Mengelompokkan temuan dalam kasus

Dokumen ini menjelaskan cara mengelompokkan temuan ke dalam kasus.

Langkah-langkah ini dilakukan menggunakan halaman konsol Security Operations. Untuk membuka halaman ini dari Google Cloud konsol, buka Setelan > Setelan SOAR.

Ringkasan

Mekanisme pengelompokan temuan secara otomatis mengelompokkan temuan yang di-ingest ke dalam kasus. Secara default, mekanisme pengelompokan ini memastikan bahwa semua temuan dalam suatu kasus termasuk dalam:

  • Pemilik resource
  • Google Cloud project
  • Akun AWS
  • Jenis aset
  • Kategori
  • Tingkat keparahan

Mengonfigurasi setelan pengelompokan

Untuk mengonfigurasi setelan pengelompokan default yang berlaku untuk semua temuan yang di-ingest, ikuti langkah-langkah berikut:

  1. Di konsol Security Operations, buka Setelan > Ingestion > Connectors.

  2. Pilih SCC Enterprise - Urgent Posture Findings Connector.

  3. Untuk menyesuaikan mekanisme pengelompokan dan menonaktifkan opsi pengelompokan tertentu, hapus centang pada kotak untuk satu atau beberapa parameter berikut:

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

Secara default, setelan pengelompokan berikut berlaku untuk temuan yang di-ingest:

  • Group by AWS Account: Temuan dikelompokkan menurut akun AWS yang terkait.

  • Group by GCP Project: Temuan dikelompokkan menurut project yang terkait. Google Cloud

  • Kelompokkan berdasarkan Tingkat Keparahan: Temuan dikelompokkan menurut severity tingkat, seperti HIGH atau MEDIUM.

  • Group by Asset Type: Temuan dikelompokkan menurut jenis aset (Google Cloud jenis resource), seperti instance Compute Engine atau akun layanan IAM.

Semua temuan yang dikelompokkan ke dalam suatu kasus termasuk dalam pemilik yang sama. Untuk memastikan temuan dikelompokkan dengan benar, termasuk temuan tanpa tag Google Cloud yang diwarisi atau Kontak Penting, selalu konfigurasi parameter Fallback Ownerkonektor.

Contoh: Cara kerja mekanisme pengelompokan

Dalam contoh ini, hanya temuan dari Google Cloud yang digunakan.

Konektor meng-ingest empat temuan dengan tingkat keparahan yang berbeda dan nilai yang berbeda yang diwarisi dari masing-masing Google Cloud resource:

  • Temuan 1: Keparahan: Critical, Jenis Aset: Compute, Project: Project_1

  • Temuan 2: Keparahan: Critical, Jenis Aset: IAM, Project: Project_2

  • Temuan 3: Keparahan: High, Jenis Aset: Compute, Project: Project_1

  • Temuan 4: Keparahan: High, Jenis Aset: Compute, Project: Project_2

Mekanisme pengelompokan default

Setelan default berarti temuan dikelompokkan menurut project, jenis aset, dan properti keparahan masing-masing.

Dalam contoh ini, setiap temuan disertakan dalam kasus yang berbeda.

  • Kasus 1:

    • Temuan 1: Keparahan: Critical, Jenis Aset: Compute, Project: Project_1

  • Kasus 2:

    • Temuan 2: Keparahan: Critical, Jenis Aset: IAM, Project: Project_2

  • Kasus 3:

    • Temuan 3: Keparahan: High, Jenis Aset: Compute, Project: Project_1

  • Kasus 4:

    • Temuan 4: Keparahan: High, Jenis Aset: Compute, Project: Project_2

Mekanisme pengelompokan kustom

Hanya mencentang kotak Group by GCP Project akan otomatis mengelompokkan temuan menurut Google Cloud project sehingga kasus hanya berisi temuan yang termasuk dalam project yang sama:

  • Kasus 1:

    • Temuan 1: Keparahan Critical, Jenis Aset: Compute, Project: Project_1
    • Temuan 3: Keparahan High, Jenis Aset: Compute, Project: Project_1

  • Kasus 2:

    • Temuan 2: Keparahan Critical, Jenis Aset: IAM, Project: Project_2
    • Temuan 4: Keparahan High, Jenis Aset: Compute, Project: Project_2

Hanya mencentang kotak Group by Severity akan otomatis mengelompokkan temuan menurut tingkat keparahannya sehingga kasus hanya berisi temuan dengan tingkat keparahan yang sama:

  • Kasus 1:

    • Temuan 1: Keparahan: Critical, Jenis Aset: Compute, Project: Project_1
    • Temuan 2: Keparahan: Critical, Jenis Aset: IAM, Project: Project_2

  • Kasus 2:

    • Temuan 3: Keparahan: High, Jenis Aset: Compute, Project: Project_1
    • Temuan 4: Keparahan: High, Jenis Aset: Compute, Project: Project_2

Hanya mencentang kotak Group by Asset Type akan otomatis mengelompokkan temuan menurut jenis asetnya (jenis resource di Google Cloud) sehingga kasus hanya berisi temuan yang termasuk dalam resource yang sama:

  • Kasus 1:

    • Temuan 1: Keparahan: Critical, Jenis Aset: Compute, Project: Project_1
    • Temuan 3: Keparahan: High, Jenis Aset: Compute, Project: Project_1
    • Temuan 4: Keparahan: High, Jenis Aset: Compute, Project: Project_2

  • Kasus 2:

    • Temuan 2: Keparahan: Critical, Jenis Aset: IAM, Project: Project_2

Mencentang kotak Group by GCP Project dan Group by Severity akan otomatis mengelompokkan temuan menurut project dan tingkat keparahan masing-masing sehingga kasus hanya berisi temuan yang termasuk dalam project yang sama dan memiliki tingkat keparahan yang sama. Dalam contoh ini, konektor membuat empat kasus berikut:

  • Kasus 1:

    • Temuan 1: Keparahan: Critical, Jenis Aset: Compute, Project: Project_1

  • Kasus 2:

    • Temuan 2: Keparahan: Critical, Jenis Resource: IAM, Project: Project_2

  • Kasus 3:

    • Temuan 3: Keparahan: High, Jenis Resource: Compute, Project: Project_1

  • Kasus 4:

    • Temuan 4: Keparahan: High, Jenis Resource: Compute, Project: Project_2

Apa langkah selanjutnya?

  • Pelajari lebih lanjut pemberitahuan dalam dokumentasi Google SecOps.