케이스의 발견 항목 필터링

이 문서에서는 SCC Enterprise - Urgent Posture Findings 커넥터에서 필터 매개변수를 사용하여 특정 카테고리에 속하는 발견 항목만 포함되도록 하는 방법을 설명합니다.

케이스, 커넥터, 발견 항목의 수집, 필터링, 차단은 Google Security Operations에서 제공하는 기능입니다.

개요

Security Command Center의 Enterprise 등급은 SCC Enterprise - Urgent Posture Findings 커넥터를 사용하여 상태 발견 항목을 검색, 분석, 케이스에 수집합니다. 커넥터는 제공된 구성을 기준으로 발견 항목 원시 데이터를 파싱하여 케이스에 발견 항목을 그룹화합니다.

커넥터 매개변수를 사용하여 발견 항목을 필터링하여 다음을 확인할 수 있습니다.

  • 커넥터는 특정 카테고리에 속하는 발견 항목만 수집합니다.

  • 커넥터가 특정 카테고리에 속하는 발견 항목을 수집에서 제외합니다.

필터 구성

커넥터 필터 매개변수를 사용하면 수집되는 발견 항목의 카테고리를 지정할 수 있습니다. 기본적으로 커넥터는 모든 리소스 및 클라우드 제공업체에서 모든 유형의 발견 항목을 수집합니다. 기본 매개변수 값을 구성하면 케이스 처리 흐름에 영향을 줄 수 있습니다.

필터 매개변수를 구성하면 커넥터가 선택한 필터 매개변수에 대해 구성된 발견 항목 카테고리만 수집합니다.

커넥터 매개변수를 보고 수정하려면 다음 단계를 수행합니다.

  1. 보안 운영 콘솔에서 설정 > 수집 > 커넥터로 이동합니다.

  2. SCC Enterprise - Urgent Posture Findings 커넥터를 선택합니다. 커넥터 매개변수 구성 페이지가 열립니다.

모든 필터 매개변수는 여러 값을 쉼표로 구분된 목록으로 허용합니다. 특정 필터를 사용 설정하려면 다음 선택적 커넥터 매개변수를 구성합니다.

  • GCP Project Filter: 발견 항목을 수집할 Google Cloud 프로젝트를 지정합니다. 하나 이상의 프로젝트 이름을 나열하여 필요한 범위를 보장할 수 있습니다. 이 매개변수에 값을 제공하지 않으면 커넥터가 기본적으로 모든 프로젝트의 발견 항목을 수집합니다.

    예를 들어 커넥터가 example-project-threeexample-project-four Google Cloud 프로젝트에서 알림을 수집하고 다른 프로젝트는 무시하도록 하려면 다음 매개변수 값을 제공합니다. example-project-three,example-project-four

  • Asset Type Filter: 클라우드 제공업체에 대한 종속 없이 수집할 애셋 유형을 지정합니다. 하나 이상의 리소스 유형을 나열하여 필요한 필터 범위를 보장할 수 있습니다. 이 매개변수에 값을 제공하지 않으면 커넥터는 기본적으로 연결된 모든 클라우드 제공업체의 애셋 유형을 수집합니다.

    예를 들어 커넥터가 Cloud Storage 버킷과 Compute Engine 인스턴스에서 알림을 수집하고 다른 애셋 유형은 무시하도록 하려면 다음 매개변수 값을 제공합니다. google.cloud.storage.Bucket,google.compute.Instance

  • Cloud Provider Filter: 알림을 수집할 클라우드 제공업체를 지정합니다. 이 매개변수에 값을 제공하지 않으면 커넥터가 기본적으로 모든 연결된 클라우드 제공업체의 알림을 수집합니다.

    예를 들어 커넥터가 AWS 인스턴스에서 알림을 수집하고 다른 제공업체의 발견 항목을 무시하도록 하려면 다음 매개변수 값을 구성합니다. AWS Google Cloud 발견 항목만 수집하려면 매개변수 값을 GCP로 설정합니다.

  • AWS Account Filter: 알림을 수집할 AWS 계정 ID를 지정합니다. 이 매개변수에 값을 제공하지 않으면 커넥터가 기본적으로 모든 AWS 계정의 발견 항목을 수집합니다.

  • Severity Filter: 수집할 발견 항목의 심각도를 지정합니다.

수집에서 발견 항목 카테고리 제외

동적 목록 설정을 사용하여 수집에서 특정 발견 항목 카테고리를 제외합니다.

동적 목록을 구성하려면 다음 단계를 따르세요.

  1. 보안 운영 콘솔에서 설정 > 수집 > 커넥터로 이동합니다.

  2. SCC Enterprise - Urgent Posture Findings 커넥터를 선택합니다. 커넥터 구성 페이지가 열립니다.

  3. 동적 목록 섹션에서 추가를 클릭합니다.

  4. 규칙 이름 필드에 필터링할 발견 항목 카테고리의 이름을 제공합니다.

    1. Google Cloud 콘솔에서 개요 페이지로 이동합니다.

      개요로 이동

    2. 취약점 발견 항목 목록에서 발견 항목 카테고리를 선택합니다. 발견 항목 카테고리 창이 열립니다.

    3. JSON 탭에서 다음 줄을 찾습니다.

      "category": "FINDING_CATEGORY",

    4. FINDING_CATEGORY 값(따옴표 없이)을 복사하여 커넥터의 동적 목록 규칙 이름 필드에 입력합니다.

  5. 선택사항: 규칙 이름 필드를 동적 목록 섹션에 필요한 만큼 추가합니다.

  6. 매개변수 섹션에서 동적 목록을 차단 목록으로 사용을 선택합니다.

  7. 저장을 클릭합니다.

다음 단계