Diese Seite wurde von der Cloud Translation API übersetzt.

Ergebnisse in Fällen filtern

In diesem Dokument wird erläutert, wie Sie die Filterparameter im SCC Enterprise – Urgent Posture Findings Connector verwenden, damit Anfragen nur Ergebnisse aus bestimmten Kategorien enthalten.

Die Cases, Connectors sowie die Aufnahme, Filterung und Blockierung von Ergebnissen sind Funktionen, die auf Google Security Operations basieren.

Überblick

Die Enterprise-Stufe von Security Command Center verwendet den SCC Enterprise – Urgent Posture Findings Connector, um Statusergebnisse in Fällen abzurufen, zu analysieren und aufzunehmen. Der Connector parst die Rohdaten der Ergebnisse, um die Ergebnisse in Fällen basierend auf der bereitgestellten Konfiguration zu filtern und zu gruppieren.

Sie können Ergebnisse mit den Connector-Parametern filtern, um Folgendes zu gewährleisten:

Der Connector nimmt nur Ergebnisse auf, die zu bestimmten Kategorien gehören.
Der Connector schließt Ergebnisse aus bestimmten Kategorien von der Aufnahme aus.

Filter konfigurieren

Mit den Connector-Filterparametern können Sie die Kategorien der aufgenommenen Ergebnisse angeben. Standardmäßig nimmt der Connector alle Arten von Ergebnissen von all Ihren Ressourcen und Cloud-Anbietern auf. Die Konfiguration der Standardparameterwerte kann sich auf den Fallverarbeitungsablauf auswirken.

Wenn Sie Filterparameter konfigurieren, nimmt der Connector nur die konfigurierten Suchkategorien für einen ausgewählten Filterparameter auf.

So können Sie die Parameter des Connectors aufrufen und bearbeiten:

Rufen Sie in der Security Operations-Konsole Einstellungen > Datenaufnahme > Connectors auf.
Wählen Sie SCC Enterprise – Urgent Posture Findings Connector aus. Die Konfigurationsseite für die Connector-Parameter wird geöffnet.

Alle Filterparameter akzeptieren mehrere Werte als durch Kommas getrennte Liste. Konfigurieren Sie die folgenden optionalen Connector-Parameter, um bestimmte Filter zu aktivieren:

GCP Project Filter: Gibt an, aus welchen Google Cloud-Projekten die Ergebnisse aufgenommen werden sollen. Sie können einen oder mehrere Projektnamen auflisten, um die erforderliche Abdeckung zu gewährleisten. Wenn Sie für diesen Parameter keinen Wert angeben, nimmt der Connector standardmäßig Ergebnisse aus allen Ihren Projekten auf.

Geben Sie beispielsweise den folgenden Parameterwert an, damit der Connector Benachrichtigungen aus Ihren Google Cloud-Projekten example-project-three und example-project-four aufnimmt und andere ignoriert: example-project-three,example-project-four.
Asset Type Filter: gibt an, welche Asset-Typen ohne Abhängigkeit vom Cloud-Anbieter aufgenommen werden sollen. Sie können einen oder mehrere Ressourcentypen auflisten, um die erforderliche Filterabdeckung zu gewährleisten. Wenn Sie für diesen Parameter keinen Wert angeben, nimmt der Connector standardmäßig Asset-Typen von allen verbundenen Cloud-Anbietern auf.

Geben Sie beispielsweise den folgenden Parameterwert an, damit der Connector Benachrichtigungen aus dem Cloud Storage-Bucket und einer Compute Engine-Instanz aufnimmt und andere Assettypen ignoriert: google.cloud.storage.Bucket,google.compute.Instance.
Cloud Provider Filter: Gibt an, von welchen Cloud-Anbietern Benachrichtigungen aufgenommen werden sollen. Wenn Sie für diesen Parameter keinen Wert angeben, nimmt der Connector standardmäßig Benachrichtigungen von allen Ihren verbundenen Cloud-Anbietern auf.

Konfigurieren Sie beispielsweise den folgenden Parameterwert, damit der Connector Benachrichtigungen von Ihrer AWS-Instanz aufnimmt und Ergebnisse von anderen Anbietern ignoriert: AWS. Wenn Sie nur Google Cloud-Ergebnisse aufnehmen möchten, legen Sie den Parameterwert auf GCP fest.
AWS Account Filter: Gibt an, von welchen AWS-Konto-IDs Benachrichtigungen aufgenommen werden sollen. Wenn Sie für diesen Parameter keinen Wert angeben, nimmt der Connector standardmäßig Ergebnisse aus allen Ihren AWS-Konten auf.
Severity Filter: Gibt den Schweregrad der aufzunehmenden Ergebnisse an.

Warnung: Wenn Sie den Standardwert des Parameters Severity Filter von Critical,High in Critical,High,Medium ändern, kann dies die Leistung aufgrund eines größeren Ergebnisvolumens beeinträchtigen.

Ergebniskategorie von Aufnahme ausschließen

Verwenden Sie die Einstellungen für dynamische Listen, um die jeweiligen Ergebniskategorien von der Aufnahme auszuschließen.

So konfigurieren Sie die dynamische Liste:

Rufen Sie in der Security Operations-Konsole Einstellungen > Datenaufnahme > Connectors auf.
Wählen Sie SCC Enterprise – Urgent Posture Findings Connector aus. Die Konfigurationsseite des Connectors wird geöffnet.
Klicken Sie im Abschnitt Dynamische Liste auf Hinzufügen Hinzufügen.
Geben Sie im Feld Regelname den Namen einer Ergebniskategorie an, die gefiltert werden soll:
1. Rufen Sie in der Google Cloud Console die Seite Übersicht auf.
  
  Zur Übersicht
2. Wählen Sie in der Liste der Ergebnisse zu Sicherheitslücken die Ergebniskategorie aus. Das Fenster mit der Ergebniskategorie wird geöffnet.
3. Suchen Sie auf dem Tab JSON die folgende Zeile:
```
"category": "FINDING_CATEGORY",
```
4. Kopieren Sie den FINDING_CATEGORY-Wert (ohne Anführungszeichen) und geben Sie ihn im Feld Regelname in der dynamischen Liste des Connectors an.
Optional: Fügen Sie dem Bereich der dynamischen Liste beliebig viele Felder für Regelname hinzu.

Hinweis :Für jedes Feld Regelname ist nur ein FINDING_CATEGORY-Wert zulässig.
Wählen Sie im Abschnitt Parameter die Option Dynamische Liste als Sperrliste verwenden aus.
Klicken Sie auf Speichern.

Nächste Schritte

Werfen Sie einen Blick in die Supportübersicht.
Weitere Informationen zum Ausblenden von Ergebnissen in Fällen
Daten mit Connectors aufnehmen