Se usó la API de Cloud Translation para traducir esta página.

Filtrar los resultados en los casos

En este documento, se explica cómo usar los parámetros de filtro en el Conector de resultados de postura urgente de SCC Enterprise para que los casos contengan solo resultados que pertenezcan a categorías específicas.

Los casos, los conectores y la transferencia, el filtrado y el bloqueo de los resultados son una funcionalidad con la tecnología de las operaciones de seguridad de Google.

Descripción general

En el nivel empresarial de Security Command Center, se usa el conector de resultados de postura urgente de SCC Enterprise para recuperar, analizar y, además, transferir los hallazgos de posturas a casos. El conector analiza los datos sin procesar de los resultados para filtrar y agrupar los resultados en los casos según la configuración proporcionada.

Puedes filtrar los resultados mediante los parámetros del conector para asegurarte de lo siguiente:

El conector solo transfiere los resultados que pertenecen a categorías específicas.
El conector excluye de la transferencia los resultados que pertenecen a categorías específicas.

Configurar filtros

Los parámetros del filtro de conector te permiten especificar las categorías de resultados que se transfieren. De forma predeterminada, el conector transfiere todos los tipos de resultados de todos los recursos y proveedores de servicios en la nube. Configurar los valores de los parámetros predeterminados puede afectar el flujo de procesamiento del caso.

Si configuras los parámetros de filtro, el conector transfiere solo las categorías de búsqueda configuradas para un parámetro de filtro seleccionado.

Para ver y editar los parámetros del conector, completa los siguientes pasos:

En la consola de Operaciones de seguridad, ve a Configuración > Transferencia > Conectores.
Selecciona SCC Enterprise - Urgent Posture Findings Connector. Se abrirá la página de configuración de los parámetros del conector.

Todos los parámetros de filtro aceptan varios valores en una lista separada por comas. Para habilitar filtros específicos, configura los siguientes parámetros opcionales del conector:

GCP Project Filter: Especifica desde qué proyectos de Google Cloud se transferirán los resultados. Puedes enumerar uno o más nombres de proyectos para garantizar la cobertura requerida. Si no proporcionas ningún valor para este parámetro, el conector transfiere los resultados de todos tus proyectos de forma predeterminada.

Por ejemplo, para asegurarte de que el conector transfiera las alertas de tus proyectos de Google Cloud example-project-three y example-project-four, y de ignorar otros, proporciona el siguiente valor de parámetro: example-project-three,example-project-four.
Asset Type Filter: Especifica qué tipos de recursos se deben transferir sin depender del proveedor de servicios en la nube. Puedes enumerar uno o más tipos de recursos para garantizar la cobertura de filtro necesaria. Si no proporcionas ningún valor para este parámetro, el conector transferirá los tipos de elementos de todos los proveedores de servicios en la nube conectados de forma predeterminada.

Por ejemplo, para asegurarte de que el conector transfiera las alertas del bucket de Cloud Storage y de una instancia de Compute Engine, y de que ignore otros tipos de recursos, proporciona el siguiente valor de parámetro: google.cloud.storage.Bucket,google.compute.Instance.
Cloud Provider Filter: Especifica desde qué proveedores de servicios en la nube se transferirán las alertas. Si no proporcionas ningún valor para este parámetro, el conector transferirá las alertas de todos los proveedores de servicios en la nube conectados de forma predeterminada.

Por ejemplo, para asegurarte de que el conector transfiera las alertas de tu instancia de AWS y también ignore los resultados de otros proveedores, configura el siguiente valor del parámetro: AWS. Para transferir solo los resultados de Google Cloud, establece el valor del parámetro en GCP.
AWS Account Filter: Especifica desde qué ID de cuenta de AWS se deben transferir alertas. Si no proporcionas ningún valor para este parámetro, el conector transfiere los resultados de todas tus cuentas de AWS de forma predeterminada.
Severity Filter: Especifica la gravedad de los resultados que se deben transferir.

Advertencia: Cambiar el valor predeterminado del parámetro Severity Filter de Critical,High a Critical,High,Medium puede afectar el rendimiento debido a un mayor volumen de resultados.

Excluir la categoría de resultados de la transferencia

Usa la configuración de lista dinámica para excluir las categorías de resultados específicas de la transferencia.

Para configurar la lista dinámica, sigue estos pasos:

En la consola de Operaciones de seguridad, ve a Configuración > Transferencia > Conectores.
Selecciona SCC Enterprise - Urgent Posture Findings Connector. Se abrirá la página de configuración del conector.
En la sección Lista dinámica, haz clic en agregar Agregar.
En el campo Nombre de la regla, ingresa el nombre de la categoría de resultado que deseas filtrar:
1. En la consola de Google Cloud, ve a la página Descripción general.
  
  Ir a Descripción general
2. En la lista de hallazgos de vulnerabilidades, selecciona la categoría de resultado. Se abrirá la ventana de categorías de búsqueda.
3. En la pestaña JSON, busca la siguiente línea:
```
"category": "FINDING_CATEGORY",
```
4. Copia el valor FINDING_CATEGORY (sin comillas) y proporciónalo en el campo Nombre de la regla de la lista dinámica del conector.
Opcional: Agrega tantos campos de Rule name a la sección de lista dinámica como sea necesario.

Nota: Solo se permite un valor FINDING_CATEGORY para cada campo Rule name.
En la sección Parámetros, selecciona Usar lista dinámica como lista de entidades bloqueadas.
Haz clic en Guardar.

Próximos pasos

Consulta la descripción general de los casos.
Obtén más información sobre cómo silenciar los resultados en los casos.
Obtén más información para transferir tus datos mediante conectores.