ケースの検出結果をフィルタする

このドキュメントでは、SCC Enterprise - 緊急体制検出コネクタのフィルタ パラメータを使用して、特定のカテゴリに属する検出結果のみをケースに含める方法について説明します。

概要

Security Command Center の Enterprise ティアでは、SCC Enterprise - 緊急体制検出コネクタを使用して、体制の検出結果を取得、分析、ケースに取り込みます。コネクタは、検出結果の元データを解析し、指定された構成に基づいてフィルタしてケースに検出結果をグループ化します。

コネクタ パラメータを使用して検出結果をフィルタリングし、次のことを確認できます。

• コネクタは、特定のカテゴリに属する検出結果のみを取り込みます。

• コネクタは、特定のカテゴリに属する検出結果を取り込みから除外します。

フィルタを構成する

コネクタ フィルタ パラメータを使用すると、取り込まれる検出結果のカテゴリを指定できます。デフォルトでは、コネクタはすべてのリソースとクラウド プロバイダからすべてのタイプの検出結果を取り込みます。デフォルトのパラメータ値を構成すると、ケースの処理フローに影響する場合があります。

フィルタ パラメータを構成すると、コネクタは、選択したフィルタ パラメータに構成された検出カテゴリのみを取り込みます。

コネクタ パラメータを表示および編集するには、次の手順を完了します。

1. Security Operations コンソールで、[設定] > [取り込み] > [コネクタ] に移動します。

2. [SCC Enterprise - Urgent Posture Findings Connector] を選択します。コネクタ パラメータの構成ページが開きます。

すべてのフィルタ パラメータは、カンマ区切りのリストとして複数の値を受け入れます。特定のフィルタを有効にするには、次の省略可能なコネクタ パラメータを構成します。

• GCP Project Filter: 検出結果を取り込む Google Cloud プロジェクトを指定します。1 つ以上のプロジェクト名を一覧表示すると、必要なカバレッジを確保できます。このパラメータに値を指定しない場合、コネクタはデフォルトですべてのプロジェクトから検出結果を取り込みます。

  たとえば、コネクタが example-project-three および example-project-four の Google Cloud プロジェクトからアラートを取り込み、他のアラートを無視し、パラメータ値 example-project-three,example-project-four を指定します。

• Asset Type Filter: クラウド プロバイダに依存せずに取り込むアセットタイプを指定します。1 つ以上のリソースタイプを一覧表示して、必要なフィルタ範囲を確保できます。このパラメータに値を指定しない場合、コネクタはデフォルトで、接続されているすべてのクラウド プロバイダからアセットタイプを取り込みます。

  たとえば、コネクタが Cloud Storage バケットと Compute Engine インスタンスからアラートを取り込み、他のアセットタイプを無視するようにするには、パラメータ値 google.cloud.storage.Bucket,google.compute.Instance を指定します。

• Cloud Provider Filter: アラートを取り込むクラウド プロバイダを指定します。このパラメータに値を指定しないと、コネクタはデフォルトで接続されているすべてのクラウド プロバイダからアラートが取り込まれます。

  たとえば、コネクタが AWS インスタンスからアラートを取り込み、他のプロバイダの検出結果を無視するようにするには、次のパラメータ値を構成します。AWSGoogle Cloud の検出結果のみを取り込むには、パラメータ値を GCP に設定します。

• AWS Account Filter: アラートの取り込み元 AWS アカウント ID を指定します。このパラメータに値を指定しないと、デフォルトではすべての AWS アカウントから検出結果が取り込まれます。

• Severity Filter: 取り込む検出結果の重大度を指定します。

検出結果カテゴリを取り込みから除外する

動的リスト設定を使用して、特定の検出結果のカテゴリを取り込みから除外します。

動的リストを構成する手順は次のとおりです。

1. Security Operations コンソールで、[設定] > [取り込み] > [コネクタ] に移動します。

2. [SCC Enterprise - Urgent Posture Findings Connector] を選択します。 コネクタの構成ページが開きます。

3. [動的リスト] セクションで、追加追加をクリックします。

4. [ルール名] フィールドに、フィルタする検出結果のカテゴリの名前を入力します。

   1. Google Cloud コンソールで、[概要] ページに移動します。

      概要を表示

   2. 脆弱性検出結果のリストで、検出結果のカテゴリを選択します。検出結果カテゴリ ウィンドウが開きます。

   3. [JSON] タブで、次の行を見つけます。

      "category": "FINDING_CATEGORY",
      

   4. FINDING_CATEGORY 値（引用符なし）をコピーし、コネクタの動的リストの [ルール名] フィールドに指定します。

5. 省略可: 必要に応じて、動的リスト セクションに [ルール名] フィールドを追加します。

6. [パラメータ] セクションで、[動的リストを拒否リストとして使用する] を選択します。

7. [保存] をクリックします。

次のステップ

• ケースの概要を確認する。

• ケースの検出結果を ミュートする方法を学習する。

• コネクタを使用してデータを取り込む方法を学習する。