本文档介绍了如何使用 SCC Enterprise - 紧急状况发现结果连接器中的过滤器参数,以使案例仅包含属于特定类别的发现结果。
案例、连接器以及提取、过滤和屏蔽发现结果的功能由 Google Security Operations 提供支持。
概览
Security Command Center 的企业层级使用 SCC Enterprise - Urgent Posture Findings Connector 检索、分析安全状况发现结果,并将其注入到案例中。连接器会解析发现结果原始数据,以根据所提供的配置对发现结果进行过滤和分组。
您可以使用连接器参数过滤发现结果,以确保:
该连接器仅提取属于特定类别的发现结果。
连接器会从提取中排除属于特定类别的发现结果。
配置过滤条件
借助连接器过滤条件参数,您可以指定注入的发现结果类别。默认情况下,该连接器会从您的所有资源和云提供商中提取所有类型的发现结果。配置默认参数值可能会影响案例处理流程。
如果您配置了过滤器参数,则连接器只会为选定的过滤器参数提取已配置的发现结果类别。
要查看和修改连接器参数,请完成以下步骤:
在 Security Operations 控制台中,转到设置 > 提取 > 连接器。
选择 SCC Enterprise - Urgent Posture Findings Connector。 系统随即会打开连接器参数配置页面。
所有过滤器参数都接受逗号分隔列表形式的多个值。要启用特定过滤器,请配置以下可选连接器参数:
GCP Project Filter:指定要从哪些 Google Cloud 项目中注入发现结果。您可以列出一个或多个项目名称,以确保达到所需的覆盖率。如果您未为此参数提供任何值,则默认情况下,连接器会从所有项目中提取发现结果。例如,如需确保该连接器从 example-project-three 和 example-project-four 这个 Google Cloud 项目中提取提醒并忽略其他项目,请提供以下参数值:
example-project-three,example-project-four。Asset Type Filter:指定要注入的资产类型,不依赖于云服务商。您可以列出一种或多种资源类型,以确保所需的过滤条件覆盖率。如果您未为此参数提供任何值,则连接器会默认从所有已连接的云服务提供商中提取资源类型。例如,要确保连接器从 Cloud Storage 存储桶和 Compute Engine 实例中提取提醒并忽略其他类型的资产,请提供以下参数值:
google.cloud.storage.Bucket,google.compute.Instance。Cloud Provider Filter:指定从哪些云服务提供商处注入提醒。如果您未为此参数提供任何值,则默认情况下,连接器会从所有已连接的云服务提供商处提取提醒。例如,如需确保该连接器从您的 AWS 实例中提取提醒并忽略来自其他提供商的发现结果,请配置以下参数值:
AWS。如需仅注入 Google Cloud 发现结果,请将参数值设置为GCP。AWS Account Filter:指定要从哪些 AWS 帐号 ID 中注入提醒。如果您未为此参数提供任何值,则默认情况下,连接器会从所有 AWS 帐号中提取发现结果。Severity Filter:指定要注入的发现结果的严重程度。
从注入中排除发现结果类别
使用动态列表设置可从提取中排除特定的发现结果类别。
要配置动态列表,请按以下步骤操作:
在 Security Operations 控制台中,转到设置 > 提取 > 连接器。
选择 SCC Enterprise - Urgent Posture Findings Connector。 系统随即会打开连接器配置页面。
在 Dynamic List(动态列表)部分,点击 add Add(添加)。
在规则名称字段中,提供要过滤的发现结果类别的名称:
在 Google Cloud 控制台中,前往概览页面。
在漏洞发现结果列表中,选择发现结果类别。系统会打开发现结果类别窗口。
在 JSON 标签页中,找到以下行:
"category": "FINDING_CATEGORY",复制
FINDING_CATEGORY值(不带引号),并在连接器的动态列表规则名称字段中提供该值。
可选:根据需要向动态列表部分添加任意数量的规则名称字段。
在参数部分,选择将动态列表用作屏蔽名单。
点击保存。
后续步骤
查看支持请求概览。
了解如何在支持请求中忽略发现结果。
了解如何使用连接器注入数据。