Diese Seite wurde von der Cloud Translation API übersetzt.

Ergebnisse in Fällen filtern

In diesem Dokument wird die Verwendung der Filterparameter in SCC Enterprise – Urgent Posture Findings Connector, damit Anfragen nur Ergebnisse enthalten, die zu bestimmten Kategorien zugeordnet werden.

Die Fälle, Connectors und die Aufnahme, Filterung und Blockierung von Ergebnissen sind eine Funktion, die von Google Security Operations unterstützt wird.

Übersicht

Die Enterprise-Stufe von Security Command Center verwendet den SCC Enterprise – Urgent Posture Ergebnis-Connector zum Abrufen, Analysieren und Aufnehmen von Statusergebnissen in Fälle umwandeln. Der Connector parst die Rohdaten der Ergebnisse, um die Ergebnisse zu filtern und Erkenntnisse in Fällen gruppieren basierend auf der bereitgestellten Konfiguration.

Sie können Ergebnisse mit den Connector-Parametern filtern, um Folgendes zu gewährleisten:

Der Connector nimmt nur Ergebnisse auf, die zu bestimmten Kategorien gehören.
Der Connector schließt Ergebnisse aus bestimmten Kategorien von Datenaufnahme.

Filter konfigurieren

Mit den Connector-Filterparametern können Sie die Kategorien von Ergebnissen angeben, die aufgenommen werden. Standardmäßig nimmt der Connector alle Ergebnistypen aus allen Ihren Ressourcen und Cloud-Anbietern. Die Konfiguration der Standardparameterwerte sich auf den Ablauf der Fallbearbeitung auswirken.

Wenn Sie Filterparameter konfigurieren, nimmt der Connector nur die konfigurierten zur Ermittlung von Kategorien für einen ausgewählten Filterparameter.

So können Sie die Parameter des Connectors aufrufen und bearbeiten:

Gehen Sie in der Security Operations-Konsole zu Einstellungen > Datenaufnahme. > Connectors.
Wählen Sie SCC Enterprise – Urgent Posture Findings Connector aus. Die Konfigurationsseite für die Connector-Parameter wird geöffnet.

Alle Filterparameter akzeptieren mehrere Werte als durch Kommas getrennte Liste. Zum Aktivieren Konfigurieren Sie die folgenden optionalen Connector-Parameter:

GCP Project Filter: Gibt an, welche Google Cloud-Projekte aufgenommen werden sollen aus den Ergebnissen. Sie können einen oder mehrere Projektnamen auflisten, um sicherzustellen, dass die erforderlichen Abdeckung. Wenn Sie für diesen Parameter keinen Wert angeben, nimmt der Connector Ergebnisse aus allen Ihren Projekten.

Um z. B. dafür zu sorgen, dass der Connector Benachrichtigungen aus Ihrem Google Cloud-Projekte example-project-three und example-project-four und andere ignoriert, geben Sie den folgenden Parameterwert an: example-project-three,example-project-four
Asset Type Filter: gibt an, welche Asset-Typen ohne Abhängigkeit aufgenommen werden sollen beim Cloud-Anbieter. Sie können einen oder mehrere Ressourcentypen auflisten, um sicherzustellen, erforderliche Filterabdeckung. Wenn Sie für diesen Parameter keinen Wert angeben, Der Connector nimmt Asset-Typen von allen verbundenen Cloud-Anbietern auf, Standardeinstellung.

Um beispielsweise sicherzustellen, dass der Connector Benachrichtigungen aus dem Cloud Storage-Bucket und eine Compute Engine-Instanz. Andere Asset-Typen verwenden, geben Sie den folgenden Parameterwert an: google.cloud.storage.Bucket,google.compute.Instance
Cloud Provider Filter: Gibt an, welche Cloud-Anbieter Benachrichtigungen aufnehmen sollen aus. Wenn Sie für diesen Parameter keinen Wert angeben, nimmt der Connector standardmäßig Warnmeldungen von allen verbundenen Cloud-Anbietern.

Um z. B. dafür zu sorgen, dass der Connector Benachrichtigungen aus Ihrem AWS-Instanz und ignoriert Ergebnisse von anderen Anbietern, konfigurieren Sie die folgenden Parameterwert: AWS. Wenn Sie nur Google Cloud-Ergebnisse aufnehmen möchten, legen Sie Folgendes fest: den Parameterwert auf GCP.
AWS Account Filter: Gibt an, von welchen AWS-Konto-IDs Benachrichtigungen aufgenommen werden sollen. Wenn Sie für diesen Parameter keinen Wert angeben, nimmt der Connector Ergebnisse auf standardmäßig aus allen Ihren AWS-Konten.
Severity Filter: Gibt den Schweregrad der aufzunehmenden Ergebnisse an.

Warnung: Ändern des Standardwerts des Parameters Severity Filter von Critical,High bis Critical,High,Medium kann die Leistung aufgrund eines mehr Ergebnisse.

Ergebniskategorie von Aufnahme ausschließen

Verwenden Sie die Einstellungen für dynamische Listen, um bestimmte Ergebniskategorien aus auszuschließen. Datenaufnahme.

So konfigurieren Sie die dynamische Liste:

Gehen Sie in der Security Operations-Konsole zu Einstellungen > Datenaufnahme. > Connectors.
Wählen Sie SCC Enterprise – Urgent Posture Findings Connector aus. Die Konfigurationsseite des Connectors wird geöffnet.
Klicken Sie im Abschnitt Dynamische Liste auf add Hinzufügen:
Geben Sie im Feld Regelname den Namen einer Ergebniskategorie an, die gefiltert werden soll:
1. Rufen Sie in der Google Cloud Console die Seite Übersicht auf.
  
  Zur Übersicht
2. Wählen Sie in der Liste der Ergebnisse zu Sicherheitslücken die Ergebniskategorie aus. Die wird das Fenster mit einer Ergebniskategorie geöffnet.
3. Suchen Sie auf dem Tab JSON die folgende Zeile:
```
"category": "FINDING_CATEGORY",
```
4. Kopieren Sie den FINDING_CATEGORY-Wert (ohne Anführungszeichen) und geben Sie ihn an: in das Feld Regelname in der dynamischen Liste des Connectors ein.
Optional: Fügen Sie dem Bereich der dynamischen Liste beliebig viele Felder für Regelname hinzu die Sie brauchen.

Hinweis: Für jeden Regelnamen ist nur ein FINDING_CATEGORY-Wert zulässig. ein.
Wählen Sie im Abschnitt Parameter die Option Dynamische Liste als Sperrliste verwenden aus.
Klicken Sie auf Speichern.

Nächste Schritte

Werfen Sie einen Blick in die Supportübersicht.
Weitere Informationen zum Ausblenden von Ergebnissen in Fällen
Daten mit Connectors aufnehmen