このドキュメントでは、SCC Enterprise - 緊急体制検出コネクタのフィルタ パラメータを使用して、特定のカテゴリに属する検出結果のみをケースに含める方法について説明します。
ケース、コネクタ、検出結果の取り込み、フィルタリング、ブロックは、Google Security Operations を利用した機能です。
概要
Security Command Center の Enterprise ティアでは、SCC Enterprise - 緊急体制検出コネクタを使用して、体制の検出結果を取得、分析、ケースに取り込みます。コネクタは、検出結果の元データを解析し、指定された構成に基づいて検出結果をフィルタリングしてグループ化します。
コネクタ パラメータを使用して検出結果をフィルタリングすることで、次のことを確認することができます。
コネクタは、特定のカテゴリに属する検出結果のみを取り込みます。
コネクタは、特定のカテゴリに属する検出結果を取り込みから除外します。
フィルタを構成する
コネクタ フィルタ パラメータを使用すると、取り込まれる検出結果のカテゴリを指定できます。デフォルトでは、コネクタはすべてのリソースとクラウド プロバイダからすべての種類の検出結果を取り込みます。デフォルトのパラメータ値を構成すると、ケースの処理フローに影響する場合があります。
フィルタ パラメータを構成すると、コネクタは、選択したフィルタ パラメータに構成された検出カテゴリのみを取り込みます。
コネクタ パラメータを表示して編集する手順は次のとおりです。
Security Operations コンソールで、[設定] > [取り込み] > [コネクタ] に移動します。
[SCC Enterprise - Urgent Posture Findings Connector] を選択します。 コネクタ パラメータの構成ページが開きます。
すべてのフィルタ パラメータでは、複数の値をカンマ区切りのリストとして指定できます。特定のフィルタを有効にするには、次のオプションのコネクタ パラメータを構成します。
GCP Project Filter
: 検出結果を取り込む Google Cloud プロジェクトを指定します。1 つ以上のプロジェクト名を一覧表示して、必要なカバレッジを確保できます。このパラメータに値を指定しない場合、コネクタはデフォルトですべてのプロジェクトから検出結果を取り込みます。たとえば、コネクタが example-project-3 および example-project-four の Google Cloud プロジェクトからアラートを取り込み、他のものは無視するようにします。には、パラメータ値
example-project-three,example-project-four
を指定します。Asset Type Filter
: クラウド プロバイダに依存せずに取り込むアセットタイプを指定します。1 つ以上のリソースタイプを一覧表示して、必要なフィルタ カバレッジを確保できます。このパラメータに値を指定しない場合、コネクタはデフォルトで、接続されているすべてのクラウド プロバイダからアセットタイプを取り込みます。たとえば、コネクタが Cloud Storage バケットと Compute Engine インスタンスからアラートを取り込み、他のアセットタイプを無視するようにするには、
google.cloud.storage.Bucket,google.compute.Instance
パラメータ値を指定します。Cloud Provider Filter
: アラートを取り込むクラウド プロバイダを指定します。このパラメータに値を指定しない場合、コネクタはデフォルトですべての接続されているクラウド プロバイダからアラートを取り込みます。たとえば、コネクタが AWS インスタンスからアラートを取り込み、他のプロバイダからの検出結果を無視するようにするには、パラメータ値
AWS
を構成します。Google Cloud の検出結果のみを取り込むには、パラメータ値をGCP
に設定します。AWS Account Filter
: アラートを取り込む AWS アカウント ID を指定します。このパラメータに値を指定しない場合、コネクタはデフォルトですべての AWS アカウントから検出結果を取り込みます。Severity Filter
: 取り込む検出結果の重大度を指定します。
検出結果のカテゴリを取り込みから除外する
動的リストの設定を使用して、特定の検出結果のカテゴリを取り込みから除外します。
動的リストを構成する手順は次のとおりです。
Security Operations コンソールで、[設定] > [取り込み] > [コネクタ] に移動します。
[SCC Enterprise - Urgent Posture Findings Connector] を選択します。 コネクタの設定ページが開きます。
[動的リスト] セクションで、追加追加をクリックします。
[ルール名] フィールドに、フィルタリングする検出カテゴリの名前を入力します。
Google Cloud コンソールで、[概要] ページに移動します。
脆弱性の検出結果のリストで、検出結果のカテゴリを選択します。検出結果のカテゴリ ウィンドウが開きます。
[JSON] タブで、次の行を見つけます。
"category": "FINDING_CATEGORY",
FINDING_CATEGORY
値(引用符なし)をコピーし、コネクタの動的リストの [ルール名] フィールドに指定します。
(省略可)動的リスト セクションに [ルール名] フィールドを必要な数だけ追加します。
[パラメータ] セクションで、[動的リストをブロックリストとして使用する] を選択します。
[保存] をクリックします。
次のステップ
ケースの概要をご覧ください。
ケースの検出結果をミュートする方法を確認する。
コネクタを使用してデータを取り込む方法を確認する。