ケースの検出結果をグループ化する

このドキュメントでは、検出結果をケースにグループ化する方法について説明します。

これらの手順は、Security Operations コンソールのページを使用して行います。 Google Cloud コンソールからこれらのページを開くには、[設定] > [SOAR 設定] に移動します。

概要

検出結果のグループ化メカニズムは、取り込まれた検出結果を自動的にケースにグループ化します。デフォルトでは、このグループ化メカニズムにより、ケース内のすべての検出結果が同じ次のものに属します。

  • リソースの所有者
  • Google Cloud プロジェクト
  • AWS アカウント
  • アセットのタイプ
  • カテゴリ
  • 重大度

グループ化の設定を構成する

取り込まれたすべての検出結果に適用されるデフォルトのグループ化設定を構成する手順は次のとおりです。

  1. Security Operations コンソールで、[設定] > [取り込み] > [コネクタ] に移動します。

  2. [SCC Enterprise - Urgent Posture Findings コネクタ] を選択します。

  3. グループ化メカニズムをカスタマイズして特定のグループ化オプションを無効にするには、以下のパラメータの 1 つまたは複数のチェックボックスをオフにします。

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

デフォルトでは、取り込まれた検出結果には次のグループ化設定が適用されます。

  • AWS アカウント別にグループ化: 検出結果が属する AWS アカウントに従ってグループ化されます。

  • GCP プロジェクトでグループ化: 検出結果が属する Google Cloudプロジェクトに従ってグループ化されます。

  • 重大度別にグループ化: 検出結果は、HIGHMEDIUM などの severity レベルに従ってグループ化されます。

  • アセットタイプ別にグループ化: 検出結果は、Compute Engine インスタンスや IAM サービス アカウントなどのアセットタイプ(Google Cloud リソースタイプ)に従ってグループ化されます。

ケースにグループ化されたすべての検出結果は、同じオーナーに属します。継承されたGoogle Cloud タグや重要な連絡先のない検出結果を含め、検出結果が正しくグループ化されるようにするには、常にコネクタの Fallback Owner パラメータを構成してください。

例: グループ化メカニズムの仕組み

この例では、 Google Cloud の検出結果のみが使用されます。

コネクタは、それぞれ異なる重大度と、それぞれの Google Cloud リソースから継承された異なる値を持つ 4 つの検出結果を取り込みます。

  • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1

  • 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2

  • 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1

  • 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

デフォルトのグループ化メカニズム

デフォルト設定では、検出結果はそれぞれのプロジェクト、アセットタイプ、重大度プロパティに従ってグループ化されます。

この例では、すべての検出結果が異なるケースに含まれています。

  • ケース 1:

    • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1

  • ケース 2:

    • 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2

  • ケース 3:

    • 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1

  • ケース 4:

    • 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

カスタム グループ化メカニズム

[GCP プロジェクトでグループ化] チェックボックスのみをオンにすると、 Google Cloud プロジェクトに従って検出結果が自動的にグループ化され、ケースに同じプロジェクトに属する検出結果のみが含まれます。

  • ケース 1:

    • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1
    • 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1

  • ケース 2:

    • 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2
    • 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

[重大度によるグループ化] チェックボックスのみをオンにすると、検出結果が重大度に従って自動的にグループ化され、ケースに同じ重大度の検出結果のみが含まれるようになります。

  • ケース 1:

    • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1
    • 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2

  • ケース 2:

    • 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1
    • 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

[アセットタイプによるグループ化] チェックボックスのみをオンにすると、アセットタイプ( Google Cloudのリソースタイプ)に従って検出結果が自動的にグループ化され、ケースに同じリソースに属する検出結果のみが含まれます。

  • ケース 1:

    • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1
    • 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1
    • 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

  • ケース 2:

    • 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2

[GCP プロジェクトでグループ化] と [重大度によるグループ化] の両方のチェックボックスをオンにすると、それぞれのプロジェクトと重大度レベルに従って検出結果が自動的にグループ化され、ケースには同じプロジェクトに所属、かつ同じ重大度を持つ検出結果のみが含まれるようになります。この例では、コネクタは次の 4 つのケースを作成します。

  • ケース 1:

    • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1

  • ケース 2:

    • 検出結果 2: 重大度: Critical、リソースタイプ: IAM、プロジェクト: Project_2

  • ケース 3:

    • 検出結果 3: 重大度: High、リソースタイプ: Compute、プロジェクト: Project_1

  • ケース 4:

    • 検出結果 4: 重大度: High、リソースタイプ: Compute、プロジェクト: Project_2

次のステップ

  • アラートの詳細について、Google SecOps ドキュメントを確認する。