ケースで検出結果をフィルタする

このドキュメントでは、SCC Enterprise - 緊急体制検出コネクタのフィルタパラメータを使用して、特定のカテゴリに属する検出結果のみをケースに含める方法について説明します。

ケース、コネクタ、検出結果の取り込み、フィルタリング、ブロックは、Google Security Operations を利用した機能です。

概要

Security Command Center の Enterprise ティアでは、SCC Enterprise - 緊急体制検出コネクタを使用して、体制の検出結果を取得、分析、ケースに取り込みます。コネクタは、検出結果の元データを解析し、指定された構成に基づいて検出結果をフィルタリングしてグループ化します。

コネクタパラメータを使用して検出結果をフィルタリングすることで、次のことを確認することができます。

コネクタは、特定のカテゴリに属する検出結果のみを取り込みます。
コネクタは、特定のカテゴリに属する検出結果を取り込みから除外します。

フィルタを構成する

コネクタフィルタパラメータを使用すると、取り込まれる検出結果のカテゴリを指定できます。デフォルトでは、コネクタはすべてのリソースとクラウドプロバイダからすべての種類の検出結果を取り込みます。デフォルトのパラメータ値を構成すると、ケースの処理フローに影響する場合があります。

フィルタパラメータを構成すると、コネクタは、選択したフィルタパラメータに構成された検出カテゴリのみを取り込みます。

コネクタパラメータを表示して編集する手順は次のとおりです。

Security Operations コンソールで、[設定] > [取り込み] > [コネクタ] に移動します。
[SCC Enterprise - Urgent Posture Findings Connector] を選択します。コネクタパラメータの構成ページが開きます。

すべてのフィルタパラメータでは、複数の値をカンマ区切りのリストとして指定できます。特定のフィルタを有効にするには、次のオプションのコネクタパラメータを構成します。

GCP Project Filter: 検出結果を取り込む Google Cloud プロジェクトを指定します。1 つ以上のプロジェクト名を一覧表示して、必要なカバレッジを確保できます。このパラメータに値を指定しない場合、コネクタはデフォルトですべてのプロジェクトから検出結果を取り込みます。

たとえば、コネクタが example-project-3 および example-project-four の Google Cloud プロジェクトからアラートを取り込み、他のものは無視するようにします。には、パラメータ値 example-project-three,example-project-four を指定します。
Asset Type Filter: クラウドプロバイダに依存せずに取り込むアセットタイプを指定します。1 つ以上のリソースタイプを一覧表示して、必要なフィルタカバレッジを確保できます。このパラメータに値を指定しない場合、コネクタはデフォルトで、接続されているすべてのクラウドプロバイダからアセットタイプを取り込みます。

たとえば、コネクタが Cloud Storage バケットと Compute Engine インスタンスからアラートを取り込み、他のアセットタイプを無視するようにするには、google.cloud.storage.Bucket,google.compute.Instance パラメータ値を指定します。
Cloud Provider Filter: アラートを取り込むクラウドプロバイダを指定します。このパラメータに値を指定しない場合、コネクタはデフォルトですべての接続されているクラウドプロバイダからアラートを取り込みます。

たとえば、コネクタが AWS インスタンスからアラートを取り込み、他のプロバイダからの検出結果を無視するようにするには、パラメータ値 AWS を構成します。Google Cloud の検出結果のみを取り込むには、パラメータ値を GCP に設定します。
AWS Account Filter: アラートを取り込む AWS アカウント ID を指定します。このパラメータに値を指定しない場合、コネクタはデフォルトですべての AWS アカウントから検出結果を取り込みます。
Severity Filter: 取り込む検出結果の重大度を指定します。

警告: Severity Filter パラメータのデフォルト値を Critical,High から Critical,High,Medium に変更すると、検出結果の量が増加するため、パフォーマンスが低下する可能性があります。

検出結果のカテゴリを取り込みから除外する

動的リストの設定を使用して、特定の検出結果のカテゴリを取り込みから除外します。

動的リストを構成する手順は次のとおりです。

Security Operations コンソールで、[設定] > [取り込み] > [コネクタ] に移動します。
[SCC Enterprise - Urgent Posture Findings Connector] を選択します。コネクタの設定ページが開きます。
[動的リスト] セクションで、追加追加をクリックします。
[ルール名] フィールドに、フィルタリングする検出カテゴリの名前を入力します。
1. Google Cloud コンソールで、[概要] ページに移動します。
  
  概要を表示
2. 脆弱性の検出結果のリストで、検出結果のカテゴリを選択します。検出結果のカテゴリウィンドウが開きます。
3. [JSON] タブで、次の行を見つけます。
```
"category": "FINDING_CATEGORY",
```
4. FINDING_CATEGORY 値（引用符なし）をコピーし、コネクタの動的リストの [ルール名] フィールドに指定します。
（省略可）動的リストセクションに [ルール名] フィールドを必要な数だけ追加します。

注: FINDING_CATEGORY 値は 1 つのルール名フィールドに 1 つだけ指定できます。
[パラメータ] セクションで、[動的リストをブロックリストとして使用する] を選択します。
[保存] をクリックします。

次のステップ

ケースの概要をご覧ください。
ケースの検出結果をミュートする方法を確認する。
コネクタを使用してデータを取り込む方法を確認する。