En este documento, se explica cómo puedes agrupar los resultados en casos en el nivel Enterprise de Security Command Center.
Descripción general
El mecanismo de agrupación de resultados agrupa automáticamente los resultados transferidos en casos. De forma predeterminada, este mecanismo de agrupación garantiza que todos los hallazgos de un caso pertenezcan a lo siguiente:
- Propietario del recurso
- Proyecto de Google Cloud
- Cuenta de AWS
- Tipo de recurso
- Categoría
- Nivel de gravedad
Configura la configuración de agrupación
Para configurar la configuración de agrupación predeterminada que se aplica a todos los resultados transferidos, sigue estos pasos:
En la consola de Security Operations, ve a Configuración > Transferencia > Conectores.
Selecciona SCC Enterprise: Conector de Urgent Posture Findings.
Para personalizar el mecanismo de agrupación y desactivar opciones de agrupación específicas, desmarca las casillas de verificación de uno o más de los siguientes parámetros:
Group by AWS Account
Group by GCP Project
Group by Severity
Group by Asset Type
De forma predeterminada, la siguiente configuración de agrupación se aplica a los resultados transferidos:
Agrupar por cuenta de AWS: Los resultados se agrupan según las cuentas de AWS a las que pertenecen.
Agrupar por proyecto de GCP: Los resultados se agrupan según los proyectos de Google Cloud a los que pertenecen.
Agrupar por gravedad: Los resultados se agrupan según su nivel de
severity
, comoHIGH
oMEDIUM
.Agrupar por tipo de activo: Los resultados se agrupan según su tipo de activo (tipo de recurso de Google Cloud), como la instancia de Compute Engine o la cuenta de servicio de IAM.
Todos los hallazgos agrupados en un caso pertenecen al mismo propietario. Para asegurarte de que los resultados se agrupen correctamente, incluidos los que no tienen etiquetas de Google Cloud o contactos esenciales heredados, siempre configura el parámetro Fallback Owner
del conector.
Ejemplo: Cómo funciona el mecanismo de agrupación
En este ejemplo, solo se usan los resultados de Google Cloud.
El conector transfiere cuatro resultados con diferentes severidades y valores heredados de sus respectivos recursos de Google Cloud:
Resultado 1: Gravedad: Critical
, Tipo de activo: Compute
, Proyecto: Project_1
Hallazgo 2: Gravedad: Critical
, Tipo de activo: IAM
, Proyecto: Project_2
Hallazgo 3: Gravedad: High
, Tipo de activo: Compute
, Proyecto: Project_1
Hallazgo 4: Gravedad: High
, Tipo de activo: Compute
, Proyecto: Project_2
Mecanismo de agrupación predeterminado
La configuración predeterminada implica que los resultados se agrupan según sus proyectos, tipos de recursos y propiedades de gravedad respectivos.
En este ejemplo, cada hallazgo se incluye en un caso diferente.
Caso 1:
- Resultado 1: Gravedad:
Critical
, Tipo de activo:Compute
, Proyecto:Project_1
- Resultado 1: Gravedad:
Caso 2:
- Hallazgo 2: Gravedad:
Critical
, Tipo de activo:IAM
, Proyecto:Project_2
- Hallazgo 2: Gravedad:
Caso 3:
- Hallazgo 3: Gravedad:
High
, Tipo de activo:Compute
, Proyecto:Project_1
- Hallazgo 3: Gravedad:
Caso 4:
- Hallazgo 4: Gravedad:
High
, Tipo de activo:Compute
, Proyecto:Project_2
- Hallazgo 4: Gravedad:
Mecanismo de agrupación personalizado
Si solo seleccionas la casilla de verificación Agrupar por proyecto de GCP, se agruparán automáticamente los resultados según sus proyectos de Google Cloud, de modo que un caso solo contenga resultados que pertenezcan al mismo proyecto:
Caso 1:
- Resultado 1: Gravedad
Critical
, tipo de recurso:Compute
, proyecto:Project_1
- Hallazgo 3: Gravedad
High
, tipo de activo:Compute
, proyecto:Project_1
- Resultado 1: Gravedad
Caso 2:
- Hallazgo 2: Gravedad
Critical
, tipo de activo:IAM
, proyecto:Project_2
- Hallazgo 4: Gravedad
High
, tipo de activo:Compute
, proyecto:Project_2
- Hallazgo 2: Gravedad
Si solo seleccionas la casilla de verificación Group by Severity, los resultados se agrupan automáticamente según su gravedad, de modo que un caso solo contenga resultados con el mismo nivel de gravedad:
Caso 1:
- Resultado 1: Gravedad:
Critical
, Tipo de activo:Compute
, Proyecto:Project_1
- Hallazgo 2: Gravedad:
Critical
, Tipo de activo:IAM
, Proyecto:Project_2
- Resultado 1: Gravedad:
Caso 2:
- Hallazgo 3: Gravedad:
High
, Tipo de activo:Compute
, Proyecto:Project_1
- Hallazgo 4: Gravedad:
High
, Tipo de activo:Compute
, Proyecto:Project_2
- Hallazgo 3: Gravedad:
Si solo seleccionas la casilla de verificación Agrupar por tipo de activo, los resultados se agruparán automáticamente según sus tipos de activos (tipos de recursos en Google Cloud) para que un caso solo contenga resultados que pertenezcan al mismo recurso:
Caso 1:
- Resultado 1: Gravedad:
Critical
, Tipo de recurso:Compute
, Proyecto:Project_1
- Hallazgo 3: Gravedad:
High
, Tipo de activo:Compute
, Proyecto:Project_1
- Hallazgo 4: Gravedad:
High
, Tipo de activo:Compute
, Proyecto:Project_2
- Resultado 1: Gravedad:
Caso 2:
- Hallazgo 2: Gravedad:
Critical
, Tipo de activo:IAM
, Proyecto:Project_2
- Hallazgo 2: Gravedad:
Si seleccionas las casillas de verificación Agrupar por proyecto de GCP y Agrupar por gravedad, se agruparán automáticamente los resultados según sus respectivos proyectos y niveles de gravedad, de modo que un caso solo contenga resultados que pertenezcan al mismo proyecto y tengan la misma gravedad. En este ejemplo, el conector crea los siguientes cuatro casos:
Caso 1:
- Resultado 1: Gravedad:
Critical
, Tipo de recurso:Compute
, Proyecto:Project_1
- Resultado 1: Gravedad:
Caso 2:
- Hallazgo 2: Gravedad:
Critical
, Tipo de recurso:IAM
, Proyecto:Project_2
- Hallazgo 2: Gravedad:
Caso 3:
- Hallazgo 3: Gravedad:
High
, Tipo de recurso:Compute
, Proyecto:Project_1
- Hallazgo 3: Gravedad:
Caso 4:
- Hallazgo 4: Gravedad:
High
, Tipo de recurso:Compute
, Proyecto:Project_2
- Hallazgo 4: Gravedad:
Próximos pasos
- Obtén más información sobre las alertas en la documentación de Google SecOps.