Se usó la API de Cloud Translation para traducir esta página.

Filtra los resultados en casos

En este documento, se explica cómo utilizar los parámetros de filtro del SCC Enterprise - Conector de hallazgos de postura urgente, de modo que los casos solo contengan hallazgos que correspondan. a categorías específicas.

Los casos, los conectores y la transferencia, el filtrado y el bloqueo de los hallazgos son una función con la tecnología de Google Security Operations.

Descripción general

El nivel Enterprise de Security Command Center usa SCC Enterprise: postura urgente Conector de hallazgos para recuperar, analizar y transferir hallazgos de postura en casos. El conector analiza los datos sin procesar de los hallazgos para filtrar y de agrupar los resultados en los casos según la configuración proporcionada.

Puedes filtrar los resultados mediante los parámetros del conector para garantizar lo siguiente:

El conector solo transfiere los resultados que pertenecen a categorías específicas.
El conector excluye los hallazgos que pertenecen a categorías específicas de de datos.

Configurar filtros

Los parámetros de filtro del conector permiten especificar las categorías se transfieren. De forma predeterminada, el conector transfiere todos los tipos de hallazgos de todos tus recursos y proveedores de servicios en la nube. Configurar los valores predeterminados de los parámetros impactar en el flujo de procesamiento del caso.

Si configuras los parámetros de filtro, el conector transfiere solo los categorías de resultados para un parámetro de filtro seleccionado.

Para ver y editar los parámetros del conector, completa los siguientes pasos:

En la consola de operaciones de seguridad, ve a Configuración > Transferencia > Conectores.
Selecciona el conector de SCC Enterprise - Urgent Posture Findings Connector. Se abrirá la página de configuración de parámetros del conector.

Todos los parámetros de filtro aceptan varios valores en una lista separada por comas. Para habilitar filtros específicos, configura los siguientes parámetros opcionales de conector:

GCP Project Filter: Especifica qué proyectos de Google Cloud se transferirán. los resultados obtenidos. Puedes enumerar uno o más nombres de proyectos para asegurarte de que para garantizar su cobertura. Si no proporciona ningún valor para este parámetro, el conector transfiere de todos tus proyectos de forma predeterminada.

Por ejemplo, para asegurarte de que el conector transfiera alertas de tu Proyectos de Google Cloud example-project-three y example-project-four e ignora los demás, proporciona el siguiente valor del parámetro: example-project-three,example-project-four.
Asset Type Filter: Especifica qué tipos de elementos se transferirán sin dependencia. del proveedor de servicios en la nube. Puedes enumerar uno o más tipos de recursos para garantizar que el la cobertura de filtros requerida. Si no proporcionas ningún valor para este parámetro, el transfiere tipos de recursos de todos tus proveedores de servicios en la nube conectados de forma predeterminada.

Por ejemplo, para asegurarse de que el conector transfiera alertas desde el bucket de Cloud Storage y una instancia de Compute Engine; ignora otras tipos de recursos, proporciona el siguiente valor del parámetro: google.cloud.storage.Bucket,google.compute.Instance.
Cloud Provider Filter: Especifica qué proveedores de servicios en la nube deben transferir alertas. de la imagen de la que se originó. Si no proporciona ningún valor para este parámetro, el conector transfiere y alertas de todos tus proveedores de servicios en la nube conectados de forma predeterminada.

Por ejemplo, para asegurarte de que el conector transfiera alertas de tu instancia de AWS e ignora los hallazgos de otros proveedores, configura siguiente valor del parámetro: AWS. Para transferir solo los resultados de Google Cloud, establece el valor del parámetro en GCP.
AWS Account Filter: Especifica de qué IDs de cuenta de AWS se deben transferir alertas. Si no proporcionas ningún valor para este parámetro, el conector transferirá los resultados de todas tus cuentas de AWS de forma predeterminada.
Severity Filter: Especifica la gravedad de los resultados que se transferirán.

Advertencia: Cambia el valor predeterminado del parámetro Severity Filter de De Critical,High a Critical,High,Medium puede dificultar el rendimiento debido a una un mayor volumen de hallazgos.

Excluir la categoría de hallazgo de la transferencia

Usa la configuración de la lista dinámica para excluir las categorías de resultados específicas de de datos.

Para configurar la lista dinámica, sigue estos pasos:

En la consola de operaciones de seguridad, ve a Configuración > Transferencia > Conectores.
Selecciona el conector de SCC Enterprise - Urgent Posture Findings Connector. Se abrirá la página de configuración del conector.
En la sección Lista dinámica, haz clic en agregar Agregar.
En el campo Nombre de la regla, proporciona el nombre de una categoría de resultado para filtrar:
1. En la consola de Google Cloud, ve a la página Descripción general.
  
  Ir a Descripción general
2. En la lista de hallazgos de vulnerabilidades, selecciona la categoría de hallazgo. El Se abrirá la ventana de categoría de hallazgos.
3. En la pestaña JSON, busca la siguiente línea:
```
"category": "FINDING_CATEGORY",
```
4. Copia el valor FINDING_CATEGORY (sin comillas) y proporciónalo en el campo Nombre de la regla de la lista dinámica del conector.
Opcional: Agrega tantos campos Nombre de la regla a la sección de lista dinámica como desees. que necesitan tus usuarios.

Nota: Solo se permite un valor FINDING_CATEGORY para cada Nombre de la regla. .
En la sección Parámetros, selecciona Usar una lista dinámica como lista de entidades bloqueadas.
Haz clic en Guardar.

Próximos pasos

Consulta la descripción general de casos.
Obtén información para silenciar resultados en casos.
Obtén más información sobre cómo transferir tus datos mediante conectores.