Ergebnisse in Anfragen gruppieren

In diesem Dokument wird erläutert, wie Sie Ergebnisse in der Enterprise-Stufe von Security Command Center in Anfragen gruppieren können.

Übersicht

Der Mechanismus zur Gruppierung von Ergebnissen gruppiert aufgenommene Ergebnisse automatisch in Fälle. Standardmäßig sorgt dieser Gruppierungsmechanismus dafür, dass alle Ergebnisse in einem Fall zu denselben gehören:

  • Ressourceninhaber
  • Google Cloud-Projekt
  • AWS-Konto
  • Asset-Typ
  • Kategorie
  • Wichtigkeitsstufe

Gruppierungseinstellungen konfigurieren

So konfigurieren Sie die Standardgruppierungseinstellungen, die für alle aufgenommenen Ergebnisse gelten:

  1. Klicken Sie in der Security Operations Console auf Einstellungen > Datenaufnahme > Anschlüsse.

  2. Wählen Sie SCC Enterprise – Urgent Posture Findings Connector aus.

  3. Wenn Sie den Gruppierungsmechanismus anpassen und bestimmte Gruppierungsoptionen deaktivieren möchten, entfernen Sie das Häkchen aus den Kästchen für einen oder mehrere der folgenden Parameter:

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

Standardmäßig gelten für aufgenommene Ergebnisse die folgenden Gruppierungseinstellungen:

  • Nach AWS-Konto gruppieren: Die Ergebnisse werden nach den zugehörigen AWS-Konten gruppiert.

  • Nach GCP-Projekt gruppieren: Die Ergebnisse werden nach den zugehörigen Google Cloud-Projekten gruppiert.

  • Nach Schweregrad gruppieren: Die Ergebnisse werden nach ihrem severity Level gruppiert, z. B. HIGH oder MEDIUM.

  • Nach Asset-Typ gruppieren: Die Ergebnisse werden nach Asset-Typ (Google Cloud-Ressourcentyp) gruppiert, z. B. Compute Engine-Instanz oder IAM-Dienstkonto.

Alle in einem Fall zusammengefassten Ergebnisse gehören demselben Inhaber. Damit Ergebnisse richtig gruppiert werden, einschließlich Ergebnisse ohne übernommene Google Cloud-Tags oder wichtige Kontakte, müssen Sie immer den Parameter „Fallback Owner“ des Connectors konfigurieren.

Beispiel: Funktionsweise des Gruppierungsmechanismus

In diesem Beispiel werden nur Ergebnisse aus Google Cloud verwendet.

Der Connector nimmt vier Ergebnisse mit unterschiedlicher Schwere und unterschiedlichen Werten auf, die von den jeweiligen Google Cloud-Ressourcen übernommen werden:

Ergebnis 1: Schwere: Critical, Asset-Typ: Compute, Projekt: Project_1

Ergebnis 2: Schweregrad: Critical, Asset-Typ: IAM, Projekt: Project_2

Befund 3: Schwere: High, Asset-Typ: Compute, Projekt: Project_1

Befund 4: Schwere: High, Asset-Typ: Compute, Projekt: Project_2

Standardgruppierungsmechanismus

Bei den Standardeinstellungen werden die Ergebnisse nach den jeweiligen Projekten, Asset-Typen und dem Schweregrad gruppiert.

In diesem Beispiel ist jede Feststellung in einem anderen Fall enthalten.

  • Fall 1:

    • Ergebnis 1: Schwere: Critical, Asset-Typ: Compute, Projekt: Project_1

  • Fall 2:

    • Ergebnis 2: Schweregrad: Critical, Asset-Typ: IAM, Projekt: Project_2

  • Fall 3:

    • Befund 3: Schwere: High, Asset-Typ: Compute, Projekt: Project_1

  • Fall 4:

    • Befund 4: Schwere: High, Asset-Typ: Compute, Projekt: Project_2

Benutzerdefinierter Gruppierungsmechanismus

Wenn Sie nur das Kästchen Nach GCP-Projekt gruppieren auswählen, werden die Ergebnisse automatisch nach ihren Google Cloud-Projekten gruppiert, sodass ein Fall nur Ergebnisse enthält, die zum selben Projekt gehören:

  • Fall 1:

    • Ergebnis 1: Schwere Critical, Asset-Typ: Compute, Projekt: Project_1
    • Befund 3: Schwere High, Asset-Typ: Compute, Projekt: Project_1

  • Fall 2:

    • Befund 2: Schwere Critical, Asset-Typ: IAM, Projekt: Project_2
    • Befund 4: Schwere High, Asset-Typ: Compute, Projekt: Project_2

Wenn Sie nur das Kästchen Nach Schweregrad gruppieren aktivieren, werden die Ergebnisse automatisch nach Schweregrad gruppiert, sodass ein Fall nur Ergebnisse mit demselben Schweregrad enthält:

  • Fall 1:

    • Ergebnis 1: Schwere: Critical, Asset-Typ: Compute, Projekt: Project_1
    • Ergebnis 2: Schweregrad: Critical, Asset-Typ: IAM, Projekt: Project_2

  • Fall 2:

    • Befund 3: Schwere: High, Asset-Typ: Compute, Projekt: Project_1
    • Befund 4: Schwere: High, Asset-Typ: Compute, Projekt: Project_2

Wenn Sie nur das Kästchen Nach Asset-Typ gruppieren auswählen, werden die Ergebnisse automatisch nach ihren Asset-Typen (Ressourcentypen in Google Cloud) gruppiert, sodass ein Fall nur Ergebnisse enthält, die zu derselben Ressource gehören:

  • Fall 1:

    • Ergebnis 1: Schwere: Critical, Asset-Typ: Compute, Projekt: Project_1
    • Befund 3: Schwere: High, Asset-Typ: Compute, Projekt: Project_1
    • Befund 4: Schwere: High, Asset-Typ: Compute, Projekt: Project_2

  • Fall 2:

    • Ergebnis 2: Schweregrad: Critical, Asset-Typ: IAM, Projekt: Project_2

Wenn Sie sowohl das Kästchen Nach GCP-Projekt gruppieren als auch das Kästchen Nach Schweregrad gruppieren auswählen, werden die Ergebnisse automatisch nach den jeweiligen Projekten und Schweregraden gruppiert. So enthält eine Anfrage nur Ergebnisse, die zum selben Projekt und zur selben Schweregradstufe gehören. In diesem Beispiel erstellt der Connector die folgenden vier Fälle:

  • Fall 1:

    • Ergebnis 1: Schwere: Critical, Asset-Typ: Compute, Projekt: Project_1

  • Fall 2:

    • Befund 2: Schweregrad: Critical, Ressourcentyp: IAM, Projekt: Project_2

  • Fall 3:

    • Befund 3: Schweregrad: High, Ressourcentyp: Compute, Projekt: Project_1

  • Fall 4:

    • Befund 4: Schweregrad: High, Ressourcentyp: Compute, Projekt: Project_2

Nächste Schritte

  • Weitere Informationen zu Benachrichtigungen finden Sie in der Google SecOps-Dokumentation.