Esta página foi traduzida pela API Cloud Translation.

Filtrar descobertas nos casos

Neste documento, explicamos como usar os parâmetros de filtro no Conector de descobertas de postura urgente do SCC Enterprise para que os casos contenham apenas descobertas pertencentes a categorias específicas.

Os casos, conectores e a ingestão, a filtragem e o bloqueio de descobertas são uma funcionalidade com tecnologia do Google Security Operations.

Visão geral

O nível Enterprise do Security Command Center usa o SCC Enterprise - Descobertas de postura urgentes para recuperar, analisar e ingerir descobertas de postura nos casos. o conector analisa os dados brutos das descobertas para filtrar e agrupar as descobertas nos casos com base na configuração fornecida.

É possível filtrar as descobertas usando os parâmetros do conector para garantir o seguinte:

O conector só ingere descobertas que pertencem a categorias específicas.
O conector exclui da ingestão as descobertas pertencentes a categorias específicas.

Configurar filtros

Com os parâmetros de filtro do conector, é possível especificar as categorias de descobertas que são ingeridas. Por padrão, o conector ingere todos os tipos de descobertas de todos os seus recursos e provedores de nuvem. A configuração dos valores de parâmetro padrão pode afetar o fluxo de processamento de casos.

Se você configurar os parâmetros de filtro, o conector processará apenas as categorias de descoberta configuradas para um parâmetro de filtro selecionado.

Para ver e editar os parâmetros do conector, siga estas etapas:

No console de Operações de Segurança, acesse Configurações > Ingestão > Conectores.
Selecione o conector SCC Enterprise - Urgent Posture Findings. A página de configuração dos parâmetros do conector será aberta.

Todos os parâmetros de filtro aceitam vários valores como uma lista separada por vírgulas. Para ativar filtros específicos, configure os seguintes parâmetros do conector opcionais:

GCP Project Filter: especifica de quais projetos do Google Cloud ingerir as descobertas. É possível listar um ou mais nomes de projetos para garantir a cobertura necessária. Se você não fornecer um valor para esse parâmetro, o conector processará as descobertas de todos os projetos por padrão.

Por exemplo, para garantir que o conector processe alertas dos projetos do Google Cloud example-project-three e example-project-four e ignore os outros, forneça o seguinte valor de parâmetro: example-project-three,example-project-four.
Asset Type Filter: especifica quais tipos de recursos ingerir sem dependência do provedor de nuvem. É possível listar um ou mais tipos de recursos para garantir a cobertura de filtro necessária. Se você não fornecer valor para esse parâmetro, o conector processará os tipos de recursos de todos os provedores de nuvem conectados por padrão.

Por exemplo, para garantir que o conector processe alertas do bucket do Cloud Storage e de uma instância do Compute Engine, e ignora outros tipos de recurso, forneça o valor de parâmetro a seguir: google.cloud.storage.Bucket,google.compute.Instance.
Cloud Provider Filter: especifica de quais provedores de nuvem a ingestão de alertas será feita. Se você não fornecer valor para esse parâmetro, o conector vai ingerir alertas de todos os provedores de nuvem conectados por padrão.

Por exemplo, para garantir que o conector processe os alertas da instância da AWS e ignore as descobertas de outros provedores, configure o seguinte valor de parâmetro: AWS. Para ingerir apenas descobertas do Google Cloud, defina o valor do parâmetro como GCP.
AWS Account Filter: especifica de quais IDs de conta da AWS os alertas serão ingeridos. Se você não fornecer valor para esse parâmetro, o conector processará as descobertas de todas as suas contas da AWS por padrão.
Severity Filter: especifica a gravidade das descobertas a serem ingeridas.

Aviso :mudar o valor padrão do parâmetro Severity Filter de Critical,High para Critical,High,Medium pode prejudicar o desempenho devido ao aumento do volume de descobertas.

Excluir categoria de descoberta do processamento

Use as configurações da lista dinâmica para excluir as categorias de descoberta específicas da ingestão.

Para configurar a lista dinâmica, siga estas etapas:

No console de Operações de Segurança, acesse Configurações > Ingestão > Conectores.
Selecione o conector SCC Enterprise - Urgent Posture Findings. A página de configuração do conector será aberta.
Na seção Lista dinâmica, clique em adicionar Adicionar.
No campo Nome da regra, insira o nome de uma categoria de descoberta a ser filtrada:
1. No console do Google Cloud, acesse a página Visão geral.
  
  Ir para Visão geral
2. Na lista de descobertas de vulnerabilidade, selecione a categoria de descoberta. A janela da categoria de descoberta será aberta.
3. Na guia JSON, encontre a seguinte linha:
```
"category": "FINDING_CATEGORY",
```
4. Copie o valor FINDING_CATEGORY (sem aspas) e insira-o no campo Nome da regra da lista dinâmica do conector.
Opcional: adicione quantos campos de Nome da regra forem necessários à seção da lista dinâmica.

Observação :apenas um valor FINDING_CATEGORY é permitido para cada campo Nome da regra.
Na seção Parâmetros, selecione Usar lista dinâmica como uma lista de bloqueio.
Clique em Salvar.

A seguir

Confira a visão geral de casos.
Saiba como silenciar descobertas nos casos.
Saiba como ingerir dados usando conectores.