Esta página foi traduzida pela API Cloud Translation.

Filtrar descobertas nos casos

Este documento explica como usar os parâmetros de filtro no SCC Enterprise - Conector de descobertas de postura urgente para que os casos contenham apenas as descobertas que pertencem a a categorias específicas.

Os casos, conectores e a ingestão, filtragem e bloqueio de descobertas são funcionalidades com a tecnologia das Operações de segurança do Google.

Visão geral

O nível Enterprise do Security Command Center usa o SCC Enterprise - Postura Urgente Conector de descobertas para recuperar, analisar e ingerir descobertas de postura em casos. O conector analisa os dados brutos das descobertas para filtrar e agrupar as descobertas nos casos com base na configuração fornecida.

É possível filtrar as descobertas usando os parâmetros do conector para garantir o seguinte:

O conector só ingere descobertas que pertencem a categorias específicas.
O conector exclui as descobertas pertencentes a categorias específicas a ingestão de streaming.

Configurar filtros

Os parâmetros de filtro do conector permitem especificar as categorias de descobertas que são ingeridos. Por padrão, o conector ingere todos os tipos de descobertas de todos seus recursos e provedores de nuvem. Configurar os valores de parâmetros padrão pode afetar o fluxo de processamento de casos.

Se você configurar os parâmetros de filtro, o conector vai processar apenas os categorias de localização para um parâmetro de filtro selecionado.

Para ver e editar os parâmetros do conector, siga estas etapas:

No console de Operações de Segurança, acesse Configurações > Ingestão > Conectores.
Selecione o conector SCC Enterprise - Urgent Posture Findings. A página de configuração dos parâmetros do conector será aberta.

Todos os parâmetros de filtro aceitam vários valores como uma lista separada por vírgulas. Para ativar filtros específicos, configure os seguintes parâmetros opcionais do conector:

GCP Project Filter: especifica quais projetos do Google Cloud serão ingeridos descobertas. Liste um ou mais nomes de projetos para garantir que os e a cobertura de dados. Se você não fornecer um valor para esse parâmetro, o conector processará descobertas de todos os projetos por padrão.

Por exemplo, para garantir que o conector processe alertas do seu projetos do Google Cloud example-project-three e example-project-four e ignora os outros, forneça o seguinte valor de parâmetro: example-project-three,example-project-four
Asset Type Filter: especifica quais tipos de recursos ingerir sem dependência no provedor de nuvem. É possível listar um ou mais tipos de recursos para garantir a cobertura de filtro necessária. Se você não fornecer um valor para esse parâmetro, a conector ingere tipos de recursos de todos os provedores de nuvem conectados padrão.

Por exemplo, para garantir que o conector processe alertas do do bucket do Cloud Storage e uma instância do Compute Engine, ignorando outros tipos de recursos, forneça o seguinte valor de parâmetro: google.cloud.storage.Bucket,google.compute.Instance:
Cloud Provider Filter: especifica quais provedores de nuvem devem ser ingeridos na ingestão de alertas. se originou. Se você não fornecer um valor para esse parâmetro, o conector processará alertas de todos os provedores de nuvem conectados por padrão.

Por exemplo, para garantir que o conector processe alertas do seu instância da AWS e ignora descobertas de outros provedores, configure o seguinte valor de parâmetro: AWS. Para ingerir apenas descobertas do Google Cloud, defina o valor do parâmetro como GCP.
AWS Account Filter: especifica de quais IDs de conta da AWS os alertas serão ingeridos. Se você não fornecer um valor para esse parâmetro, o conector processará as descobertas de todas as contas da AWS por padrão.
Severity Filter: especifica a gravidade das descobertas a serem ingeridas.

Aviso :mudar o valor padrão do parâmetro Severity Filter de Critical,High para Critical,High,Medium pode prejudicar o desempenho devido a um de aumento no volume de descobertas.

Excluir categoria de descoberta do processamento

Use as configurações da lista dinâmica para excluir as categorias de descoberta específicas das a ingestão de streaming.

Para configurar a lista dinâmica, siga estas etapas:

No console de Operações de Segurança, acesse Configurações > Ingestão > Conectores.
Selecione o conector SCC Enterprise - Urgent Posture Findings. A página de configuração do conector será aberta.
Na seção Lista dinâmica, clique em add Adicionar.
No campo Nome da regra, insira o nome de uma categoria de descoberta a ser filtrada:
1. No console do Google Cloud, acesse a página Visão geral.
  
  Ir para Visão geral
2. Na lista de descobertas de vulnerabilidade, selecione a categoria de descoberta. O a janela de categoria de descoberta é aberta.
3. Na guia JSON, encontre a seguinte linha:
```
"category": "FINDING_CATEGORY",
```
4. Copie o valor FINDING_CATEGORY (sem aspas) e insira-o no campo Nome da regra da lista dinâmica do conector.
Opcional: adicione o máximo de campos de Nome da regra à seção da lista dinâmica precisam.

Observação :apenas um valor FINDING_CATEGORY é permitido para cada Nome de regra .
Na seção Parâmetros, selecione Usar lista dinâmica como uma lista de bloqueio.
Clique em Salvar.

A seguir

Confira a visão geral de casos.
Saiba como silenciar descobertas nos casos.
Saiba como ingerir dados usando conectores.