Cette page a été traduite par l'API Cloud Translation.

Filtrer les résultats par cas

Ce document explique comment utiliser les paramètres de filtre du connecteur SCC Enterprise – Urgent Posture Findings afin que les demandes ne contiennent que les résultats appartenant à des catégories spécifiques.

Les demandes, les connecteurs et l'ingestion, le filtrage et le blocage des résultats sont des fonctionnalités optimisées par Google Security Operations.

Présentation

Le niveau Enterprise de Security Command Center utilise le connecteur SCC Enterprise - Urgent Posture Findings pour récupérer, analyser et ingérer les résultats de stratégie dans les demandes. Le connecteur analyse les données brutes des résultats pour filtrer et regrouper les résultats par cas en fonction de la configuration fournie.

Vous pouvez filtrer les résultats à l'aide des paramètres du connecteur pour garantir les éléments suivants:

Le connecteur ingère uniquement les résultats appartenant à des catégories spécifiques.
Le connecteur exclut de l'ingestion les résultats appartenant à des catégories spécifiques.

Configurer des filtres

Les paramètres de filtre du connecteur vous permettent de spécifier les catégories de résultats ingérés. Par défaut, le connecteur ingère tous les types de résultats de l'ensemble de vos ressources et fournisseurs cloud. La configuration des valeurs de paramètres par défaut peut avoir une incidence sur le flux de traitement de la demande.

Si vous configurez des paramètres de filtre, le connecteur n'ingère que les catégories de résultats configurées pour le paramètre de filtre sélectionné.

Pour afficher et modifier les paramètres du connecteur, procédez comme suit:

Dans la console Opérations de sécurité, accédez à Paramètres > Ingestion > Connecteurs.
Sélectionnez le connecteur SCC Enterprise - Urgent Posture Findings. La page de configuration des paramètres du connecteur s'ouvre.

Tous les paramètres de filtre acceptent plusieurs valeurs sous forme de liste d'éléments séparés par une virgule. Pour activer des filtres spécifiques, configurez les paramètres de connecteur facultatifs suivants:

GCP Project Filter: spécifie les projets Google Cloud à partir desquels ingérer les résultats. Vous pouvez indiquer un ou plusieurs noms de projet pour garantir la couverture requise. Si vous ne spécifiez aucune valeur pour ce paramètre, le connecteur ingère par défaut les résultats de tous vos projets.

Par exemple, pour vous assurer que le connecteur ingère les alertes de vos projets Google Cloud example-project-three et example-project-four, et ignore les autres, indiquez la valeur de paramètre suivante : example-project-three,example-project-four.
Asset Type Filter: spécifie les types d'éléments à ingérer sans dépendance vis-à-vis du fournisseur de services cloud. Vous pouvez répertorier un ou plusieurs types de ressources pour garantir la couverture de filtre requise. Si vous ne fournissez aucune valeur pour ce paramètre, le connecteur ingère par défaut les types d'éléments de tous vos fournisseurs de services cloud connectés.

Par exemple, pour vous assurer que le connecteur ingère les alertes du bucket Cloud Storage et d'une instance Compute Engine, et qu'il ignore les autres types d'éléments, indiquez la valeur de paramètre suivante : google.cloud.storage.Bucket,google.compute.Instance.
Cloud Provider Filter: spécifie les fournisseurs de services cloud à partir desquels ingérer les alertes. Si vous ne spécifiez aucune valeur pour ce paramètre, le connecteur ingère par défaut les alertes de tous vos fournisseurs de services cloud connectés.

Par exemple, pour vous assurer que le connecteur ingère les alertes de votre instance AWS et ignore les résultats provenant d'autres fournisseurs, configurez la valeur de paramètre suivante: AWS. Pour n'ingérer que les résultats Google Cloud, définissez la valeur de paramètre sur GCP.
AWS Account Filter: spécifie les ID de compte AWS à partir desquels ingérer les alertes. Si vous ne spécifiez aucune valeur pour ce paramètre, le connecteur ingère par défaut les résultats de tous vos comptes AWS.
Severity Filter: spécifie le degré de gravité des résultats à ingérer.

Avertissement :La modification de la valeur par défaut du paramètre Severity Filter de Critical,High à Critical,High,Medium peut nuire aux performances en raison d'une augmentation du volume de résultats.

Exclure une catégorie de résultats de l'ingestion

Utilisez les paramètres de liste dynamique pour exclure des catégories de résultats spécifiques de l'ingestion.

Pour configurer la liste dynamique, procédez comme suit:

Dans la console Opérations de sécurité, accédez à Paramètres > Ingestion > Connecteurs.
Sélectionnez le connecteur SCC Enterprise - Urgent Posture Findings. La page de configuration du connecteur s'ouvre.
Dans la section Liste dynamique, cliquez sur ajouter Ajouter.
Dans le champ Nom de la règle, indiquez le nom d'une catégorie de résultats à filtrer:
1. Dans la console Google Cloud, accédez à la page Présentation.
  
  Accéder à la page "Présentation"
2. Dans la liste des résultats de failles, sélectionnez la catégorie de résultat. La fenêtre de la catégorie de résultats s'ouvre.
3. Dans l'onglet JSON, recherchez la ligne suivante:
```
"category": "FINDING_CATEGORY",
```
4. Copiez la valeur FINDING_CATEGORY (sans guillemets) et indiquez-la dans le champ Nom de la règle de la liste dynamique du connecteur.
Facultatif: Ajoutez autant de champs Nom de la règle à la section de liste dynamique que nécessaire.

Remarque :Une seule valeur FINDING_CATEGORY est autorisée pour chaque champ Nom de la règle.
Dans la section Paramètres, sélectionnez Utiliser une liste dynamique comme liste de blocage.
Cliquez sur Enregistrer.

Étape suivante

Consultez la présentation des demandes.
Découvrez comment ignorer des résultats dans les demandes.
Découvrez comment ingérer vos données à l'aide de connecteurs.