Questo documento spiega come raggruppare gli esiti in casi.
Questi passaggi vengono eseguiti utilizzando le pagine della console Security Operations. Per aprire queste pagine dalla Google Cloud console, vai a Impostazioni > Impostazioni SOAR.
Panoramica
Il meccanismo di raggruppamento degli esiti raggruppa automaticamente gli esiti inseriti in casi. Per impostazione predefinita, questo meccanismo di raggruppamento garantisce che tutti gli esiti in un caso appartengano allo stesso:
- Proprietario risorsa
- Google Cloud Progetto
- Account AWS
- Tipo di asset
- Categoria
- Livello di gravità
Configurare le impostazioni di raggruppamento
Per configurare le impostazioni di raggruppamento predefinite applicabili a tutti gli esiti inseriti:
Nella console Security Operations, vai a Impostazioni > Inserimento > Connettori.
Seleziona Connettore SCC Enterprise - Urgent Posture Findings.
Per personalizzare il meccanismo di raggruppamento e disattivare opzioni di raggruppamento specifiche, deseleziona le caselle di controllo per uno o più dei seguenti parametri:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Per impostazione predefinita, le seguenti impostazioni di raggruppamento si applicano agli esiti inseriti:
Raggruppa per account AWS: gli esiti vengono raggruppati in base agli account AWS a cui appartengono.
Raggruppa per progetto GCP: gli esiti vengono raggruppati in base ai Google Cloud progetti a cui appartengono.
Raggruppa per gravità: gli esiti vengono raggruppati in base al loro
severitylivello, ad esempioHIGHoMEDIUM.Raggruppa per tipo di asset: gli esiti vengono raggruppati in base al tipo di asset (Google Cloud tipo di risorsa), ad esempio istanza Compute Engine o account di servizio IAM.
Tutti gli esiti raggruppati in un caso appartengono allo stesso proprietario. Per assicurarti
che gli esiti vengano raggruppati correttamente, inclusi quelli senza tag ereditati
Google Cloud o contatti essenziali, configura sempre il
parametro Fallback Owner del connettore.
Esempio: come funziona il meccanismo di raggruppamento
In questo esempio vengono utilizzati solo gli esiti di Google Cloud .
Il connettore inserisce quattro esiti con gravità diverse e valori diversi ereditati dalle rispettive Google Cloud risorse:
Risultato 1: gravità:
Critical, tipo di asset:Compute, progetto:Project_1Esito 2: gravità:
Critical, tipo di asset:IAM, progetto:Project_2Risultato 3: gravità:
High, tipo di asset:Compute, progetto:Project_1Risultato 4: gravità:
High, tipo di asset:Compute, progetto:Project_2
Meccanismo di raggruppamento predefinito
Le impostazioni predefinite indicano che gli esiti vengono raggruppati in base ai rispettivi progetti, tipi di asset e proprietà di gravità.
In questo esempio, ogni esito è incluso in un caso diverso.
Caso 1:
- Esito 1: gravità:
Critical, tipo di asset:Compute, progetto:Project_1
- Esito 1: gravità:
Caso 2:
- Esito 2: gravità:
Critical, tipo di asset:IAM, progetto:Project_2
- Esito 2: gravità:
Caso 3:
- Risultato 3: gravità:
High, tipo di asset:Compute, progetto:Project_1
- Risultato 3: gravità:
Caso 4:
- Risultato 4: gravità:
High, tipo di asset:Compute, progetto:Project_2
- Risultato 4: gravità:
Meccanismo di raggruppamento personalizzato
Selezionando solo la casella di controllo Group by GCP Project , gli esiti vengono raggruppati automaticamente in base ai Google Cloud progetti, in modo che un caso contenga solo gli esiti appartenenti allo stesso progetto:
Caso 1:
- Risultato 1: gravità
Critical, tipo di asset:Compute, progetto:Project_1 - Risultato 3: gravità
High, tipo di asset:Compute, progetto:Project_1
- Risultato 1: gravità
Caso 2:
- Risultato 2: gravità
Critical, tipo di asset:IAM, progetto:Project_2 - Risultato 4: gravità
High, tipo di asset:Compute, progetto:Project_2
- Risultato 2: gravità
Selezionando solo la casella di controllo Group by Severity , gli esiti vengono raggruppati automaticamente in base alla gravità, in modo che un caso contenga solo gli esiti con lo stesso livello di gravità:
Caso 1:
- Esito 1: gravità:
Critical, tipo di asset:Compute, progetto:Project_1 - Esito 2: gravità:
Critical, tipo di asset:IAM, progetto:Project_2
- Esito 1: gravità:
Caso 2:
- Risultato 3: gravità:
High, tipo di asset:Compute, progetto:Project_1 - Risultato 4: gravità:
High, tipo di asset:Compute, progetto:Project_2
- Risultato 3: gravità:
Selezionando solo la casella di controllo Group by Asset Type , gli esiti vengono raggruppati automaticamente in base ai tipi di asset (tipi di risorse in Google Cloud), in modo che un caso contenga solo gli esiti appartenenti alla stessa risorsa:
Caso 1:
- Esito 1: gravità:
Critical, tipo di asset:Compute, progetto:Project_1 - Esito 3: gravità:
High, tipo di asset:Compute, progetto:Project_1 - Esito 4: gravità:
High, tipo di asset:Compute, progetto:Project_2
- Esito 1: gravità:
Caso 2:
- Esito 2: gravità:
Critical, tipo di asset:IAM, progetto:Project_2
- Esito 2: gravità:
Selezionando entrambe le caselle di controllo Group by GCP Project e Group by Severity , gli esiti vengono raggruppati automaticamente in base ai rispettivi progetti e livelli di gravità, in modo che un caso contenga solo gli esiti appartenenti allo stesso progetto e con la stessa gravità. In questo esempio, il connettore crea i seguenti quattro casi:
Caso 1:
- Esito 1: gravità:
Critical, tipo di asset:Compute, progetto:Project_1
- Esito 1: gravità:
Caso 2:
- Risultato 2: gravità:
Critical, tipo di risorsa:IAM, progetto:Project_2
- Risultato 2: gravità:
Caso 3:
- Risultato 3: gravità:
High, tipo di risorsa:Compute, progetto:Project_1
- Risultato 3: gravità:
Caso 4:
- Risultato 4: gravità:
High, tipo di risorsa:Compute, progetto:Project_2
- Risultato 4: gravità:
Passaggi successivi
- Scopri di più sugli avvisi nella documentazione di Google SecOps.