Este documento explica como usar os parâmetros de filtro no SCC Enterprise - Conector de descobertas de postura urgente para que os casos tenham apenas descobertas que pertençam a categorias específicas.
Os casos, os conectores e a ingestão, a filtragem e o bloqueio de descobertas são uma funcionalidade das operações de segurança do Google.
Visão geral
O nível Enterprise do Security Command Center usa o conector de descobertas de postura Urgente do SCC Enterprise para recuperar, analisar e ingerir as descobertas de postura em casos. O conector analisa os dados brutos das descobertas para filtrar e agrupar as descobertas nos casos com base na configuração fornecida.
Você pode filtrar as descobertas usando os parâmetros do conector para garantir o seguinte:
O conector só ingere descobertas que pertencem a categorias específicas.
O conector exclui as descobertas pertencentes a categorias específicas da ingestão.
Configurar filtros
Os parâmetros de filtro do conector permitem especificar as categorias de descobertas que são ingeridas. Por padrão, o conector ingere todos os tipos de descobertas de todos os recursos e provedores de nuvem. A configuração dos valores de parâmetros padrão pode afetar o fluxo de processamento de casos.
Se você configurar parâmetros de filtro, o conector processará apenas as categorias de descoberta configuradas para um parâmetro de filtro selecionado.
Para visualizar e editar os parâmetros do conector, siga estas etapas:
No console do Security Operations, acesse Configurações > Ingestão > Conectores.
Selecione o SCC Enterprise - Conector de descobertas de postura Urgente. A página de configuração dos parâmetros do conector é aberta.
Todos os parâmetros de filtro aceitam diversos valores como uma lista separada por vírgulas. Para ativar filtros específicos, configure os seguintes parâmetros opcionais do conector:
GCP Project Filter
: especifica de quais projetos do Google Cloud as descobertas serão processadas. É possível listar um ou mais nomes de projeto para garantir a cobertura necessária. Se você não fornecer valor para esse parâmetro, o conector processará as descobertas de todos os seus projetos por padrão.Por exemplo, para garantir que o conector processe alertas dos projetos example-project-three e example-project-four do Google Cloud e ignore outros, forneça o seguinte valor de parâmetro:
example-project-three,example-project-four
.Asset Type Filter
: especifica quais tipos de recursos ingerir sem dependência do provedor de nuvem. Você pode listar um ou mais tipos de recurso para garantir a cobertura de filtro necessária. Se você não fornecer valor para esse parâmetro, o conector processará tipos de recursos de todos os provedores de nuvem conectados por padrão.Por exemplo, para garantir que o conector processe alertas do bucket do Cloud Storage e de uma instância do Compute Engine e ignore outros tipos de recursos, informe o valor de parâmetro a seguir:
google.cloud.storage.Bucket,google.compute.Instance
.Cloud Provider Filter
: especifica os provedores de nuvem de que os alertas serão ingeridos. Se você não fornecer valor para esse parâmetro, o conector processará alertas de todos os provedores de nuvem conectados por padrão.Por exemplo, para garantir que o conector processe alertas da instância da AWS e ignore as descobertas de outros provedores, configure o seguinte valor de parâmetro:
AWS
. Para ingerir apenas descobertas do Google Cloud, defina o valor do parâmetro comoGCP
.AWS Account Filter
: especifica de quais IDs de conta da AWS ingerir alertas. Se você não fornecer valor para esse parâmetro, o conector processará as descobertas de todas as suas contas da AWS por padrão.Severity Filter
: especifica a gravidade das descobertas a serem ingeridas.
Excluir categoria de descoberta da ingestão
Use as configurações da lista dinâmica para excluir as categorias de descoberta específicas da ingestão.
Para configurar a lista dinâmica, siga estas etapas:
No console do Security Operations, acesse Configurações > Ingestão > Conectores.
Selecione o SCC Enterprise - Conector de descobertas de postura Urgente. A página de configuração do conector é aberta.
Na seção Lista dinâmica, clique em add Adicionar.
No campo Nome da regra, digite o nome de uma categoria de descoberta a ser filtrada:
No console do Google Cloud, acesse a página Visão geral.
Na lista de descobertas de vulnerabilidade, selecione a categoria de descoberta. A janela da categoria de descoberta será aberta.
Na guia JSON, encontre a linha a seguir:
"category": "FINDING_CATEGORY",
Copie o valor
FINDING_CATEGORY
(sem aspas) e informe-o no campo Nome da regra da lista dinâmica do conector.
Opcional: adicione quantos campos Nome da regra forem necessários à seção da lista dinâmica.
Na seção Parâmetros, selecione Usar lista dinâmica como lista de bloqueio.
Clique em Salvar.
A seguir
Confira a visão geral dos casos.
Saiba como silenciar as descobertas em casos.
Saiba como ingerir seus dados usando conectores.