regroupement

Pour configurer les paramètres de regroupement par défaut applicables à tous les résultats ingérés, procédez comme suit :

  1. Dans la console Security Operations, accédez à Settings > Ingestion > Connectors (Paramètres > Ingestion > Connecteurs).

  2. Sélectionnez SCC Enterprise - Urgent Posture Findings Connector (Connecteur SCC Enterprise Urgent Posture Findings).

  3. Pour personnaliser le mécanisme de regroupement et désactiver des options de regroupement spécifiques, décochez les cases d'un ou plusieurs des paramètres suivants :

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

Par défaut, les paramètres de regroupement suivants s'appliquent aux résultats ingérés :

  • Group by AWS Account (Regrouper par compte AWS) : les résultats sont regroupés en fonction des comptes AWS auxquels ils appartiennent.

  • Regrouper par projet GCP : les résultats sont regroupés en fonction des Google Cloud projets auxquels ils appartiennent.

  • Group by Severity (Regrouper par gravité) : les résultats sont regroupés en fonction de leur severity niveau, tel que HIGH ou MEDIUM.

  • Critère de regroupement par type d'asset : les résultats sont regroupés en fonction de leur type d'asset (Google Cloud type de ressource), tel qu'une instance Compute Engine ou un compte de service IAM.

Tous les résultats regroupés dans une demande appartiennent au même propriétaire. Pour vous assurer que les résultats sont correctement regroupés, y compris ceux sans tags hérités Google Cloud ni contacts essentiels, configurez toujours le paramètre Fallback Owner du connecteur.

Exemple : Fonctionnement du mécanisme de regroupement

Dans cet exemple, seuls les résultats de Google Cloud sont utilisés.

Le connecteur ingère quatre résultats avec des niveaux de gravité et des valeurs différents hérités de leurs ressources respectives Google Cloud :

  • Résultat 1 : Gravité : Critical, Type d'élément : Compute, Projet : Project_1

  • Résultat 2 : Gravité : Critical, Type d'élément : IAM, Projet : Project_2

  • Résultat 3 : Gravité : High, Type d'élément : Compute, Projet : Project_1

  • Résultat 4 : Gravité : High, Type d'élément : Compute, Projet : Project_2

Mécanisme de regroupement par défaut

Les paramètres par défaut signifient que les résultats sont regroupés en fonction de leurs projets, types d'éléments et propriétés de gravité respectifs.

Dans cet exemple, chaque résultat est inclus dans une demande différente.

  • Demande 1 :

    • Résultat 1 : Gravité : Critical, Type d'élément : Compute, Projet : Project_1

  • Demande 2 :

    • Résultat 2 : Gravité : Critical, Type d'élément : IAM, Projet: Project_2

  • Demande 3 :

    • Résultat 3 : Gravité : High, Type d'élément : Compute, Projet: Project_1

  • Demande 4 :

    • Résultat 4 : Gravité : High, Type d'élément : Compute, Projet: Project_2

Mécanisme de regroupement personnalisé

Si vous ne cochez que la case Group by GCP Project (Regrouper par projet GCP), les résultats sont automatiquement regroupés en fonction de leurs Google Cloud projets. Ainsi, une demande ne contient que les résultats appartenant au même projet :

  • Demande 1 :

    • Résultat 1 : Gravité Critical, Type d'élément : Compute, Projet : Project_1
    • Résultat 3 : Gravité High, Type d'élément : Compute, Projet : Project_1

  • Demande 2 :

    • Résultat 2 : Gravité Critical, Type d'élément : IAM, Projet : Project_2
    • Résultat 4 : Gravité High, Type d'élément : Compute, Projet : Project_2

Si vous ne cochez que la case Group by Severity (Regrouper par gravité), les résultats sont automatiquement regroupés en fonction de leur gravité. Ainsi, une demande ne contient que les résultats ayant le même niveau de gravité :

  • Demande 1 :

    • Résultat 1 : Gravité : Critical, Type d'élément : Compute, Projet: Project_1
    • Résultat 2 : Gravité : Critical, Type d'élément : IAM, Projet: Project_2

  • Demande 2 :

    • Résultat 3 : Gravité : High, Type d'élément : Compute, Projet: Project_1
    • Résultat 4 : Gravité : High, Type d'élément : Compute, Projet: Project_2

Si vous ne cochez que la case Group by Asset Type (Regrouper par type d’élément), les résultats sont automatiquement regroupés en fonction de leurs types d’éléments (types de ressources dans Google Cloud). Ainsi, une demande ne contient que les résultats appartenant à la même ressource :

  • Demande 1 :

    • Résultat 1 : Gravité : Critical, Type d'élément : Compute, Projet: Project_1
    • Résultat 3 : Gravité : High, Type d'élément : Compute, Projet: Project_1
    • Résultat 4 : Gravité : High, Type d'élément : Compute, Projet: Project_2

  • Demande 2 :

    • Résultat 2 : Gravité : Critical, Type d'élément : IAM, Projet: Project_2

Si vous cochez les cases Group by GCP Project (Regrouper par projet GCP) et Group by Severity (Regrouper par gravité), les résultats sont automatiquement regroupés en fonction de leurs projets et niveaux de gravité respectifs. Ainsi, une demande ne contient que les résultats appartenant au même projet et ayant le même niveau de gravité. Dans cet exemple, le connecteur crée les quatre demandes suivantes :

  • Demande 1 :

    • Résultat 1 : Gravité : Critical, Type d'élément : Compute, Projet: Project_1

  • Demande 2 :

    • Résultat 2 : Gravité : Critical, Type de ressource : IAM, Projet: Project_2

  • Demande 3 :

    • Résultat 3 : Gravité : High, Type de ressource : Compute, Projet: Project_1

  • Demande 4 :

    • Résultat 4 : Gravité : High, Type de ressource : Compute, Projet: Project_2

Étape suivante

  • Pour en savoir plus sur les alertes, consultez la documentation Google SecOps.