Esta página foi traduzida pela API Cloud Translation.

Filtrar as descobertas em casos

Este documento explica como usar os parâmetros de filtro no SCC Enterprise - Conector de descobertas de postura urgente para que os casos tenham apenas descobertas que pertençam a categorias específicas.

Os casos, os conectores e a ingestão, a filtragem e o bloqueio de descobertas são uma funcionalidade das operações de segurança do Google.

Visão geral

O nível Enterprise do Security Command Center usa o conector de descobertas de postura Urgente do SCC Enterprise para recuperar, analisar e ingerir as descobertas de postura em casos. O conector analisa os dados brutos das descobertas para filtrar e agrupar as descobertas nos casos com base na configuração fornecida.

Você pode filtrar as descobertas usando os parâmetros do conector para garantir o seguinte:

O conector só ingere descobertas que pertencem a categorias específicas.
O conector exclui as descobertas pertencentes a categorias específicas da ingestão.

Configurar filtros

Os parâmetros de filtro do conector permitem especificar as categorias de descobertas que são ingeridas. Por padrão, o conector ingere todos os tipos de descobertas de todos os recursos e provedores de nuvem. A configuração dos valores de parâmetros padrão pode afetar o fluxo de processamento de casos.

Se você configurar parâmetros de filtro, o conector processará apenas as categorias de descoberta configuradas para um parâmetro de filtro selecionado.

Para visualizar e editar os parâmetros do conector, siga estas etapas:

No console do Security Operations, acesse Configurações > Ingestão > Conectores.
Selecione o SCC Enterprise - Conector de descobertas de postura Urgente. A página de configuração dos parâmetros do conector é aberta.

Todos os parâmetros de filtro aceitam diversos valores como uma lista separada por vírgulas. Para ativar filtros específicos, configure os seguintes parâmetros opcionais do conector:

GCP Project Filter: especifica de quais projetos do Google Cloud as descobertas serão processadas. É possível listar um ou mais nomes de projeto para garantir a cobertura necessária. Se você não fornecer valor para esse parâmetro, o conector processará as descobertas de todos os seus projetos por padrão.

Por exemplo, para garantir que o conector processe alertas dos projetos example-project-three e example-project-four do Google Cloud e ignore outros, forneça o seguinte valor de parâmetro: example-project-three,example-project-four.
Asset Type Filter: especifica quais tipos de recursos ingerir sem dependência do provedor de nuvem. Você pode listar um ou mais tipos de recurso para garantir a cobertura de filtro necessária. Se você não fornecer valor para esse parâmetro, o conector processará tipos de recursos de todos os provedores de nuvem conectados por padrão.

Por exemplo, para garantir que o conector processe alertas do bucket do Cloud Storage e de uma instância do Compute Engine e ignore outros tipos de recursos, informe o valor de parâmetro a seguir: google.cloud.storage.Bucket,google.compute.Instance.
Cloud Provider Filter: especifica os provedores de nuvem de que os alertas serão ingeridos. Se você não fornecer valor para esse parâmetro, o conector processará alertas de todos os provedores de nuvem conectados por padrão.

Por exemplo, para garantir que o conector processe alertas da instância da AWS e ignore as descobertas de outros provedores, configure o seguinte valor de parâmetro: AWS. Para ingerir apenas descobertas do Google Cloud, defina o valor do parâmetro como GCP.
AWS Account Filter: especifica de quais IDs de conta da AWS ingerir alertas. Se você não fornecer valor para esse parâmetro, o conector processará as descobertas de todas as suas contas da AWS por padrão.
Severity Filter: especifica a gravidade das descobertas a serem ingeridas.

Aviso: mudar o valor padrão do parâmetro Severity Filter de Critical,High para Critical,High,Medium pode prejudicar o desempenho devido a um aumento do volume de descobertas.

Excluir categoria de descoberta da ingestão

Use as configurações da lista dinâmica para excluir as categorias de descoberta específicas da ingestão.

Para configurar a lista dinâmica, siga estas etapas:

No console do Security Operations, acesse Configurações > Ingestão > Conectores.
Selecione o SCC Enterprise - Conector de descobertas de postura Urgente. A página de configuração do conector é aberta.
Na seção Lista dinâmica, clique em add Adicionar.
No campo Nome da regra, digite o nome de uma categoria de descoberta a ser filtrada:
1. No console do Google Cloud, acesse a página Visão geral.
  
  Ir para Visão geral
2. Na lista de descobertas de vulnerabilidade, selecione a categoria de descoberta. A janela da categoria de descoberta será aberta.
3. Na guia JSON, encontre a linha a seguir:
```
"category": "FINDING_CATEGORY",
```
4. Copie o valor FINDING_CATEGORY (sem aspas) e informe-o no campo Nome da regra da lista dinâmica do conector.
Opcional: adicione quantos campos Nome da regra forem necessários à seção da lista dinâmica.

Observação :apenas um valor FINDING_CATEGORY é permitido para cada campo Nome da regra.
Na seção Parâmetros, selecione Usar lista dinâmica como lista de bloqueio.
Clique em Salvar.

A seguir

Confira a visão geral dos casos.
Saiba como silenciar as descobertas em casos.
Saiba como ingerir seus dados usando conectores.