Memfilter temuan dalam kasus

Dokumen ini menjelaskan cara menggunakan parameter filter di SCC Enterprise - Urgent Posture Findings Connector sehingga kasus hanya berisi temuan yang termasuk dalam kategori tertentu.

Kasus, konektor, serta penyerapan, pemfilteran, dan pemblokiran temuan adalah fungsi yang didukung oleh Chronicle Security Operations.

Ringkasan

Tingkat Enterprise pada Security Command Center menggunakan SCC Enterprise - Urgent Posture Findings Connector untuk mengambil, menganalisis, dan menyerap temuan postur ke dalam kasus. Konektor mengurai data mentah temuan untuk memfilter dan mengelompokkan temuan dalam kasus berdasarkan konfigurasi yang diberikan.

Anda dapat memfilter temuan menggunakan parameter konektor untuk memastikan hal berikut:

Konektor hanya menyerap temuan yang termasuk dalam kategori tertentu.
Konektor mengecualikan temuan yang termasuk dalam kategori tertentu dari penyerapan.

Mengonfigurasi filter

Parameter filter konektor memungkinkan Anda menentukan kategori temuan yang diserap. Secara default, konektor menyerap semua jenis temuan dari semua resource dan penyedia cloud Anda. Mengonfigurasi parameter value default dapat memengaruhi alur pemrosesan kasus.

Jika Anda mengonfigurasi parameter filter, konektor hanya akan menyerap kategori temuan yang telah dikonfigurasi untuk parameter filter yang dipilih.

Untuk melihat dan mengedit parameter konektor, selesaikan langkah-langkah berikut:

Di konsol Security Operations, buka Setelan > Proses Transfer > Konektor.
Pilih SCC Enterprise - Urgent Posture Findings Connector. Halaman konfigurasi parameter konektor akan terbuka.

Semua parameter filter menerima beberapa nilai sebagai daftar yang dipisahkan koma. Untuk mengaktifkan filter tertentu, konfigurasikan parameter konektor opsional berikut:

GCP Project Filter: Menentukan project Google Cloud yang akan menyerap temuan. Anda dapat mencantumkan satu atau beberapa nama project untuk memastikan cakupan yang diperlukan. Jika Anda tidak memberikan nilai untuk parameter ini, konektor akan menyerap temuan dari semua project Anda secara default.

Misalnya, untuk memastikan konektor tersebut menyerap pemberitahuan dari project Google Cloud example-project-three dan example-project-four Anda serta mengabaikan yang lainnya, berikan parameter value berikut: example-project-three,example-project-four.
Asset Type Filter: Menentukan jenis aset yang akan diserap tanpa dependensi pada penyedia cloud. Anda dapat mencantumkan satu atau beberapa jenis resource untuk memastikan cakupan filter yang diperlukan. Jika Anda tidak memberikan nilai untuk parameter ini, konektor akan menyerap jenis aset dari semua penyedia cloud yang terhubung secara default.

Misalnya, untuk memastikan bahwa konektor menyerap pemberitahuan dari bucket Cloud Storage dan instance Compute Engine dan mengabaikan jenis aset lainnya, berikan parameter value berikut: google.cloud.storage.Bucket,google.compute.Instance.
Cloud Provider Filter: Menentukan penyedia cloud yang akan menyerap pemberitahuan. Jika Anda tidak memberikan nilai untuk parameter ini, konektor akan menyerap pemberitahuan dari semua penyedia cloud yang terhubung secara default.

Misalnya, untuk memastikan bahwa konektor menyerap pemberitahuan dari instance AWS Anda dan mengabaikan temuan dari penyedia lain, konfigurasikan parameter value berikut: AWS. Untuk menyerap temuan Google Cloud saja, tetapkan parameter value ke GCP.
AWS Account Filter: Menentukan ID akun AWS yang akan menyerap notifikasi. Jika Anda tidak memberikan nilai untuk parameter ini, konektor akan menyerap temuan dari semua akun AWS Anda secara default.
Severity Filter: Menentukan tingkat keparahan temuan yang akan diserap.

Peringatan: Mengubah nilai default parameter Severity Filter dari Critical,High menjadi Critical,High,Medium dapat menghambat performa karena peningkatan volume temuan.

Kecualikan menemukan kategori dari penyerapan

Gunakan setelan daftar dinamis untuk mengecualikan kategori temuan tertentu dari penyerapan.

Untuk mengonfigurasi daftar dinamis, ikuti langkah-langkah berikut:

Di konsol Security Operations, buka Setelan > Proses Transfer > Konektor.
Pilih SCC Enterprise - Urgent Posture Findings Connector. Halaman konfigurasi konektor akan terbuka.
Di bagian Dynamic List, klik add Add.
Di kolom Nama aturan, berikan nama kategori temuan yang akan difilter:
1. Di konsol Google Cloud, buka halaman Overview.
  
  Buka Ringkasan
2. Dalam daftar temuan kerentanan, pilih kategori temuan. Jendela kategori temuan akan terbuka.
3. Pada tab JSON, temukan baris berikut:
```
"category": "FINDING_CATEGORY",
```
4. Salin nilai FINDING_CATEGORY (tanpa tanda kutip) dan masukkan di kolom Nama aturan daftar dinamis konektor.
Opsional: Tambahkan kolom Nama aturan sebanyak yang Anda butuhkan ke bagian daftar dinamis.

Catatan: Hanya satu nilai FINDING_CATEGORY yang diizinkan untuk setiap kolom Nama aturan.
Di bagian Parameter, pilih Gunakan daftar dinamis sebagai daftar yang tidak diizinkan.
Klik Save.

Apa langkah selanjutnya?

Lihat ringkasan kasus.
Pelajari cara menonaktifkan temuan dalam kasus tertentu.
Pelajari cara menyerap data Anda menggunakan konektor.