Questa pagina è stata tradotta dall'API Cloud Translation.

Filtra risultati nei casi

Questo documento spiega come utilizzare i parametri di filtro nel connettore SCC Enterprise - Urgent Posture Findings in modo che le richieste contengano solo risultati appartenenti a categorie specifiche.

Le richieste, i connettori e l'importazione, il filtro e il blocco dei risultati sono una funzionalità basata su Google Security Operations.

Panoramica

Il livello Enterprise di Security Command Center utilizza il connettore SCC Enterprise - Urgent Posture Findings per recuperare, analizzare e importare i risultati relativi alla postura nei casi. Il connettore analizza i dati non elaborati dei risultati per filtrare e raggruppare i risultati nelle richieste in base alla configurazione fornita.

Puoi filtrare i risultati utilizzando i parametri del connettore per garantire quanto segue:

Il connettore importa solo i risultati appartenenti a categorie specifiche.
Il connettore esclude dall'importazione i risultati appartenenti a categorie specifiche.

Configura i filtri

I parametri di filtro del connettore consentono di specificare le categorie di risultati che vengono importati. Per impostazione predefinita, il connettore importa tutti i tipi di risultati da tutte le risorse e i provider cloud. La configurazione dei valori predefiniti dei parametri può influire sul flusso di elaborazione delle richieste.

Se configuri i parametri di filtro, il connettore importa solo le categorie di ricerca configurate per un parametro di filtro selezionato.

Per visualizzare e modificare i parametri del connettore:

Nella console operativa di sicurezza, vai a Impostazioni > Importazione > Connettori.
Seleziona il connettore SCC Enterprise - Urgent Posture Findings. Viene visualizzata la pagina di configurazione dei parametri del connettore.

Tutti i parametri di filtro accettano più valori come elenco separato da virgole. Per abilitare filtri specifici, configura i seguenti parametri facoltativi del connettore:

GCP Project Filter: specifica i progetti Google Cloud da cui importare i risultati. Puoi elencare uno o più nomi di progetti per garantire la copertura richiesta. Se non fornisci alcun valore per questo parametro, per impostazione predefinita il connettore importa i risultati di tutti i progetti.

Ad esempio, per assicurarti che il connettore importi gli avvisi dai progetti Google Cloud example-project-3 ed example-project-four e ignori altri, fornisci il seguente valore parametro: example-project-three,example-project-four.
Asset Type Filter: specifica i tipi di asset da importare senza alcuna dipendenza dal provider cloud. Puoi elencare uno o più tipi di risorse per garantire la copertura del filtro richiesta. Se non fornisci alcun valore per questo parametro, per impostazione predefinita il connettore importa i tipi di asset di tutti i cloud provider connessi.

Ad esempio, per assicurarti che il connettore importi gli avvisi dal bucket Cloud Storage e da un'istanza Compute Engine e ignori altri tipi di asset, fornisci il seguente valore parametro: google.cloud.storage.Bucket,google.compute.Instance.
Cloud Provider Filter: specifica da quali cloud provider importare gli avvisi. Se non fornisci alcun valore per questo parametro, per impostazione predefinita il connettore importa gli avvisi di tutti i cloud provider connessi.

Ad esempio, per assicurarti che il connettore importi gli avvisi dall'istanza AWS e ignori i risultati di altri provider, configura il seguente valore parametro: AWS. Per importare solo i risultati di Google Cloud, imposta il valore parametro su GCP.
AWS Account Filter: specifica da quali ID account AWS importare gli avvisi. Se non fornisci alcun valore per questo parametro, per impostazione predefinita il connettore importa i risultati da tutti i tuoi account AWS.
Severity Filter: specifica la gravità dei risultati da importare.

Avviso: la modifica del valore predefinito del parametro Severity Filter da Critical,High a Critical,High,Medium può ostacolare le prestazioni a causa di un maggiore volume di risultati.

Escludi categoria di risultati dall'importazione

Utilizza le impostazioni dell'elenco dinamico per escludere determinate categorie di risultati dall'importazione.

Per configurare l'elenco dinamico:

Nella console operativa di sicurezza, vai a Impostazioni > Importazione > Connettori.
Seleziona il connettore SCC Enterprise - Urgent Posture Findings. Si apre la pagina di configurazione del connettore.
Nella sezione Elenco dinamico, fai clic su aggiungi Aggiungi.
Nel campo Nome regola, indica il nome di una categoria di risultati da filtrare:
1. Nella console Google Cloud, vai alla pagina Panoramica.
  
  Vai a Panoramica
2. Nell'elenco dei risultati di vulnerabilità, seleziona la categoria di risultati. Si apre la finestra di ricerca della categoria.
3. Nella scheda JSON, individua la riga seguente:
```
"category": "FINDING_CATEGORY",
```
4. Copia il valore FINDING_CATEGORY (senza virgolette) e inseriscilo nel campo Nome regola dell'elenco dinamico del connettore.
(Facoltativo) Aggiungi alla sezione dell'elenco dinamico il numero di campi Nome regola necessario.

Nota: è consentito un solo valore FINDING_CATEGORY per ogni campo Nome regola.
Nella sezione Parametri, seleziona Utilizza l'elenco dinamico come lista bloccata.
Fai clic su Salva.

Che cosa succede dopo?

Consulta la panoramica dei casi.
Scopri come disattivare i risultati nei casi.
Scopri come importare dati utilizzando i connettori.