Diese Seite wurde von der Cloud Translation API übersetzt.

Ergebnisse in Fällen filtern

In diesem Dokument wird erläutert, wie Sie die Filterparameter im SCC Enterprise – Urgent Posture Findings Connector so verwenden, dass Fälle nur Ergebnisse aus bestimmten Kategorien enthalten.

Die Fälle, Connectors und die Aufnahme, Filterung und Blockierung von Ergebnissen sind eine von Google Security Operations unterstützte Funktion.

Überblick

Die Enterprise-Stufe von Security Command Center verwendet den SCC Enterprise – Urgent Posture Findings Connector, um Ergebnisse des Sicherheitsstatus in Fällen abzurufen, zu analysieren und zu aufnehmen. Der Connector parst die Rohdaten der Ergebnisse, um sie anhand der angegebenen Konfiguration zu filtern und in Fällen zu gruppieren.

Sie können Ergebnisse mithilfe der Connector-Parameter filtern, um Folgendes sicherzustellen:

Der Connector nimmt nur Ergebnisse auf, die zu bestimmten Kategorien gehören.
Der Connector schließt Ergebnisse aus der Aufnahme aus bestimmten Kategorien aus.

Filter konfigurieren

Mit den Connector-Filterparametern können Sie die Kategorien der aufgenommenen Ergebnisse angeben. Standardmäßig nimmt der Connector alle Ergebnistypen von allen Ihren Ressourcen und Cloud-Anbietern auf. Das Konfigurieren der Standardparameterwerte kann sich auf den Verarbeitungsablauf der Anfrage auswirken.

Wenn Sie Filterparameter konfigurieren, nimmt der Connector nur die konfigurierten Ergebniskategorien für einen ausgewählten Filterparameter auf.

So können Sie die Connector-Parameter ansehen und bearbeiten:

Gehen Sie in der Security Operations Console zu Einstellungen > Aufnahme > Connectors.
Wählen Sie den SCC Enterprise – Urgent Posture Findings Connector aus. Die Konfigurationsseite der Connector-Parameter wird geöffnet.

Für alle Filterparameter können mehrere Werte in einer durch Kommas getrennten Liste angegeben werden. Konfigurieren Sie die folgenden optionalen Connector-Parameter, um bestimmte Filter zu aktivieren:

GCP Project Filter: gibt an, aus welchen Google Cloud-Projekten Ergebnisse aufgenommen werden sollen. Sie können einen oder mehrere Projektnamen auflisten, um die erforderliche Abdeckung sicherzustellen. Wenn Sie für diesen Parameter keinen Wert angeben, nimmt der Connector standardmäßig Ergebnisse aus allen Ihren Projekten auf.

Damit der Connector beispielsweise Benachrichtigungen aus den Google Cloud-Projekten example-project-three und example-project-four aufnimmt und andere ignoriert, geben Sie den folgenden Parameterwert example-project-three,example-project-four an.
Asset Type Filter: Gibt an, welche Asset-Typen ohne Abhängigkeit vom Cloud-Anbieter aufgenommen werden. Sie können einen oder mehrere Ressourcentypen auflisten, um die erforderliche Filterabdeckung sicherzustellen. Wenn Sie für diesen Parameter keinen Wert angeben, nimmt der Connector standardmäßig Asset-Typen von allen Ihren verbundenen Cloud-Anbietern auf.

Wenn Sie beispielsweise dafür sorgen möchten, dass der Connector Benachrichtigungen aus dem Cloud Storage-Bucket und einer Compute Engine-Instanz aufnimmt und andere Asset-Typen ignoriert, geben Sie den folgenden Parameterwert an: google.cloud.storage.Bucket,google.compute.Instance.
Cloud Provider Filter: Gibt an, von welchen Cloud-Anbietern Benachrichtigungen aufgenommen werden sollen. Wenn Sie für diesen Parameter keinen Wert angeben, nimmt der Connector standardmäßig Benachrichtigungen von allen verbundenen Cloud-Anbietern auf.

Wenn Sie beispielsweise dafür sorgen möchten, dass der Connector Benachrichtigungen von Ihrer AWS-Instanz aufnimmt und Ergebnisse von anderen Anbietern ignoriert, konfigurieren Sie den folgenden Parameterwert: AWS. Wenn Sie nur Google Cloud-Ergebnisse aufnehmen möchten, legen Sie den Parameterwert auf GCP fest.
AWS Account Filter: Gibt an, von welchen AWS-Konto-IDs Benachrichtigungen aufgenommen werden sollen. Wenn Sie für diesen Parameter keinen Wert angeben, nimmt der Connector standardmäßig Ergebnisse aus allen Ihren AWS-Konten auf.
Severity Filter: Gibt den Schweregrad der aufzunehmenden Ergebnisse an.

Warnung: Wenn Sie den Standardwert des Parameters Severity Filter von Critical,High in Critical,High,Medium ändern, kann dies die Leistung beeinträchtigen, da die Anzahl der Ergebnisse zunimmt.

Ergebniskategorie von Aufnahme ausschließen

Verwenden Sie die Einstellungen der dynamischen Liste, um bestimmte Ergebniskategorien von der Aufnahme auszuschließen.

So konfigurieren Sie die dynamische Liste:

Gehen Sie in der Security Operations Console zu Einstellungen > Aufnahme > Connectors.
Wählen Sie den SCC Enterprise – Urgent Posture Findings Connector aus. Die Seite für die Connector-Konfiguration wird geöffnet.
Klicken Sie im Bereich Dynamische Liste auf Hinzufügen Hinzufügen.
Geben Sie im Feld Regelname den Namen einer Ergebniskategorie an, die gefiltert werden soll:
1. Rufen Sie in der Google Cloud Console die Seite Übersicht auf.
  
  Zur Übersicht
2. Wählen Sie in der Liste der Ergebnisse zu Sicherheitslücken die Ergebniskategorie aus. Das Fenster mit den Ergebniskategorien wird geöffnet.
3. Suchen Sie im Tab JSON die folgende Zeile:
```
"category": "FINDING_CATEGORY",
```
4. Kopieren Sie den Wert FINDING_CATEGORY (ohne Anführungszeichen) und geben Sie ihn in das Feld Regelname des Connectors in der dynamischen Liste ein.
Optional: Fügen Sie dem Abschnitt „Dynamische Liste“ beliebig viele Felder unter Regelname hinzu.

Hinweis: Für jedes Feld Regelname ist nur ein Wert für FINDING_CATEGORY zulässig.
Wählen Sie im Abschnitt Parameter die Option Dynamische Liste als Sperrliste verwenden aus.
Klicken Sie auf Speichern.

Nächste Schritte

Werfen Sie einen Blick in die Fallübersicht.
Ergebnisse in Supportanfragen ausblenden
Daten mithilfe von Connectors aufnehmen